[Topic 254248]

Справка Kaspersky Secure Mobility Management

[Topic 180199]

Что нового

Версия 5.0

В этой версии мы выпустили новый плагин Kaspersky Mobile Devices Protection and Management для Kaspersky Security Center Linux Web Console. Новый плагин позволяет вам управлять устройствами Android и iOS. Также мы выпустили новый плагин параметров Сервера iOS MDM, который позволяет настраивать Сервер iOS MDM Linux для управления iOS MDM-устройствами.

Новый плагин предоставляет следующие функции для управления Android-устройствами:

• Создание политик в зависимости от режима работы устройства:
  • Личное устройство (базовая защита и управление личным Android-устройством).
  • Устройство с корпоративным контейнером (изолированная корпоративная среда на Android-устройстве).
  • Корпоративное устройство (расширенный набор параметров для управления корпоративным Android-устройством).
• Функции для защиты Android-устройств:
  • Постоянная защита
  • Проверка
  • Анти-Вор
  • Обновление баз
  • Веб-Защита
• Функции для контроля безопасности:
  • Контроль соответствия
  • Контроль приложений
  • Веб-Контроль
  • Параметры разблокировки экрана
• Функции устройств, которые могут быть настроены:
  • Корневые сертификаты
  • Веб-клипы
  • Wi-Fi
  • SCEP и NDES
  • Пользовательские обои
• Функции для конфигурации приложений:
  • Exchange ActiveSync
  • Параметры Google Chrome
  • Настройка прочих приложений
  • Управление разрешениями приложений
• Ограничения:
  • Ограничения функций устройств (только для корпоративных устройств)
  • Режим киоска
  • Новый пароль разблокировки экрана
• Функции, которые могут быть настроены для Knox:
  • Ограничения функций устройств
  • VPN
  • Exchange ActiveSync
  • Параметры APN
  • Сетевой экран
• Настройка корпоративных контейнеров
• Отправка команд на Android-устройства:
  • Удалить корпоративные данные
  • Заблокировать устройство
  • Разблокировать устройство
  • Сбросить настройки до заводских
  • Синхронизировать устройство
  • Определить местоположение
  • Воспроизвести звуковой сигнал
  • Отправить сообщение
  • Удалить данные приложения
  • Удалить данные всех приложений
  • Получить историю местоположений
  • Сделать фотографии

Новый плагин Kaspersky Mobile Devices Protection and Management и новый плагин параметров Сервера iOS MDM поддерживают следующие функции для управления устройствами iOS и iOS MDM:

• Создание политик в зависимости от режима работы устройства:
  • Базовая защита (защита от веб-угроз и обнаружение jailbreak на iOS-устройствах).
  • Базовый контроль (базовое управление личным iOS-устройством).
  • Расширенный контроль (расширенный набор параметров для управления iOS-устройством).
• Функции для контроля безопасности:
  • Контроль приложений
  • Контроль соответствия
  • Веб-Контроль
  • Параметры разблокировки экрана
• Функции устройств, которые могут быть настроены:
  • Веб-клипы
  • Exchange ActiveSync
  • Пользовательские шрифты
  • Управление сертификатами
  • Глобальный HTTP-прокси
  • Электронная почта
  • VPN
  • SCEP
  • Календарь
  • Контакты
  • Wi-Fi
  • LDAP
  • AirPlay
  • AirPrint
  • SSO
  • Подписки на календари
  • Параметры APN
  • Per App VPN для Safari
• Ограничения:
  • Ограничения медиаконтента
  • Ограничения приложений
  • Ограничения функций устройств
  • Режим киоска
• Отправка команд на iOS MDM-устройства:
  • Изменить параметры роуминга
  • Настроить Bluetooth (для режима "Расширенный контроль")
  • Заблокировать устройство
  • Сбросить настройки до заводских
  • Удалить корпоративные данные
  • Сбросить пароль разблокировки
  • Синхронизировать устройство
  • Включить Режим пропажи (для режима "Расширенный контроль")
  • Определить местоположение (только в Режиме пропажи)
  • Воспроизвести звуковой сигнал (только в Режиме пропажи)
  • Выключить режим пропажи (для режима "Расширенный контроль")
  • Обновить ПО (для режима "Расширенный контроль")
  • Установить приложение
  • Обновить приложение
  • Удалить приложение
  • Установить конфигурационный профиль
  • Удалить конфигурационный профиль

[Topic 216448]

Работа в Kaspersky Security Center Web Console

В этом разделе справки описана защита и управление мобильными устройствами с помощью Kaspersky Security Center Web Console (далее также Web Console).

[Topic 274680]

О Kaspersky Secure Mobility Management

Kaspersky Secure Mobility Management – это комплексное решение для защиты корпоративных и личных мобильных устройств, используемых сотрудниками компании в корпоративных целях, а также для управления ими.

[Topic 214493]

Комплект поставки

В комплект поставки Kaspersky Secure Mobility Management могут входить различные компоненты в зависимости от выбранной версии решения.

Управление мобильными устройствами в Консоли администрирования на базе MMC

• klcfginst.exe

  Программа установки Плагина управления Kaspersky Endpoint Security для Android.

• klmdminst.exe

  Программа установки Плагина управления Kaspersky Device Management для iOS.

Управление мобильными устройствами в Kaspersky Security Center Web Console

Этот компонент совместим с Kaspersky Security Center Linux 15.1. Подробную информацию о версии, совместимой с Kaspersky Security Center Windows, см. в справке Kaspersky Secure Mobility Management 4.1.

• on_prem_ksm_policies_<версия>.zip

  Архив, содержащий файлы, необходимые для установки плагина Kaspersky Mobile Devices Protection and Management:

  • plugin.zip

    Архив, содержащий плагин Kaspersky Mobile Devices Protection and Management.

  • signature.txt

    Файл, содержащий подпись для плагина Kaspersky Mobile Devices Protection and Management.

Плагин параметров Сервера iOS MDM

Этот компонент совместим с Kaspersky Security Center Linux 15.1. Подробную информацию о версии, совместимой с Kaspersky Security Center Windows, см. в справке Kaspersky Secure Mobility Management 4.1.

• on_prem_iosmdm_<версия>.zip

  Архив, содержащий файлы, необходимые для установки плагина параметров Сервера iOS MDM:

  • plugin.zip

    Архив, содержащий плагин параметров Сервера iOS MDM.

  • signature.txt

    Файл, содержащий подпись для плагина параметров Сервера iOS MDM.

Сервер iOS MDM

Этот компонент совместим с Kaspersky Security Center Linux 15.1. Подробную информацию о версии, совместимой с Kaspersky Security Center Windows, см. в справке Kaspersky Secure Mobility Management 4.1.

• kliosmdm-<архитектура>-<версия>-<менеджер пакетов>_<язык>.tar.gz

  Архив, содержащий файлы, необходимые для установки Сервера iOS MDM, в зависимости от менеджера пакетов и архитектуры:

  • kliosmdm.kpd

    Файл, содержащий описание Сервера iOS MDM.

  • akinstall.sh

    Скрипт, позволяющий автоматизировать установку Сервера iOS MDM.

  • kliosmdm-<версия>.<архитектура>.rpm или kliosmdm_<версия>_<архитектура>.deb

    Инсталляционный пакет Сервера iOS MDM.

  • kpd.loc/

    Папка с CFG-файлами, определяющими пути к Лицензионным соглашениям.

  • license/

    Папка с Лицензионными соглашениями и Политикой конфиденциальности на разных языках в формате TXT.

Приложение Kaspersky Endpoint Security для Android

• <версия>_sc_package.zip

  Архив, содержащий файлы, необходимые для установки Kaspersky Endpoint Security для Android путем создания инсталляционных пакетов:

  • installer.ini

    Конфигурационный файл с параметрами подключения к Серверу администрирования.

  • KES10_<версия>.apk

    Пакетный файл Android для приложения Kaspersky Endpoint Security для Android.

  • kesa.kpd

    Файл, содержащий описание программы.

  • eula/

    Папка с Лицензионными соглашениями на разных языках в формате TXT.

  • kpd.loc/

    INI-файлы, определяющие пути к Лицензионным соглашениям.

Файл Корпоративного каталога приложений

Install_<версия>.exe – дистрибутив Корпоративного каталога приложений. Дистрибутив содержит следующие компоненты:

• Корпоративный каталог приложений
• Консоль управления корпоративным каталогом приложений
• Сервер Apache

Дополнительная информация об установке Корпоративного каталога приложений приведена в справке по Корпоративному каталогу приложений.

Комплект документации

• Справка Kaspersky Secure Mobility Management.

[Topic 214476]

О приложении Kaspersky Endpoint Security для Android

Kaspersky Endpoint Security для Android защищает мобильные устройства от веб-угроз, вирусов и других программ, представляющих угрозы.

Kaspersky Endpoint Security для Android включает следующие компоненты:

• Защита от вредоносного ПО. Обнаруживает и устраняет угрозы на устройствах, используя базы вредоносного ПО и облачную службу Kaspersky Security Network. В состав Защиты от вредоносного ПО входят следующие компоненты:
  • Защита. Обнаруживает угрозы в открытых файлах, проверяет новые приложения и предотвращает заражение устройства в режиме реального времени.
  • Проверка. Запускается по требованию для всей файловой системы, только для установленных приложений или выбранного файла или папки.
  • Обновление. Позволяет загружать новые базы вредоносного ПО приложения.
• Анти-Вор. Защищает информацию на устройстве от несанкционированного доступа в случае потери или кражи устройства. Позволяет отправлять на устройство следующие команды:
  • Определить местоположение. Получение координат местоположения устройства.
  • Воспроизвести звуковой сигнал. Устройство издает громкий сигнал тревоги.
  • Удалить корпоративные данные. Удаление корпоративных данных, чтобы защитить конфиденциальную информацию компании.
• Веб-Защита и Веб-Контроль. Веб-Защита блокирует вредоносные сайты, цель которых – распространить вредоносный код. Веб-Защита также блокирует поддельные (фишинговые) сайты, цель которых – украсть конфиденциальные данные пользователя (например, пароли от интернет-банка или платежных систем) и получить доступ к его финансовым счетам. Веб-Защита проверяет сайты перед открытием, используя облачную службу Kaspersky Security Network. По результатам проверки Веб-Защита разрешает загрузку сайтов, признанных надежными, и блокирует сайты, признанные вредоносными. Веб-Контроль поддерживает фильтрацию сайтов по категориям, определенным в облачной службе Kaspersky Security Network. Это позволяет администратору ограничить доступ пользователей к некоторым категориям веб-страниц (например, "Азартные игры, лотереи, тотализаторы" или "Общение в сети").
• Контроль приложений. Позволяет устанавливать рекомендуемые и обязательные приложения на Android-устройство, а также удалять заблокированные приложения, нарушающие требования корпоративной безопасности.
• Контроль соответствия. Позволяет проверять управляемые устройства на соответствие требованиям корпоративной безопасности и накладывать ограничения на определенные функции несовместимых устройств.

Вы можете настроить компоненты приложения Kaspersky Endpoint Security для Android в Kaspersky Security Center Web Console, задав соответствующие параметры политик.

На личных устройствах и устройствах с корпоративным контейнером под управлением Android 15 пользователи могут создать частное пространство. Kaspersky Endpoint Security для Android не может сканировать приложения, фотографии и другие файлы, хранящиеся в частном пространстве. Веб-Защита, Веб-Контроль и Контроль приложений не работают для приложений, установленных в частном пространстве. Kaspersky Endpoint Security для Android нельзя установить в частном пространстве.

[Topic 234086]

О приложении Kaspersky Security для iOS

Приложение Kaspersky Security для iOS обеспечивает защиту мобильных устройств от фишинга и веб-угроз.

Kaspersky Security для iOS предоставляет следующие ключевые функции:

• Веб-Защита. Позволяет блокировать вредоносные сайты, цель которых – распространить вредоносный код. Веб-Защита также блокирует поддельные (фишинговые) сайты, цель которых – украсть конфиденциальные данные пользователя (например, пароли от интернет-банка или платежных систем) и получить доступ к его финансовым счетам. Веб-Защита проверяет сайты перед открытием, используя облачную службу Kaspersky Security Network. По результатам проверки Веб-Защита разрешает загрузку сайтов, признанных надежными, и блокирует сайты, признанные вредоносными. Вы можете настроить этот компонент в Kaspersky Security Center Web Console, определив настройки групповых политик.
• Обнаружение модификации прошивки (jailbreak). Если приложение Kaspersky Security для iOS обнаруживает модификацию прошивки (jailbreak), то отображает критическое сообщение и информирует вас о проблеме.

[Topic 274684]

О Kaspersky Mobile Devices Protection and Management

Плагин Kaspersky Mobile Devices Protection and Management позволяет управлять мобильными устройствами и установленными на них приложениями в Kaspersky Security Center Web Console. С помощью плагина Kaspersky Mobile Devices Protection вы можете:

• создавать групповые политики безопасности мобильных устройств;
• удаленно настраивать параметры работы приложения Kaspersky Endpoint Security для Android на мобильных устройствах пользователей;
• получать отчеты и статистику о работе приложения Kaspersky Endpoint Security для Android на мобильных устройствах пользователей;
• удаленно настраивать iOS-устройства, подключенные по протоколу iOS MDM (далее "iOS MDM-устройства") и iOS-устройства, на которых установлено приложение Kaspersky Security для iOS;
• удаленно настраивать устройства под управлением ОС Аврора, на которых установлено приложение Kaspersky Endpoint Security для ОС Аврора.

Плагин Kaspersky Mobile Devices Protection and Management можно установить во время настройки Kaspersky Security Center Web Console. Дополнительная информация о сценариях развертывания приведена в разделе Развертывание плагинов управления мобильными устройствами.

[Topic 102017]

Аппаратные и программные требования

В этом разделе содержатся аппаратные и программные требования к компьютеру администратора, который используется для развертывания приложений на мобильных устройствах, а также перечень операционных систем для мобильных устройств, работу с которыми поддерживает Kaspersky Secure Mobility Management.

Аппаратные и программные требования к компьютеру администратора

В зависимости от операционной системы, хост сервера должен удовлетворять следующим требованиям:

• Если вы используете Kaspersky Security Center Windows

  Программные требования:

  • Сервер администрирования Kaspersky Security Center Windows 14.2 или выше;
  • Консоль администрирования Kaspersky Security Center Windows 14.2 или выше;
  • плагин управления Kaspersky Endpoint Security для Android;
  • Сервер iOS MDM для Windows 14.2 или выше;
  • набор инструкций SSE2 или более новой версии.

  Аппаратные требования:

  • Для развертывания Kaspersky Secure Mobility Management должны удовлетворяться аппаратные требования Kaspersky Security Center.
  • Для Сервера iOS MDM:
    • процессор с частотой 1 ГГц или выше; для 64-разрядных операционных систем – 1,4 ГГц или выше;
    • 4 ГБ оперативной памяти;
    • 4 ГБ свободного места на диске.
• Если вы используете Kaspersky Security Center Linux

  Программные требования:

  • Сервер администрирования Kaspersky Security Center Linux 15.1 или выше;
  • Web Console Kaspersky Security Center Linux 15.1 или выше;
  • плагин Kaspersky Mobile Devices Protection and Management 10.53 или выше;
  • Сервер iOS MDM для Linux 15.1 или выше;
  • плагин параметров Сервера iOS MDM 15.1 или выше.

  Аппаратные требования:

  • Для развертывания Kaspersky Secure Mobility Management должны удовлетворяться аппаратные требования Kaspersky Security Center.
  • Для Сервера iOS MDM:
    • процессор с частотой 1 ГГц или выше; для 64-разрядных операционных систем – 1,4 ГГц или выше;
    • 4 ГБ оперативной памяти;
    • 4 ГБ свободного места на диске.

Совместимость со сторонними EMM-системами

Приложение Kaspersky Endpoint Security для Android может работать в составе сторонних EMM-систем:

• VMware AirWatch 9.3 или выше;
• MobileIron 10.0 или выше;
• IBM MaaS360 10.68 или выше;
• Microsoft Intune 1908 или выше;
• SOTI MobiControl 14.1.4 (1693) или выше.

Аппаратные и программные требования Kaspersky Endpoint Security для Android

Для установки Kaspersky Endpoint Security для Android мобильное устройство должно удовлетворять следующим требованиям:

• смартфон или планшет с разрешением экрана от 320x480 пикселей;
• 65 МБ свободного места в основной памяти устройства;
• Android 5 или выше (включая Android 12L, исключая Go Edition);
• архитектура процессора x86, x86-64, Arm5, Arm6, Arm7, Arm8;
• приложение устанавливается только в основную память устройства.

Аппаратные и программные требования Kaspersky Security для iOS

Для установки Kaspersky Security для iOS мобильное устройство должно удовлетворять следующим требованиям:

• iOS 15 или выше / iPadOS 15 или выше;
• подключение к интернету.

Аппаратные и программные требования к мобильному устройству пользователя для управляющего профиля (iOS MDM-профиля)

Для установки управляющего профиля (iOS MDM-профиля) мобильное устройство должно удовлетворять следующим требованиям:

• iOS 10 или выше / iPadOS 13 или выше;
• подключение к интернету.

[Topic 274687]

Известные проблемы и рекомендации

Следующие известные проблемы не являются критичными для работы решения.

Известные проблемы при подключении мобильных устройств к Kaspersky Security Center

• При подключении нового Android-устройства к Kaspersky Security Center с Google Play в качестве источника установки программы мобильный сертификат будет выпущен на 365 дней независимо от срока действия, установленного в Правила выпуска. При продлении сертификата срок действия будет соответствовать указанному в настройках сертификата.
• Вы не можете выбрать и отправить данные о подключении более чем 75 пользователям в течение одного сеанса работы Мастера подключения мобильного устройства.

Известные проблемы при управлении мобильными устройствами

• Если вы отредактируете поля Имя и Описание на вкладке Общие в свойствах устройства, изменения не отобразятся в списке мобильных устройств, подключенных к Kaspersky Security Center из-за технических ограничений.

Известные ошибки Kaspersky Security для iOS

• Приложение Kaspersky Security для iOS не может работать корректно, если на мобильном устройстве одновременно запущен VPN-клиент с активным VPN-подключением.

Известные проблемы при установке программы

• Kaspersky Endpoint Security для Android устанавливается только в основную память устройства.
• На устройствах под управлением Android 7 при попытке выключить права администратора для Kaspersky Endpoint Security для Android в настройках устройства может произойти сбой, если для Kaspersky Endpoint Security для Android запрещено наложение поверх других окон. Проблема связана с известным дефектом в Android 7.
• Приложение Kaspersky Endpoint Security для Android на устройствах под управлением Android 7.0 и выше не поддерживает многооконный режим.
• Kaspersky Endpoint Security для Android не работает на Chromebook-устройствах под управлением операционной системы Chrome.
• Kaspersky Endpoint Security для Android не работает на устройствах с операционной системой Android версии Go Edition.
• При использовании приложения Kaspersky Endpoint Security для Android со сторонними EMM-системами (например, VMWare AirWatch) без подключения к Kaspersky Security Center доступны только компоненты Защита от вредоносного ПО и Веб-Защита. Администратор может настраивать параметры Защиты от вредоносного ПО и Веб-Защиты в консоли EMM-системы. При этом уведомления о работе приложения доступны только в интерфейсе приложения Kaspersky Endpoint Security для Android (Отчеты).
• При установке Kaspersky Endpoint Security для Android на корпоративное устройство с помощью ADB, если вы установили пароль разблокировки экрана на устройстве после сброса его до заводских настроек, нужно снова сбросить устройство до заводских настроек перед установкой приложения с помощью ADB.

Известные проблемы при обновлении версии приложения

• Вы можете обновить Kaspersky Endpoint Security для Android только до более новой версии приложения. Обновить Kaspersky Endpoint Security для Android до более старой версии невозможно.

Известные проблемы, связанные с Wi-Fi

• На iOS MDM-устройствах, если вы выключите автоматическое подключение к уже добавленной сети Wi-Fi в параметрах политики, вы не сможете снова включить автоматическое подключение к этой сети. Это связано с проблемой, известной Apple.

Известные проблемы в работе Защиты от вредоносного ПО

• Из-за технических ограничений Kaspersky Endpoint Security для Android не может проверять файлы размером 2 ГБ и более. Во время проверки приложение пропускает такие файлы и не уведомляет вас, если такие файлы были пропущены.
• Для дальнейшей проверки устройства на новые угрозы, информация о которых еще не вошла в базы вредоносного ПО, требуется включить использование Kaspersky Security Network. Kaspersky Security Network (KSN) – инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Для использования KSN требуется подключение мобильного устройства к интернету.
• Иногда обновление баз вредоносного ПО с Сервера администрирования может завершиться ошибкой на мобильных устройствах. В этом случае запустите задачу обновления баз вредоносного ПО на Сервере администрирования.
• На некоторых устройствах Kaspersky Endpoint Security для Android не обнаруживает устройства, подключенные по USB OTG. Выполнить поиск вредоносного ПО на таких устройствах невозможно.
• На устройствах с операционной системой Android 11 или выше приложение Kaspersky Endpoint Security для Android не может сканировать папки Android/data и Android/obb и обнаруживать в них вредоносные программы из-за технических ограничений.
• На устройствах с операционной системой Android 11 и выше пользователю необходимо предоставить разрешение "Разрешить доступ на управление всеми файлами".
• На устройствах под управлением Android 7 и выше может некорректно отображаться окно настройки расписания запуска поиска вредоносного ПО (не отображаются элементы управления). Проблема связана с известным дефектом в Android 7.
• На устройствах под управлением Android 7 при выполнении задачи постоянной защиты в расширенном режиме не выполняется обнаружение угроз в файлах, хранящихся на внешней SD-карте.
• На устройствах под управлением Android 6 Kaspersky Endpoint Security для Android не обнаруживает загрузку вредоносного файла в память устройства. Вредоносный файл может быть обнаружен Защитой от вредоносного ПО при запуске файла или во время поиска вредоносного ПО на устройстве. Проблема связана с известным дефектом в Android 6. Для обеспечения безопасности устройства рекомендуется настроить запуск поиска вредоносного ПО по расписанию.

Известные проблемы в работе Веб-Защиты и Веб-Контроля

• Веб-Контроль на Android-устройствах поддерживается только браузерами Google Chrome, HUAWEI Browser, Samsung Internet и Яндекс Браузер.
• Функция Custom Tabs поддерживается браузерами Google Chrome, HUAWEI Browser и Samsung Internet.
• В браузерах HUAWEI Browser, Samsung Internet Browser и Яндекс Браузер Веб-Контроль не блокирует сайты на мобильном устройстве, если используется корпоративный контейнер и Веб-Защита включена только в корпоративном контейнере.
• Для работы Веб-Защиты и Веб-Контроля требуется включить использование Kaspersky Security Network. Веб-Контроль блокирует веб-сайты на основе данных о репутации и категории веб-сайтов, которые содержатся в KSN.
• На устройствах под управлением Android 6 c установленным браузером Google Chrome версии 51 или более ранних версий запрещенные веб-сайты могут не блокироваться Веб-Контролем, если веб-сайт открыт следующими способами (проблема связана с известным дефектом в Google Chrome):
  • из результатов поискового запроса;
  • из списка закладок;
  • из истории поисковых запросов;
  • при использовании функции автозаполнения веб-адреса;
  • при открытии веб-сайта на новой вкладке в Google Chrome.
• Запрещенные веб-сайты могут не блокироваться в браузере Google Chrome версии 50 или более ранних версий, если веб-сайт открыт из результатов поискового запроса Google и в настройках браузера включена функция Объединить вкладки и приложения. Проблема связана с известным дефектом в Google Chrome.
• Веб-сайты из запрещенных категорий могут не блокироваться в Google Chrome, если пользователь открывает их из сторонних приложений, например, из приложения IM-клиента. Проблема связана с особенностями работы службы Специальных возможностей с функцией Chrome Custom Tabs.
• Запрещенные веб-сайты могут не блокироваться в Samsung Internet, если пользователь открывает их в фоновом режиме из контекстного меню или из сторонних приложений, например, из приложения IM-клиента.
• Для работы Веб-Защиты и Веб-Контроля Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей.
• На некоторых устройствах Xiaomi для работы Веб-Защиты и Веб-Контроля должны быть предоставлены разрешения "Отображать всплывающее окно" и "Отображать всплывающие окна во время работы в фоновом режиме".
• Разрешенные веб-сайты могут блокироваться в браузере Samsung Internet в режиме Веб-Контроля Разрешить только указанные сайты при обновлении страницы. Веб-сайты блокируются, если регулярное выражение содержит дополнительные параметры (например, ^https?://example.com/pictures/). Рекомендуется использовать регулярные выражения без дополнительных параметров (например, ^https?://example.com).
• Если для Веб-Контроля выбран режим Запретить все сайты, то Kaspersky Endpoint Security для Android не блокирует поиск в виджете Google Поиск. Вместо этого блокируется доступ к результатам поиска.
• Если в корпоративном контейнере для Веб-Контроля выбран режим Запретить все сайты, то Kaspersky Endpoint Security для Android постоянно перезагружает главную страницу Google Chrome, блокирует браузер и мешает работе устройства.
• В Яндекс Браузере и Samsung Internet вредоносные и фишинговые сайты могут оставаться незаблокированными. Это связано с тем, что проверяется только домен сайта, и, если он является доверенным, Веб-Защита может пропустить угрозу.
• Список разрешенных сайтов, созданный в карточке Веб-Контроль, не отображается в Safari на iOS MDM-устройствах. Тем не менее, Веб-Контроль продолжает работать, и пользователи могут получить доступ только к разрешенным сайтам.
• Если в разделе "Веб-Контроль" параметров политики включен параметр Проверять полный веб-адрес при использовании Custom Tabs, переход в полную версию поддерживаемых браузеров работает только для фишинговых и вредоносных сайтов.
• На iOS-устройствах, работающих в режиме базовая защита, при смене языка на устройстве или перезагрузке устройства выключается Веб-Защита. Чтобы включить Веб-Защиту, подождите около минуты после смены языка или перезагрузки устройства и откройте Kaspersky Security для iOS.

Известные проблемы в работе Анти-Вора

• Для своевременной доставки команд на Android-устройства приложение использует сервис Firebase Cloud Messaging (FCM). Если FCM не настроен, команды будут доставлены на устройство только при синхронизации с Kaspersky Security Center по расписанию, заданному в политике, например, каждые 24 часа.
• Для блокирования устройства Kaspersky Endpoint Security для Android должен быть установлен в качестве администратора устройства.
• На устройствах под управлением операционной системы Android версии 7 и выше для блокирования устройства Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей.
• На некоторых устройствах команды Анти-Вора не могут быть выполнены, если на устройстве включен режим энергосбережения. Этот дефект подтвержден на Alcatel 5080X.
• Чтобы определить местоположение устройства с операционной системой Android 10 и выше, необходимо предоставить разрешение "Всегда" для доступа к местоположению устройства.

Известные проблемы в работе Контроля приложений

• Для работы Контроля приложений Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Это не относится к корпоративным устройствам.
• Для работы Контроля приложений (категории приложений) требуется включить использование Kaspersky Security Network. Контроль приложений определяет категорию приложения на основе данных, которые содержатся в KSN. Для использования KSN требуется подключение мобильного устройства к интернету. Для работы Контроля приложений вы можете добавить отдельные приложения в списки запрещенных и разрешенных приложений. В этом случае KSN не требуется.
• При настройке Контроля приложений рекомендуется снять флажок Блокировать системные приложения. Блокировка системных приложений может привести к проблемам в работе устройства.
• На iOS MDM-устройствах, если вы добавите приложения, которые разрешено устанавливать на устройство, в список разрешенных приложений, то все приложения, кроме добавленных в список и системных приложений, будут скрыты с экрана устройства.
• На некоторых личных устройствах HUAWEI и Honor приложения из разрешенных категорий могут быть заблокированы, а приложения из запрещенных категорий могут оставаться разблокированными. Это связано с тем, что категория для некоторых приложений из AppGallery не может быть определена правильно.
• На некоторых устройствах Samsung и Oppo после снятия флажка Блокировать системные приложения значки приложений могут остаться скрытыми на рабочем столе. Это связано с особенностями операционной системы Android.

Известные проблемы в работе Контроля соответствия

• Реакция на команду Отправить пользователю сообщение не работает в Контроле соответствия на iOS MDM-устройствах.
• Если в критерии Версия операционной системы указана несуществующая версия, устройство обновится до последней загруженной версии.

Известные проблемы при управлении сертификатами

• Когда в разделе Правила выпуска включен параметр Интегрировать выпуск сертификатов с Microsoft Certification Authority (CA) через PKI, параметры почтового и VPN-сертификатов могут перестать быть активными на некоторое время, пока ожидается ответ от PKI.
• Вы не можете автоматически обновить почтовый или VPN-сертификат, загруженный из файла (с выключенным параметром Интегрировать выпуск сертификатов с Microsoft Certification Authority (CA) через PKI в разделе Параметры PKI раздела Правила выпуска), поскольку у такого сертификата нет доступа к Certification Authority (CA). Чтобы обновить сертификат, вам необходимо вручную загрузить новый файл сертификата.
• При выпуске почтового или VPN-сертификата для Android-устройств в Мастере выпуска сертификата, если для параметра Способ подключения выбрано Подключение без аутентификации по мобильному сертификату и для параметра Способ аутентификации выбрано Доменные или внутренние учетные данные пользователя, то при попытке пользователя получить сертификат возникнет ошибка, показывающая, что логин и пароль неправильные. В этом случае выберите другой метод аутентификации.
• При установке пользовательского резервного сертификата Сервера администрирования с использованием файла в формате PEM (X.509) может возникнуть ошибка "Не удалось сохранить изменения". Мы рекомендуем загрузить файл сертификата еще раз или использовать сертификат в формате PKCS #12.

Известные проблемы при настройке надежности пароля разблокировки устройства

• На устройствах под управлением Android 10 и выше Kaspersky Endpoint Security приводит требования надежности пароля к одному из системных значений: средний или высокий.

  Если требуемая длина пароля составляет от 1 до 4 символов, приложение предлагает пользователю установить пароль средней надежности. Он должен быть либо цифровым (PIN-код) без повторяющихся или упорядоченных последовательностей (например 1234), либо буквенно-цифровым. PIN-код или пароль должны состоять не менее чем из 4 символов.

  Если требуемая длина пароля составляет не менее 5 символов, приложение предлагает пользователю установить пароль высокой надежности. Он должен быть либо цифровым (PIN-код) без повторяющихся или упорядоченных последовательностей, либо буквенно-цифровым (пароль). PIN-код должен состоять не менее чем из 8 цифр. Пароль должен состоять не менее чем из 6 символов.

• На устройствах под управлением Android 7.1.1 при несоответствии пароля разблокировки требованиям корпоративной безопасности (Контроль соответствия) системное приложение Настройки может работать некорректно при попытке изменить пароль разблокировки из Kaspersky Endpoint Security для Android. Проблема связана с известным дефектом в Android 7.1.1. Для изменения пароля разблокировки в этом случае используйте только системное приложение Настройки.
• На некоторых устройствах под управлением Android 6 и выше может произойти сбой при вводе пароля разблокировки экрана, если данные на устройстве зашифрованы. Проблема связана с особенностями работы Службы специальных возможностей на устройствах с прошивкой MIUI.
• На некоторых iOS MDM-устройствах, если задано значение параметра Минимальное количество специальных символов и установлен флажок Разрешить простой пароль, устройство отображает информацию об установке пароля из 6 или более символов, хотя можно установить пароль из 4 и более символов.

Известные проблемы, связанные с защитой от удаления приложения

• Kaspersky Endpoint Security для Android должен быть установлен в качестве администратора устройства.
• На устройствах под управлением операционной системы Android версии 7 и выше для защиты приложения от удаления Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей.
• На некоторых устройствах Xiaomi и HUAWEI защита Kaspersky Endpoint Security для Android от удаления не работает. Проблема связана с особенностями прошивки MIUI 7 и 8 на Xiaomi и прошивки EMUI на HUAWEI.

Известные проблемы при настройке ограничений устройства

• На личных устройствах и устройствах с созданным рабочим профилем под управлением Android 10 и выше запрет на использование сетей Wi-Fi не поддерживается.
• На устройствах с операционной системой Android 11 и выше Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Kaspersky Endpoint Security для Android предлагает пользователю установить приложение в качестве службы Специальных возможностей во время работы мастера первоначальной настройки. Пользователь может пропустить этот шаг или выключить службу в параметрах устройства позднее. В этом случае не удастся ограничить использование камеры.
• На iOS MDM-устройствах у пользователя может быть возможность разрешить результаты поиска Spotlight в интернете в предложениях Siri, даже если установлен флажок Запретить предложения Spotlight. Это связано с проблемой, известной Apple.
• На Android-устройствах, когда запрещено использование камеры, некоторые приложения могут автоматически закрываться. Эта проблема связана с особенностями работы таких сервисов и функций, как Android System Intelligence и Адаптивный спящий режим, которые используют камеру, чтобы экран не выключался, пока пользователь смотрит на него.

Известные проблемы при отправке команд на мобильные устройства

• На устройствах с операционной системой Android 12 и выше, если пользователю предоставлено разрешение "Использовать приблизительное местоположение", Kaspersky Endpoint Security для Android сначала пытается определить точное местоположение устройства. Если это не удалось, определяется приблизительное местоположение устройства, но только в том случае, если данные о нем были получены не более 30 минут назад. В противном случае команда Определить местоположение завершится с ошибкой.
• Если на Android-устройстве отключена служба Google "Точность местоположения", команда Определить местоположение работать не будет. Обращаем внимание, что не на всех Android-устройствах есть эта служба.
• Если вы отправите команду Включить Режим пропажи на iOS MDM-устройство в режиме supervised без SIM-карты, и это устройство будет перезапущено, оно не сможет подключиться к сети Wi-Fi и получить команду Выключить Режим пропажи. Эта проблема связана с особенностями iOS-устройств. Чтобы этого избежать, можно отправлять эту команду только на устройства с SIM-картой или вставить SIM-карту в заблокированное устройство – в этом случае оно сможет получить команду Выключить Режим пропажи по мобильной сети.
• Команда Сбросить настройки до заводских недоступна для личных устройств и устройств с корпоративным контейнером под управлением Android 14 или выше.

Известные проблемы, связанные с определенными моделями устройств

• На некоторых устройствах (например HUAWEI, Meizu, Xiaomi) требуется предоставить приложению Kaspersky Endpoint Security для Android разрешение на автоматический запуск или вручную добавить его в список приложений, запускаемых при загрузке операционной системы. Если приложение не добавлено в список, Kaspersky Endpoint Security для Android прекращает выполнять все свои функции после перезагрузки мобильного устройства. Также, если устройство было заблокировано, разблокировать устройство с помощью команды невозможно. Вы можете разблокировать устройство только с помощью одноразового кода разблокировки.
• На некоторых устройствах (например, Meizu, Asus) под управлением Android 6 и выше после шифрования данных и перезагрузки Android-устройства требует ввести цифровой пароль для разблокировки устройства. Если пользователь использует графический пароль для разблокировки, требуется перевести графический пароль в цифровой. Подробнее о переводе графического пароля в цифровой см. на сайте Службы технической поддержки компании-производителя мобильного устройства. Проблема связана с особенностями работы службы Специальных возможностей.
• На некоторых устройствах HUAWEI под управлением Android 5.Х после установки Kaspersky Endpoint Security для Android в качестве службы Специальных возможностей отображается неверное сообщение об отсутствии соответствующих прав. Чтобы скрыть это сообщение, включите приложение как защищенное в настройках устройства.
• На некоторых устройствах HUAWEI под управлением Android 5.X и 6.X при включенном режиме энергосбережения для Kaspersky Endpoint Security для Android пользователь может самостоятельно завершить работу приложения. После этого пользовательское устройство становится незащищенным. Проблема связана с особенностями программного обеспечения HUAWEI. Чтобы восстановить защиту устройства, запустите Kaspersky Endpoint Security для Android вручную. Рекомендуется отключить режим энергосбережения для приложения Kaspersky Endpoint Security для Android в настройках устройства.
• На устройствах HUAWEI с прошивкой EMUI под управлением Android 7 пользователь может скрыть уведомление о статусе защиты Kaspersky Endpoint Security для Android. Проблема связана с особенностями программного обеспечения HUAWEI.
• На некоторых Xiaomi-устройствах при установке в политике длины пароля больше 5 символов пользователю будет предложено изменить пароль разблокировки экрана, а не PIN-код. Установить PIN-код длиной более 5 символов невозможно. Проблема связана с особенностями программного обеспечения Xiaomi.
• На Xiaomi-устройствах с прошивкой MIUI под управлением Android 6 значок Kaspersky Endpoint Security для Android в строке состояния может быть скрыт. Проблема связана с особенностями программного обеспечения Xiaomi. Рекомендуется разрешить отображение значков уведомлений в настройках уведомлений.
• На некоторых Nexus-устройствах под управлением Android 6.0.1 во время работы мастера первоначальной настройки Kaspersky Endpoint Security для Android невозможно выдать необходимые права для корректной работы. Проблема связана с известным дефектом в Security Patch для Android от Google. Для корректной работы приложения требуется вручную выдать необходимые права в настройках устройства.
• На некоторых Samsung-устройствах под управлением операционной системы Android 7 и выше при попытке пользователя настроить неподдерживаемые способы разблокировки устройства (например, графический пароль) устройство может быть заблокировано, если выполнены следующие условия: включена защита Kaspersky Endpoint Security для Android от удаления и заданы требования к надежности пароля разблокировки экрана. Для разблокировки устройства требуется отправить на устройство специальную команду.
• На некоторых Samsung-устройствах невозможно запретить использование отпечатков пальцев для разблокировки экрана.
• На некоторых Samsung-устройствах не работает Веб-Защита и Веб-Контроль, если устройство подключено к сети 3G/4G, на устройстве включен режим энергосбережения и ограничены фоновые данные. Рекомендуется выключить функцию отключения фоновых процессов в настройках режима энергосбережения.
• Также на некоторых Samsung-устройствах при несоответствии пароля разблокировки требованиям корпоративной безопасности Kaspersky Endpoint Security для Android не запрещает использование отпечатков пальцев для разблокировки экрана.
• На некоторых устройствах Honor и HUAWEI невозможно ограничить использование Bluetooth. При попытке приложения Kaspersky Endpoint Security для Android ограничить использование Bluetooth операционная система показывает уведомление с вариантами действий: отклонить или разрешить это ограничение. Таким образом, пользователь может отклонить ограничение и продолжить использование Bluetooth.
• На устройствах Blackview пользователь может очистить память для приложения Kaspersky Endpoint Security для Android. В результате защита и управление устройством отключается, все заданные параметры становятся недействительными, а приложение Kaspersky Endpoint Security для Android удаляется из специальных возможностей. Это связано с тем, что устройства этого производителя предоставляют расширенные права приложению "Недавние экраны" (Recent screens). Приложение может переопределять значения параметров Kaspersky Endpoint Security для Android, и его нельзя заменить, поскольку оно является частью операционной системы Android.
• На некоторых устройствах Google Pixel под управлением Android 11 или ниже сразу после запуска приложения Kaspersky Endpoint Security для Android происходит его сбой. Это связано с проблемой в Android.
• На HUAWEI P60 Pro недоступно создание корпоративного контейнера.

Известные проблемы при работе на Android 13

• На Android 13 пользователь может использовать Диспетчер задач ОС, чтобы остановить работу Kaspersky Endpoint Security в фоновом режиме. Это связано с известной проблемой в Android 13.
• На Android 13 разрешение на отправку уведомлений запрашивается в начале настройки приложения. Это связано с особенностями операционной системы Android 13.

Известные проблемы, связанные с профилями политик

• При выборе лицензии с базовой функциональностью параметры, доступные только с лицензией с продвинутой функциональностью, не сбрасываются до значений по умолчанию в профилях политики.

Известные проблемы, связанные с управлением доступом на основе ролей

• Если право на управление лицензионным ключом не предоставлено, при открытии уже созданной политики может возникнуть ошибка. Это не влияет на работу политики.
• Если право на управление лицензионным ключом не предоставлено, вы можете создать политику без выбора лицензии в Мастере создания политики для мобильных устройств. Однако в этом случае вы не сможете настроить параметры политики.

[Topic 274688]

Начало работы

Этот раздел справки адресован специалистам, которые осуществляют установку Kaspersky Secure Mobility Management, и специалистам технической поддержки организаций, использующих Kaspersky Secure Mobility Management.

[Topic 274689]

Архитектура решения

Kaspersky Secure Mobility Management включает в себя следующие компоненты:

• Мобильное приложение Kaspersky Endpoint Security для Android.

  Kaspersky Endpoint Security для Android защищает мобильные устройства от веб-угроз, вирусов и других программ, представляющих угрозы.

• Мобильное приложение Kaspersky Security для iOS.

  Kaspersky Security для iOS защищает мобильные устройства от фишинга и веб-угроз и позволяет обнаруживать jailbreak на устройствах.

• Плагин Kaspersky Mobile Devices Protection and Management.

  Плагин Kaspersky Mobile Devices Protection and Management позволяет управлять устройствами на Android и iOS в Kaspersky Security Center Web Console.

• Сервер iOS MDM.

  Сервер iOS MDM позволяет подключать iOS-устройства к Серверу администрирования и управлять iOS-устройствами.

• Плагин параметров Сервера iOS MDM.

  Плагин параметров Сервера iOS MDM позволяет настраивать параметры Сервера iOS MDM.

[Topic 283465]

Сценарии развертывания

Развертывание Kaspersky Secure Mobility Management в Kaspersky Security Center Web Console состоит из следующих шагов:

1. Развертывание Kaspersky Security Center Linux и Kaspersky Security Center Web Console
2. Развертывание плагинов для управления мобильными устройствами
3. Настройка параметров Сервера администрирования для подключения мобильных устройств
4. Развертывание системы управления iOS-устройствами
5. Развертывание системы управления Android-устройствами
6. Управление мобильными устройствами в Kaspersky Security Center Web Console

[Topic 283464]

Развертывание решения для управления мобильными устройствами в Kaspersky Security Center Web Console

Для подключения и управления мобильными устройствами с помощью Kaspersky Security Center Web Console необходимо развернуть решение для управления мобильными устройствами. В этом разделе описаны действия, которые вам рекомендуется выполнить при начале работы с Kaspersky Secure Mobility Management.

[Topic 274852]

Развертывание Kaspersky Security Center Linux и Kaspersky Security Center Web Console

Выберите устройство с операционной системой Linux, которое будет использовано в качестве рабочей станции администратора; убедитесь, что аппаратное и программное обеспечение устройства соответствует требованиям, и установите на это устройство Kaspersky Security Center Web Console.

Инструкции по установке Kaspersky Security Center Linux приведены в справке Kaspersky Security Center.

Инструкции по установке Kaspersky Security Center Web Console приведены в справке Kaspersky Security Center Linux.

[Topic 274715]

Развертывание плагинов для управления мобильными устройствами

Для использования решения Kaspersky Secure Mobility Management и подключения мобильных устройств необходимо добавить и установить следующие плагины:

• Плагин Kaspersky Mobile Devices Protection and Management
  • on_prem_ksm_policies_<версия>.zip

    Архив, содержащий файлы, необходимые для установки плагина Kaspersky Mobile Devices Protection and Management:

    • plugin.zip

      Архив, содержащий плагин Kaspersky Mobile Devices Protection and Management.

    • signature.txt

      Файл, содержащий подпись для плагина Kaspersky Mobile Devices Protection and Management.

• Плагин параметров Сервера iOS MDM
  • on_prem_iosmdm_<версия>.zip

    Архив, содержащий файлы, необходимые для установки плагина параметров Сервера iOS MDM:

    • plugin.zip

      Архив, содержащий плагин параметров Сервера iOS MDM.

    • signature.txt

      Файл, содержащий подпись для плагина параметров Сервера iOS MDM.

Чтобы установить плагин управления:

1. В главном окне Kaspersky Security Center Web Console выберите Параметры > Веб-плагины.
2. В открывшемся окне нажмите Добавить.

   Отобразится список доступных плагинов.

3. В списке доступных плагинов нажмите на имя плагина, который требуется установить.

   Отобразится страница с описанием плагина.

4. На странице описания плагина нажмите Установить плагин.
5. После завершения установки нажмите ОК.

Плагин управления будет загружен в конфигурации по умолчанию и появится в списке плагинов управления.

Вы можете добавлять плагины и обновлять загруженные плагины из файла. Вы можете загрузить плагины управления с сайта Службы технической поддержки "Лаборатории Касперского".

Чтобы загрузить или обновить плагин управления из файла:

1. В главном окне Kaspersky Security Center Web Console выберите Параметры > Веб-плагины.
2. В открывшемся окне:
   • Нажмите Добавить из файла, чтобы загрузить плагин из файла.
   • Нажмите Обновить из файла, чтобы загрузить обновление для плагина из файла.
3. Укажите файл и подпись файла.
4. Загрузите указанные файлы.

Плагин управления будет загружен из файла и появится в списке плагинов управления.

Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы), а также функциональность KSN могут быть недоступны в решении на территории США.

[Topic 274722]

Настройка параметров Сервера администрирования для подключения мобильных устройств

Перед подключением мобильных устройств к Kaspersky Security Center Web Console необходимо настроить параметры подключения в свойствах Сервера администрирования.

Чтобы настроить параметры Сервера администрирования для подключения мобильных устройств:

1. В главном окне Kaspersky Security Center Web Console нажмите на значок настроек () рядом с названием Сервера администрирования.
2. В открывшемся окне свойств Сервера администрирования настройте порт Сервера администрирования, который будет использоваться для мобильных устройств:
   1. На вкладке Общие выберите раздел Дополнительные порты.
   2. Включите переключатель Открыть порт для мобильных устройств.

      Если этот параметр включен, порт Сервера администрирования открыт для мобильных устройств.

   3. В поле Порт для синхронизации мобильных устройств укажите порт, по которому мобильные устройства будут подключаться к Серверу администрирования.

      По умолчанию указан порт 13292.

      Если переключатель Открыть порт для мобильных устройств выключен или порт указан неверно, мобильные устройства не смогут подключаться к Серверу администрирования.

3. При необходимости замените сертификат, используемый устройствами для подключения к Серверу администрирования.

   По умолчанию используется сертификат, созданный после открытия порта для мобильных устройств. Замените сертификат, выданный Сервером администрирования, на другой сертификат или перевыпустите его.

   Чтобы изменить сертификат:

   1. На вкладке Общие выберите раздел Сертификаты.
   2. Задайте необходимые параметры.

      Подробная информация о работе с сертификатами Kaspersky Security Center Linux приведена в справке Kaspersky Security Center.

4. Нажмите Сохранить, чтобы сохранить внесенные изменения и закрыть окно свойств Сервера администрирования.

Параметры для подключения мобильных устройств настроены.

[Topic 274849]

Сценарий: Настройка шлюза соединения для подключения мобильных устройств к Kaspersky Security Center Web Console

В этом сценарии описывается настройка шлюза соединения для подключения мобильных устройств к Серверу администрирования Kaspersky Security Center.

Требования

Чтобы шлюз соединения корректно работал с мобильными устройствами, должны соблюдаться следующие требования:

• Порт 13292 должен быть открыт на хосте со шлюзом соединения.
• Порт 13000 должен быть открыт между шлюзом соединения и Kaspersky Security Center. Его открытие наружу из демилитаризованной зоны не требуется.
• Хост должен иметь статический адрес, доступный из интернета.

Этапы

Настройка включает в себя следующие шаги:

1. Установка Агента администрирования на хост, выполняющий роль шлюза соединения

   Сначала нужно установить Агент администрирования на выбранном устройстве-хосте, который будет выступать в качестве шлюза соединения.

   Информация о создании инсталляционного пакета Агента администрирования приведена в справке Kaspersky Security Center.

   Вы можете установить Агент администрирования в интерактивном режиме, указав параметры установки шаг за шагом. Вы также можете использовать файл ответов – текстовый файл, который содержит пользовательский набор параметров установки: переменные и их соответствующие значения. Использование файла ответов позволяет запустить установку в тихом режиме, то есть без участия пользователя. Информация об установке Агента администрирования в тихом режиме приведена в справке Kaspersky Security Center.

2. Настройка шлюза соединения на Сервере администрирования Kaspersky Security Center

   После установки Агента администрирования в качестве шлюза соединения нужно подключить его к Серверу администрирования. Сервер администрирования пока не отображает устройство со шлюзом соединения в списке управляемых устройств, поскольку шлюз соединения еще не подключался к Серверу администрирования.

   Нужно создать новую группу в группе Управляемые устройства и добавить устройство, выступающее в качестве шлюза соединения, в созданную группу. Информация о том, как вручную добавлять устройства в группы в Kaspersky Security Center Web Console, приведена в справке Kaspersky Security Center.

   После этого назначьте устройство точкой распространения и настройте точку распространения для работы в качестве шлюза соединения в разделе Шлюз соединения свойств точки распространения. Затем включите параметры Открыть порт для мобильных устройств (SSL-аутентификация только Сервера администрирования) и Открыть порт для мобильных устройств (двусторонняя SSL-аутентификация) и укажите порты и имена DNS-доменов точки распространения для подключения мобильных устройств.

Результаты

Будет настроен шлюз соединения. Теперь вы сможете добавлять новые мобильные устройства, указав адрес шлюза соединения.

[Topic 274695]

Добавление инсталляционных пакетов в хранилище Сервера администрирования

Для дальнейшего развертывания систем управления мобильными устройствами необходимо добавить в хранилище Сервера администрирования следующие инсталляционные пакеты:

• Инсталляционный пакет Агента администрирования для Linux (для последующей установки Агента администрирования на рабочую станцию).
• Инсталляционный пакет Сервера iOS MDM (для последующей установки Сервера iOS MDM для подключения и управления iOS-устройствами).
• Инсталляционный пакет Kaspersky Endpoint Security для Android (для последующей установки Kaspersky Endpoint Security для Android на устройства).

Инструкции по добавлению инсталляционных пакетов в хранилище Сервера администрирования приведены в справке Kaspersky Security Center.

[Topic 274850]

Добавление лицензионного ключа в хранилище Сервера администрирования

Для подключения мобильных устройств к Kaspersky Security Center Web Console и управления ими необходимо добавить в хранилище Сервера администрирования лицензионный ключ, поддерживающий решение для управления мобильными устройствами.

Используемая лицензия определяет набор базовых и расширенных параметров, которые вы можете настраивать. С лицензией без поддержки расширенной функциональности Kaspersky Secure Mobility Management в плагине Kaspersky Mobile Devices Protection and Management доступны только базовые параметры защиты устройств. Подробная информация о лицензиях приведена в разделе О лицензии.

Чтобы добавить лицензионный ключ в хранилище Сервера администрирования:

• В главном окне Kaspersky Security Center Web Console нажмите на значок настроек () рядом с названием Сервера администрирования.

  Откроется окно свойств Сервера администрирования.

  1. На вкладке Общие выберите раздел Лицензионные ключи.
  2. В блоке параметров Действующая лицензия нажмите Выбрать и укажите файл в формате KEY, который вы хотите добавить.

     Выбранная лицензия должна поддерживать решение для управления мобильными устройствами.

  3. Нажмите Сохранить.

Лицензионный ключ добавлен в хранилище Сервера администрирования.

Чтобы просмотреть список лицензионных ключей, добавленных в хранилище Сервера администрирования:

В главном окне Kaspersky Security Center Web Console выберите Операции > Лицензии "Лаборатории Касперского".

Отобразится список файлов ключей и кодов активации, добавленных в хранилище Сервера администрирования.

Чтобы просмотреть подробную информацию о лицензионном ключе:

1. В главном окне Kaspersky Security Center Web Console выберите Операции > Лицензии "Лаборатории Касперского".
2. Нажмите на имя требуемого лицензионного ключа.

   В открывшемся окне свойств лицензионного ключа на вкладке Общие вы можете просмотреть подробную информацию о выбранном лицензионном ключе.

[Topic 274820]

Установка Агента администрирования для Linux

Агент администрирования для Linux - это компонент Kaspersky Security Center, осуществляющий взаимодействие между Сервером администрирования и приложениями "Лаборатории Касперского", установленными на рабочей станции или сервере.

Для развертывания системы управления iOS-устройствами необходимо установить Агент администрирования на рабочую станцию, на которой в дальнейшем будет развернут Сервер iOS MDM. После установки Агента администрирования вы сможете настроить и установить Сервер iOS MDM для последующего подключения и управления iOS-устройствами.

Инструкции по установке Агента администрирования для Linux приведены в справке Kaspersky Security Center.

[Topic 274848]

Настройка параметров Веб-сервера Kaspersky Security Center Linux

Веб-сервер Kaspersky Security Center Linux - это компонент Kaspersky Security Center Linux, который устанавливается в составе Сервера администрирования. Веб-сервер предназначен для передачи по сети автономных пакетов установки, управляющих профилей, а также файлов из папки общего доступа.

Созданные инсталляционные пакеты публикуются на Веб-сервере автоматически и удаляются после первой загрузки. Администратор может передать сформированную ссылку пользователю любым удобным способом, например, по электронной почте.

Дополнительная информация приведена в справке Kaspersky Security Center.

Для подключения мобильных устройств убедитесь, что в свойствах Сервера администрирования правильно указан FQDN веб-сервера:

1. В главном окне Kaspersky Security Center Web Console нажмите на значок настроек () рядом с названием Сервера администрирования.
2. В открывшемся окне свойств Сервера администрирования на вкладке Общие выберите раздел Веб-сервер.
3. Убедитесь, что указанное в поле Веб-сервер FQDN полное доменное имя (FQDN) является публичным и определяется DNS-серверами.

[Topic 284061]

Развертывание системы управления iOS-устройствами

Kaspersky Secure Mobility Management позволяет управлять мобильными устройствами под управлением iOS. В этом разделе описано развертывание системы управления iOS-устройствами.

[Topic 274858]

О режимах работы iOS-устройств

Режим работы устройства зависит от того, кому принадлежит мобильное устройство (личное или корпоративное) и требований корпоративной безопасности. Вы можете выбрать наиболее подходящий для компании режим работы, а также использовать несколько режимов одновременно.

Для iOS-устройств доступны следующие режимы работы:

• Базовая защита
• Базовый контроль
• Расширенный контроль

Базовая защита

Базовая защита - это режим работы для личных или корпоративных iOS-устройств. Этот режим работы позволяет защищать от веб-угроз и обнаруживать jailbreak на устройствах с помощью приложения Kaspersky Security для iOS.

Базовый контроль

Базовый контроль - это режим работы для личных и корпоративных iOS-устройств. Этот режим работы позволяет защищать устройства и выполнять базовое управление ими.

В этом режиме пользователю разрешено использовать персональный Apple ID, работать с любыми приложениями и хранить персональные данные на устройстве. Вы можете настроить параметры политики для контроля доступа пользователей к корпоративным ресурсам и управления другими требованиями безопасности.

Для управления iOS-устройствами в режиме "Базовый контроль" необходимо установить и настроить Сервер iOS MDM.

Расширенный контроль

Расширенный контроль - это режим работы для корпоративных iOS-устройств. Этот режим работы предлагает наиболее широкий набор параметров для настройки в политике по сравнению с другими режимами, например:

• Отправка дополнительных команд для управления настройками Bluetooth, обновления операционной системы, определения местоположения устройства или воспроизведения звукового сигнала в Режиме пропажи.
• Управление дополнительными ограничениями:
  • Ограничения сети (запрет на изменение настроек Режима модема и создание конфигураций VPN, принудительное включение Wi-Fi и подключение к разрешенным сетям, запрет на изменение настроек Bluetooth).
  • Ограничения приложений (например, запрет на установку приложений из Apple Configurator и iTunes).
  • Запрет доступа к USB-устройствам в приложении "Файлы" и отключение доступа к USB-устройствам, когда устройство заблокировано.
• Настройка расширенных параметров Контроля приложений (например, создание собственных списков разрешенных и запрещенных приложений).
• Настройка Веб-Контроля.
• Настройка HTTP-прокси для отслеживания интернет-трафика на устройстве в корпоративной сети.

Для управления iOS-устройствами в режиме "Расширенный контроль" необходимо установить и настроить Сервер iOS MDM, а также перевести устройства в управляемый режим в Apple Configurator. Дополнительная информация о работе с Apple Configurator приведена на сайте Службы технической поддержки Apple.

[Topic 284150]

Об управляющих профилях

Управляющий профиль - это профиль, который содержит параметры для подключения iOS-устройств к Kaspersky Security Center. После установки управляющего профиля и синхронизации устройства с Сервером iOS MDM, устройство становится управляемым (iOS MDM-устройством). Управление iOS MDM-устройствами осуществляется через службу уведомлений Apple Push (APNs).

С помощью управляющего профиля можно выполнять следующие действия:

• Удаленно настраивать параметры iOS MDM-устройств с помощью политик.
• Отправлять команды на iOS MDM-устройства.
• Удаленно устанавливать приложения "Лаборатории Касперского" и сторонние приложения.

Развертывание управляющего профиля осуществляется через Kaspersky Security Center Web Console с помощью Мастера подключения мобильного устройства. Пользователь устанавливает управляющий профиль после получения письма с информацией для подключения мобильного устройства к Kaspersky Security Center. Дополнительной подготовки управляющего профиля к работе не требуется.

Перед установкой управляющего профиля необходимо развернуть систему управления iOS-устройствами.

[Topic 284062]

Установка Kaspersky Security для iOS

В этом разделе содержится общий обзор приложения Kaspersky Security для iOS и процесса его активации.

Подробная информация о возможностях Kaspersky Security для iOS, установке, обновлении и удалении приложения приведена в разделе Использование приложения Kaspersky Security для iOS.

[Topic 274855]

Установка Kaspersky Security для iOS

Приложение Kaspersky Security для iOS обеспечивает защиту мобильных устройств от фишинга и веб-угроз.

Kaspersky Security для iOS предоставляет следующие ключевые функции:

• Веб-Защита. Позволяет блокировать вредоносные веб-сайты, цель которых – распространить вредоносный код. Веб-Защита также блокирует поддельные (фишинговые) сайты, цель которых – украсть конфиденциальные данные пользователя (например, пароли от интернет-банка или платежных систем) и получить доступ к его финансовым счетам. Веб-Защита проверяет сайты перед открытием, используя облачную службу Kaspersky Security Network. После сканирования Веб-Защита разрешает загрузку надежных сайтов и блокирует вредоносные. Этот компонент можно настроить в Kaspersky Security Center Web Console, указав соответствующие параметры политики.
• Обнаружение модификации прошивки (jailbreak). Если приложение Kaspersky Security для iOS обнаруживает модификацию прошивки (jailbreak), оно отображает критическое сообщение и информирует о проблеме.

[Topic 284115]

Активация Kaspersky Security для iOS

В Kaspersky Security Center лицензия может распространяться на различные группы функциональности. Для полноценного функционирования приложения Kaspersky Security для iOS необходимо, чтобы приобретенная организацией лицензия на Kaspersky Security Center распространялась на функциональность Управление мобильными устройствами.

Подробная информация о вариантах лицензирования приведена в разделе О лицензии.

Активация приложения Kaspersky Security для iOS на мобильном устройстве осуществляется путем предоставления приложению корректной информации о лицензии. Информация о лицензии передается на мобильное устройство вместе с параметрами политики при синхронизации устройства с Kaspersky Security Center.

Если мобильное приложение не было активировано в течение 30 дней с момента установки на мобильное устройство, оно автоматически переключается в режим работы с ограниченной функциональностью. В этом режиме большинство компонентов приложения не работает. При переходе в режим работы с ограниченной функциональностью приложение прекращает выполнять автоматическую синхронизацию с Kaspersky Security Center. Поэтому, если приложение не было активировано в течение 30 дней с момента установки, пользователю необходимо вручную выполнить синхронизацию устройства с Kaspersky Security Center.

Если Kaspersky Security Center не развернут в вашей организации или недоступен для мобильных устройств, пользователи могут активировать мобильное приложение на своих устройствах вручную.

Чтобы активировать мобильное приложение:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Нажмите на кнопку Лицензия.
4. В раскрывающемся списке в открывшемся окне выберите требуемый лицензионный ключ в хранилище ключей Сервера администрирования.

   Подробная информация о лицензионном ключе отображается в полях ниже.

   Если выбрать файл ключа из хранилища ключей Kaspersky Security Center и отправить его на устройство, Kaspersky Security для iOS не сможет его обработать, потому что не поддерживает такой формат активации. Чтобы активировать Kaspersky Security для iOS, нужно добавить код активации в Kaspersky Security Center.

   Вы можете заменить существующий ключ активации на мобильном устройстве, если он отличается от ключа, выбранного в раскрывающемся списке. Для этого установите флажок Заменить ключ, если на устройствах добавлен другой ключ.

5. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Приложение будет активировано после очередной синхронизации устройства с Сервером администрирования.

Пользователь также может обратиться к администратору за кодом активации и ввести его вручную.

[Topic 274697]

Развертывание системы управления по протоколу iOS MDM

Управление iOS-устройствами в режимах "Базовый контроль" и "Расширенный контроль" осуществляется через протокол iOS MDM. Чтобы развернуть систему управления мобильными устройствами с использованием протокола iOS MDM и подключить iOS-устройства к Kaspersky Security Center, выполните следующие шаги:

1. Развертывание Сервера iOS MDM
2. Получение APNs-сертификата
3. Установка APNs-сертификата на Сервер iOS MDM
4. Подключение iOS-устройств к Kaspersky Security Center

[Topic 274696]

Развертывание Сервера iOS MDM

Сервер iOS MDM - это компонент Kaspersky Secure Mobility Management, который позволяет iOS MDM-устройствам подключаться к Kaspersky Security Center и упрощает управление ими через службу уведомлений Apple Push (APNs) путем установки на устройства управляющих профилей.

Сервер iOS MDM принимает входящие соединения от мобильных устройств на свой TLS-порт (по умолчанию порт 443) и управляется со стороны Kaspersky Security Center с помощью Агента администрирования. Агент администрирования устанавливается локально на устройстве, на котором будет развернут Сервер iOS MDM.

Количество устанавливаемых копий Сервера iOS MDM зависит от доступного аппаратного обеспечения и от общего числа обслуживаемых мобильных устройств.

Обратите внимание, что рекомендуемое максимальное количество мобильных устройств, которыми можно управлять через Сервер iOS MDM, составляет 50 000. С целью уменьшения нагрузки устройства можно распределить между несколькими серверами с установленным Сервером iOS MDM.

[Topic 274868]

Настройка инсталляционного пакета Сервера iOS MDM

Перед установкой Сервера iOS MDM необходимо настроить свойства его инсталляционного пакета.

Инсталляционный пакет Сервера iOS MDM - это архив, содержащий файлы, необходимые для установки Сервера, в зависимости от менеджера пакетов и архитектуры: kliosmdm-<architecture>-<version>-<package manager>_<language>.tar.gz

Чтобы настроить инсталляционный пакет Сервера iOS MDM:

1. В главном окне Kaspersky Security Center Web Console выберите Операции > Хранилища > Инсталляционные пакеты.
2. В открывшемся окне выберите инсталляционный пакет Сервера iOS MDM, который вы хотите настроить.

   Откроется окно свойств инсталляционного пакета.

3. На вкладке Параметры укажите настройки Сервера iOS MDM.
   1. В блоке настроек Параметры подключения укажите следующие значения:

      Рекомендуется использовать значения по умолчанию.

      • Внешний порт подключения к службе iOS MDM. В этом поле укажите внешний порт для подключения мобильных устройств к службе iOS MDM.

        Внешний порт 5223 используется мобильными устройствами для связи с APNs-сервером. Убедитесь, что в сетевом экране открыт порт 5223 для подключения к диапазону адресов 17.0.0.0/8.

        Для подключения устройств к Серверу iOS MDM по умолчанию используется порт 443. Если порт 443 уже используется другой службой или приложением, вместо него можно использовать, например, порт 9443.

        Порт 2197 используется Сервером iOS MDM для отправки уведомлений на APNs-сервер. APNs-серверы работают в режиме сбалансированной нагрузки. Мобильные устройства не всегда подключаются к одним и тем же IP-адресам для получения уведомлений. Диапазон адресов 17.0.0.0/8 зарезервирован за компанией Apple, поэтому рекомендуется указать его в качестве разрешенного диапазона в параметрах сетевого экрана.

      • Порт подключения к Агенту администрирования. В этом поле укажите порт для подключения службы iOS MDM к Агенту администрирования. По умолчанию используется порт 9799.
      • Локальный порт подключения к службе iOS MDM. В этом поле укажите локальный порт подключения Агента администрирования к службе iOS MDM. По умолчанию используется порт 9899.
   2. В блоке настроек Адрес Сервера iOS MDM укажите адрес устройства, на который будет установлен Сервер iOS MDM. Этот адрес будет использоваться для подключения управляемых мобильных устройств к службе iOS MDM. Устройство должно быть доступно для подключения iOS MDM-устройств.

      Выберите один из следующих вариантов:

      • Использовать FQDN-имя устройства. Будет использоваться полное доменное имя (FQDN) устройства.
      • Использовать указанный адрес. Введите адрес устройства вручную.

        Не включайте в строку с адресом URL-схему и номер порта. Эти значения будут добавлены автоматически.

4. Нажмите Сохранить.

Свойства инсталляционного пакета Сервера iOS MDM настроены. Теперь вы можете установить Сервер iOS MDM с указанными настройками.

[Topic 274867]

Установка Сервера iOS MDM с помощью задачи удаленной установки

Kaspersky Security Center Web Console позволяет установить Сервер iOS MDM с помощью задачи удаленной установки. Эта задача создается и назначается устройствам (до 1000 устройств) с помощью соответствующего мастера. С помощью мастера можно установить Сервер iOS MDM в группе администрирования, на устройствах с определенными IP-адресами или на выбранных управляемых устройствах.

Обратите внимание, что вы не сможете указать настройки Сервера iOS MDM во время установки. Эти параметры настраиваются в свойствах инсталляционного пакета Сервера iOS MDM.

Перед установкой Сервера iOS MDM на устройстве убедитесь, что установлены плагины Kaspersky Mobile Devices Protection and Management и Параметры Сервера iOS MDM.

Чтобы установить Сервер iOS MDM с помощью задачи удаленной установки:

1. Установите Агент администрирования на устройство, на котором будет развернут Сервер iOS MDM.
2. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM.
3. Нажмите Установить.

   Запустится Мастер создания задачи. Для продолжения работы мастера нажмите Далее.

4. В открывшемся окне Параметры новой задачи:
   1. В поле Название задачи при необходимости укажите произвольное имя задачи (имя по умолчанию - "Установить Сервер iOS MDM").
   2. В блоке настроек Устройства, которым будет назначена задача выберите Задать адреса устройств вручную или импортировать из списка. Вы можете задавать DNS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым нужно назначить задачу.
5. На шаге Область действия задачи:
   1. Нажмите Добавить устройства.
   2. В открывшемся окне из выпадающего списка выберите Выбрать устройства, обнаруженные в сети Сервером администрирования.
   3. Укажите устройства или выборку устройств.
   4. Нажмите Добавить.

   Добавленные устройства отобразятся в таблице.

6. На шаге Инсталляционные пакеты укажите следующие параметры:
   1. В поле Выбор инсталляционного пакета выберите настроенный инсталляционный пакет Сервера iOS MDM.
   2. В поле Выбор Агент администрирования выберите установленный Агент администрирования.
   3. В блоке настроек Принудительно загрузить инсталляционный пакет выберите C помощью Агента администрирования, чтобы доставить на устройства файлы, необходимые для установки Сервера iOS MDM, с помощью Агента администрирования.
   4. В поле Максимальное количество одновременных загрузок укажите максимально допустимое количество устройств, на которые Сервер администрирования может одновременно передавать файлы.
   5. В поле Максимальное количество попыток установок укажите максимально допустимое количество запусков приложения установки.
   6. Укажите дополнительные параметры:
      • Установите флажок Не устанавливать приложение, если оно уже установлено. Приложение не будет устанавливаться заново, если оно уже установлено на устройстве.
      • Установите флажок Предварительно проверять тип операционной системы перед загрузкой. Перед передачей файлов на устройства Kaspersky Security Center проверит, применимы ли параметры утилиты установки к операционной системе устройства. Если параметры не применимы, Kaspersky Security Center не передаст файлы и не попытается установить приложение. Например, чтобы установить некоторые приложения с устройств группы администрирования, в которую входят устройства с различными операционными системами, вы можете назначить задачу установки группе администрирования, а затем включить этот параметр, чтобы пропускать устройства с операционной системой, отличной от требуемой.
7. На следующем шаге мастера вам будет предложено указать, требуется ли перезагрузка устройства при установке приложения. Выберите Не перезагружать устройство или пропустите этот шаг, так как он не применим к операционной системе Linux.
8. На шаге Выбор учетных записей для доступа к устройствам выберите Учетная запись не требуется (Агент администрирования уже установлен). Если выбран этот вариант, не требуется указывать учетную запись, от имени которой будет запускаться инсталлятор приложения. Задача запускается под учетной записью, под которой работает служба Сервера администрирования. Если Агент администрирования не установлен на устройствах, вариант недоступен.
9. На шаге Завершение создания задачи нажмите Готово, чтобы создать задачу и закрыть мастер.

Сервер iOS MDM установлен с помощью задачи удаленной установки.

[Topic 274870]

Локальная установка Сервера iOS MDM на устройстве с помощью инсталляционного пакета

Kaspersky Security Center Web Console позволяет установить Сервер iOS MDM на устройстве локально с помощью инсталляционного пакета, то есть без интерактивного ввода параметров установки.

Перед установкой Сервера iOS MDM на устройстве убедитесь, что установлены плагины Kaspersky Mobile Devices Protection and Management и Параметры Сервера iOS MDM.

Чтобы установить и настроить Сервер iOS MDM вручную на локальном устройстве:

1. Установите Сервер iOS MDM:
   1. Прочитайте Лицензионное соглашение. Используйте команду ниже, только если вы поняли и принимаете условия Лицензионного соглашения.
   2. В зависимости от вашей операционной системы выполните одну из следующих команд для запуска установочного файла:
      1. Для Debian:

         apt install /<path>/kliosmdm_<version_number>_amd64.deb

      2. Для Red Hat Enterprise Linux:

         yum install /<path>/kliosmdm_<version_number>.x86_64.rpm -y

         Сервер iOS MDM установлен. Установщик предлагает начать процедуру установки, выполнив скрипт postinstall.pl.

2. Настройте Сервер iOS MDM одним из способов:
   1. Настройка с параметрами postinstall, заданными интерактивным пошаговым мастером:
      1. Выполните следующую команду:

         /opt/kaspersky/iosmdm/lib/bin/setup/postinstall.pl

   2. Настройка с ключевыми аргументами, указанными в качестве параметров postinstall:
      1. Выполните следующую команду:

         opt/kaspersky/bin/postinstall.pl -- <params>

         где <params> - это один из параметров, указанных в таблице Параметров установки Сервера iOS MDM ниже.

Имена и возможные значения параметров, которые можно использовать при установке Сервера iOS MDM, приведены в таблице. Параметры можно указывать в любом порядке.

Параметры установки Сервера iOS MDM

Чтобы установить и настроить Сервер iOS MDM автоматически в тихом режиме с использованием файла ответов:

Файл ответов - это текстовый файл, содержащий пользовательский набор параметров установки (переменные и соответствующие им значения).

1. Создайте файл ответов (в формате TXT) в каталоге, где будет выполняться установка: /tmp/answers.txt.
2. Укажите требуемые значения в файле ответов:
   • EULA_ACCEPTED=1

     Согласие с условиями Лицензионного соглашения.

   • KLIOSMDM_AUTOINSTALL=1

     Использование файла ответов в формате TXT с параметрами установки Сервера iOS MDM.

   • EXTERNALSERVERPORT=443

     Порт для подключения устройства к Серверу iOS MDM.

   • CONNECTORPORT=9799

     Локальный порт для подключения службы iOS MDM к Агенту администрирования.

   • LOCALSERVERPORT=9899

     Локальный порт для подключения Агента администрирования к службе iOS MDM.

   • EXTERNAL_SERVER_URL=example.fqdn.com

     Внешний адрес устройства, на котором будет установлен Сервер iOS MDM.

3. Задайте значение переменной среды KLAUTOANSWERS, введя полное имя файла ответов (включая путь), например, следующим образом: export KLAUTOANSWERS=/tmp/answers.txt.
4. Запустите установку Сервера iOS MDM.

Сервер iOS MDM установлен и настроен автоматически в тихом режиме с использованием файла ответов.

[Topic 287006]

Обновление Сервера iOS MDM с помощью задачи удаленной установки или локально

Kaspersky Security Center Web Console позволяет обновить Сервер iOS MDM с помощью задачи удаленной установки или локально на устройстве.

Обратите внимание, что вы не сможете указать настройки Сервера iOS MDM во время обновления. Эти параметры настраиваются в свойствах инсталляционного пакета Сервера iOS MDM.

Чтобы обновить Сервер iOS MDM с помощью задачи удаленной установки:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM.
2. Нажмите Обновить.

   Запустится Мастер создания задачи. Для продолжения работы мастера нажмите Далее.

3. В открывшемся окне Параметры новой задачи:
   1. В поле Название задачи при необходимости укажите произвольное имя задачи (имя по умолчанию - "Обновить Сервер iOS MDM").
   2. В блоке настроек Устройства, которым будет назначена задача отобразится устройство, на котором установлен Сервер iOS MDM.
4. На шаге Инсталляционные пакеты укажите следующие параметры:
   1. В поле Выбор инсталляционного пакета выберите настроенный инсталляционный пакет Сервера iOS MDM.
   2. В блоке настроек Принудительно загрузить инсталляционный пакет выберите C помощью Агента администрирования, чтобы доставить на устройства файлы, необходимые для обновления Сервера iOS MDM, с помощью Агента администрирования.
   3. В поле Максимальное количество одновременных загрузок укажите максимально допустимое количество клиентских устройств, на которые Сервер администрирования может одновременно передавать файлы.
   4. В поле Максимальное количество попыток установок укажите максимально допустимое количество запусков приложения установки.
   5. Укажите дополнительные параметры:
      • Установите флажок Не устанавливать приложение, если оно уже установлено. Приложение не будет устанавливаться заново, если оно уже установлено на устройстве.
      • Установите флажок Предварительно проверять тип операционной системы перед загрузкой. Перед передачей файлов на устройства Kaspersky Security Center проверит, применимы ли параметры утилиты установки к операционной системе устройства. Если параметры не применимы, Kaspersky Security Center не передаст файлы и не попытается установить приложение. Например, чтобы установить некоторые приложения с устройств группы администрирования, в которую входят устройства с различными операционными системами, вы можете назначить задачу установки группе администрирования, а затем включить этот параметр, чтобы пропускать устройства с операционной системой, отличной от требуемой.
5. На следующем шаге мастера вам будет предложено указать, требуется ли перезагрузка устройства при установке приложения. Выберите Не перезагружать устройство или пропустите этот шаг, так как он не применим к операционной системе Linux.
6. На шаге Выбор учетных записей для доступа к устройствам выберите Учетная запись не требуется (Агент администрирования уже установлен). Если выбран этот вариант, не требуется указывать учетную запись, от имени которой будет запускаться инсталлятор приложения. Задача запускается под учетной записью, под которой работает служба Сервера администрирования. Если Агент администрирования не установлен на устройствах, вариант недоступен.
7. На шаге Завершение создания задачи нажмите Готово, чтобы создать задачу и закрыть мастер.

Сервер iOS MDM обновлен с помощью задачи удаленной установки.

Чтобы обновить Сервер iOS MDM локально, выполните действия, описанные в разделе Локальная установка Сервера iOS MDM на устройстве с помощью инсталляционного пакета, с использованием более новой версии инсталляционного пакета.

[Topic 287071]

Удаление Сервера iOS MDM с помощью задачи удаленной деинсталляции

Kaspersky Security Center Web Console позволяет удалить Сервер iOS MDM с помощью задачи удаленной деинсталляции.

Перед удалением Сервера iOS MDM убедитесь, что инсталляционный пакет Сервера iOS MDM создан и добавлен в хранилище Сервера администрирования (Операции > Хранилища > Инсталляционные пакеты).

Чтобы удалить Сервер iOS MDM:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM.
2. Выберите Сервер iOS MDM, который вы хотите удалить, и нажмите Удалить.

   Запустится Мастер создания задачи. Следуйте указаниям мастера, как описано в справке Kaspersky Security Center.

[Topic 274721]

Просмотр списка установленных Серверов iOS MDM и настройка их параметров

Kaspersky Security Center Web Console позволяет просматривать список установленных Серверов iOS MDM и настраивать их.

Чтобы просмотреть установленные Серверы iOS MDM:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM.
2. В открывшемся списке установленных Серверов iOS MDM:
   1. Чтобы установить Сервер iOS MDM, нажмите Установить.
   2. Чтобы обновить Сервер iOS MDM, нажмите Обновить.
   3. Чтобы удалить Сервер iOS MDM, нажмите Удалить.
   4. Чтобы просмотреть или настроить параметры Сервера iOS MDM, выполните одно из следующих действий:
      • Установите флажок рядом с Сервером iOS MDM, параметры которого вы хотите просмотреть или настроить, и нажмите Изменить параметры.

        В окне настроек Сервера iOS MDM откроется вкладка Параметры приложения.

      • Нажмите на имя Сервера iOS MDM, параметры которого вы хотите просмотреть или настроить.

        В открывшемся окне настроек Сервера iOS MDM перейдите на вкладку Параметры приложения.

Чтобы просмотреть или настроить параметры Сервера iOS MDM:

1. Перейдите на вкладку Параметры приложения настроек Сервера iOS MDM по инструкции, указанной выше.
   1. В разделе Общие вы можете просмотреть общие свойства Сервера iOS MDM.
      • Имя. Пользовательское имя Сервера iOS MDM.
      • Версия. Версия установленного Сервера iOS MDM.
      • Дата изменения. Дата и время последнего обновления или изменения Сервера iOS MDM.
      • Имя устройства. Имя устройства, на котором установлен Сервер iOS MDM.
      • Путь на устройстве. Путь к Серверу iOS MDM на устройстве, на котором он установлен.

        Вы не можете изменять настройки в этом разделе.

   2. В разделе Прокси-сервер для APNs вы можете указать следующие настройки для службы уведомлений Apple Push (APNs):
      • Адрес. Адрес прокси-сервера APNs.
      • Порт. Порт прокси-сервера APNs.
      • Имя пользователя. Имя пользователя прокси-сервера APNs.
      • Пароль. Пароль прокси-сервера APNs.

        Если доступ к APNs со стороны службы iOS MDM будет предоставляться через прокси-сервер, опция Использовать прокси-сервер для подключения к APNs должна быть включена.

        Подробная информация о прокси-сервере APNs приведена в разделе Настройка доступа к службе уведомлений Apple Push.

   3. В разделе Сертификаты вы можете управлять сертификатами, необходимыми для работы Сервера iOS MDM.
      • Сертификат службы уведомлений Apple Push (APNs). Сертификат APNs подписывается Apple и позволяет использовать службу уведомлений Apple Push. С помощью этой службы Сервер iOS MDM может управлять iOS-устройствами. Подробная информация об APNs-сертификате приведена в разделе Получение или обновление APNs-сертификата.
      • Сертификат Сервера iOS MDM. Сертификат Сервера iOS MDM используется для установления соединения и проверки доверия между iOS-устройствами и Сервером iOS MDM.
      • Резервный сертификат Сервера iOS MDM. Резервный сертификат Сервера iOS MDM обеспечивает бесперебойное переключение iOS-устройств после истечения срока действия основного сертификата Сервера iOS MDM. Подробная информация об APNs-сертификате приведена в разделе Настройка резервного сертификата Сервера iOS MDM.
      • Корневой сертификат Сервера iOS MDM. Корневой сертификат Сервера iOS MDM используется для выдачи клиентских сертификатов для аутентификации на Сервере iOS MDM.
   4. В разделе Параметры подключения вы можете просмотреть и настроить параметры подключения устройств к Серверу iOS MDM.
      • В блоке настроек Синхронизация вы можете включить или выключить синхронизацию управляемых устройств с Сервером iOS MDM и указать Период синхронизации (мин).
      • В блоке настроек Локальная точка доступа вы можете указать Порт подключения к Агенту администрирования (порт для подключения iOS-устройств к Агенту администрирования) и Локальный порт подключения к службе iOS MDM (локальный порт для подключения Агента администрирования к службе iOS MDM). Подробная информация об этих параметрах приведена в разделе Настройка инсталляционного пакета Сервера iOS MDM.
      • В блоке настроек Внешняя точка доступа вы можете указать Внешний порт подключения к службе iOS MDM (внешний порт для подключения мобильных устройств к службе iOS MDM).
      • В блоке настроек Инсталляционный профиль iOS MDM вы можете указать свойства инсталляционного профиля. Заполните поля Имя профиля (обязательное поле), Компания и Описание профиля.

        Обратите внимание, что параметры в этом разделе применяются к новым подключенным iOS MDM-устройствам или к ранее подключенным устройствам при обновлении их мобильных сертификатов.

      • В разделе Конфигурационные профили вы можете просматривать и управлять конфигурационными профилями, которые используются для централизованного управления iOS MDM-устройствами и ограничения их функций. Подробная информация об управлении конфигурационными профилями приведена в разделах Добавление конфигурационного профиля, Установка конфигурационного профиля на устройство и Удаление конфигурационного профиля с устройства.

[Topic 287007]

Настройка сертификата Сервера iOS MDM

Сертификат Сервера iOS MDM используется для установления соединения и проверки доверия между iOS MDM-устройством и Сервером iOS MDM.

Сертификат Сервера iOS MDM выпускается Kaspersky Security Center автоматически при первоначальном развертывании Сервера iOS MDM и устанавливается на устройстве с развернутым Сервером iOS MDM. Если вы хотите использовать сертификат, выданный вашим центром сертификации, вам необходимо указать пользовательский файл сертификата, который будет использоваться в качестве сертификата Сервера iOS MDM.

Если вы укажете пользовательский сертификат Сервера iOS MDM, кнопка Выпустить для резервного сертификата Сервера iOS MDM станет недоступной. В этом случае резервный сертификат необходимо указать вручную, нажав кнопку Установить.

Чтобы указать пользовательский сертификат Сервера iOS MDM:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM. В открывшемся списке Серверов iOS MDM выберите Сервер iOS MDM, параметры которого вы хотите настроить.
2. В окне параметров Сервера iOS MDM выберите Параметры приложения.
3. Выберите вкладку Сертификаты.
   1. В блоке настроек Сертификат Сервера iOS MDM нажмите Установить.
   2. В открывшемся окне File Explorer укажите файл сертификата в формате PEM, PFX или P12 и нажмите Открыть.

      Убедитесь, что устанавливаемый вами сертификат соответствует следующим требованиям безопасности:

      • указано Общее имя (CN);
      • указано правильное альтернативное имя субъекта (SAN) типа DNS-имени, которое совпадает с адресом Сервера iOS MDM;
      • указан правильный издатель сертификата;
      • указана правильная дата истечения срока действия сертификата;
      • цепочка сертификатов завершена;
      • расширенное использование ключа (EKU) соответствует XKU_SSL_SERVER (1.3.6.1.5.5.7.3.1 serverAuth);
      • корневой сертификат совпадает с корневым сертификатом текущего сертификата;
      • размер ключа RSA в цепочке сертификатов составляет не менее 2048 бит;
      • размер ключа RSA корневого сертификата составляет не менее 4096 бит;
      • алгоритм хеширования в цепочке сертификатов принадлежит к семейству SHA-2.
   3. В открывшемся окне Установка сертификата введите пароль сертификата и нажмите Установить.
   4. Нажмите Сохранить.

Пользовательский сертификат Сервера iOS MDM установлен. Информация о сертификате отображена в блоке настроек Сертификат Сервера iOS MDM.

[Topic 274863]

Настройка резервного сертификата Сервера iOS MDM

Функциональность Сервера iOS MDM позволяет выпустить резервный сертификат. Этот сертификат предназначен для использования в профилях iOS MDM, чтобы обеспечить переключение управляемых iOS-устройств после истечения срока действия сертификата Сервера iOS MDM.

Если ваш Сервер iOS MDM по умолчанию использует сертификат, выпущенный "Лабораторией Касперского", вы можете выпустить резервный сертификат (или указать собственный сертификат в качестве резервного) до истечения срока действия сертификата Сервера iOS MDM. По умолчанию резервный сертификат будет выпущен автоматически за 60 дней до истечения срока действия сертификата Сервера iOS MDM. Резервный сертификат Сервера iOS MDM становится основным сразу после истечения срока действия сертификата Сервера iOS MDM. Открытый ключ распространяется на все управляемые устройства через конфигурационные профили, поэтому вам не нужно передавать его вручную.

Обратите внимание, что резервный сертификат Сервера iOS MDM не выпускается автоматически, если вы используете пользовательский сертификат Сервера iOS MDM. Если вы используете пользовательский сертификат, мы рекомендуем вам указать резервный сертификат при установке Сервера iOS MDM или не позднее, чем за 30 дней до окончания срока действия существующего сертификата Сервера iOS MDM.

Если срок действия сертификата истек, а резервный сертификат не указан, связь между Сервером iOS MDM и iOS MDM-устройствами будет потеряна. В этом случае для повторного подключения устройств необходимо указать новый сертификат и переустановить управляющие профили на каждом из управляемых устройств.

Чтобы выпустить резервный сертификат Сервера iOS MDM или указать пользовательский резервный сертификат в качестве резервного:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM. В открывшемся списке Серверов iOS MDM выберите Сервер iOS MDM, параметры которого вы хотите настроить.
2. В окне параметров Сервера iOS MDM выберите Параметры приложения.
3. Выберите вкладку Сертификаты.
4. В блоке настроек Резервный сертификат Сервера iOS MDM выполните одно из следующих действий:
   • Если вы планируете и дальше использовать самозаверенный сертификат (сертификат, выпущенный "Лабораторией Касперского"), выполните следующие действия:
     1. Нажмите Выпустить.

        Если указан пользовательский сертификат Сервера iOS MDM, кнопка Выпустить для резервного сертификата Сервера iOS MDM будет недоступна. В этом случае резервный сертификат необходимо указать вручную, нажав кнопку Установить.

     2. В открывшемся окне Применить резервный сертификат Сервера iOS MDM выберите один из двух вариантов даты, когда необходимо применить резервный сертификат:
        • Если вы хотите применить резервный сертификат при истечении срока действия текущего сертификата, выберите параметр Когда истечет срок действия основного сертификата.
        • Если вы хотите применить резервный сертификат до истечения срока действия текущего сертификата, выберите параметр После указанного периода (дни). В поле ввода рядом с этим параметром укажите продолжительность периода, по истечении которого резервный сертификат должен заменить текущий сертификат.

        Срок действия указанного вами резервного сертификата не может превышать срок действия текущего сертификата Сервера iOS MDM.

     3. Нажмите ОК.

     Самозаверенный сертификат Сервера iOS MDM выпущен и указан в качестве резервного сертификата Сервера iOS MDM.

     Обратите внимание, что при указании даты, когда должен быть применен резервный сертификат, сертификат будет выдан до того, как вы сохраните изменения в разделе Сертификаты. Если вы хотите выпустить новый резервный сертификат, откройте параметры Сервера iOS MDM, удалите ранее выпущенный резервный сертификат, нажав Удалить, и выпустите новый резервный сертификат, следуя инструкции выше.

   • Если вы планируете использовать пользовательский сертификат, выпущенный вашим центром сертификации:
     1. Нажмите Установить.
     2. В открывшемся окне File Explorer укажите файл сертификата в формате PEM, PFX или P12 и нажмите Открыть.

        Убедитесь, что устанавливаемый вами сертификат соответствует следующим требованиям безопасности:

        • указано правильное альтернативное имя субъекта (SAN) типа DNS-имени, которое совпадает с адресом Сервера iOS MDM;
        • указан правильный издатель сертификата;
        • указана правильная дата истечения срока действия сертификата;
        • цепочка сертификатов завершена;
        • расширенное использование ключа (EKU) соответствует XKU_SSL_SERVER (1.3.6.1.5.5.7.3.1 serverAuth);
        • корневой сертификат совпадает с корневым сертификатом текущего сертификата;
        • размер ключа RSA в цепочке сертификатов составляет не менее 2048 бит;
        • размер ключа RSA корневого сертификата составляет не менее 4096 бит;
        • алгоритм хеширования в цепочке сертификатов принадлежит к семейству SHA-2.
     3. В открывшемся окне Установка сертификата введите пароль сертификата и нажмите Установить.
     4. Нажмите Сохранить.

     Пользовательский сертификат указан как резервный сертификат Сервера iOS MDM.

     Обратите внимание, что при указании даты, когда должен быть применен резервный сертификат, сертификат будет выдан до того, как вы сохраните изменения в разделе Сертификаты. Если вы хотите выпустить новый резервный сертификат, откройте параметры Сервера iOS MDM, удалите ранее выпущенный резервный сертификат, нажав Удалить, и выпустите новый резервный сертификат, следуя инструкции выше.

Резервный сертификат Сервера iOS MDM указан. Информация о сертификате отображена в блоке настроек Резервный сертификат Сервера iOS MDM.

[Topic 274861]

Получение или обновление APNs-сертификата

Чтобы обеспечить корректную работу службы iOS MDM и своевременное реагирование мобильных устройств на команды администратора, в параметрах Сервера iOS MDM нужно указать сертификат службы уведомлений Apple Push (APNs-сертификат).

Если у вас уже есть APNs-сертификат, попробуйте обновить его вместо получения нового. При замене существующего APNs-сертификата на новый Kaspersky Security Center теряет возможность управления ранее подключенными iOS MDM-устройствами.

Чтобы выпустить или обновить APNs-сертификат:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM. В открывшемся списке Серверов iOS MDM выберите Сервер iOS MDM, параметры которого вы хотите настроить.
2. В окне параметров Сервера iOS MDM выберите Параметры приложения.
3. Выберите вкладку Сертификаты.
4. В разделе настроек Сертификат службы уведомлений Apple Push (APNs) нажмите Выпустить или обновить.

   Откроется мастер выпуска и обновления APNs-сертификата. Нажмите Начать и продолжайте работу мастера с помощью кнопок Назад и Далее.

   После создания запроса Certificate Signing Request (CSR-запроса) на первом шаге мастера его закрытый ключ сохраняется в оперативной памяти устройства. Соответственно, все шаги должны быть выполнены без перерыва в рамках одной сессии мастера.

Шаг 1. Создание запроса Certificate Signing Request (CSR)

Чтобы создать CSR-запрос:

1. Укажите информацию, необходимую для формирования файла запроса: Общее имя (CN), Компания (O), Отдел (OU), Город (L), Регион (S), Страна (C).
2. Нажмите Сохранить.

   После сохранения изменений будет создан CSR-файл, а закрытый ключ сертификата сохранится в памяти устройства.

Шаг 2. Подписание CSR-файла

На этом шаге отправьте CSR-файл, полученный на предыдущем этапе мастера, на заверение в "Лабораторию Касперского":

1. Нажмите Перейти на портал Kaspersky CompanyAccount.
2. Отправьте сформированный CSR-файл на подписание в "Лабораторию Касперского".

   Обратите внимание, что подписание CSR-файла возможно только после загрузки на портал ключа, позволяющего использовать решение для управления мобильными устройствами.

3. После успешной обработки запроса вы получите файл CSR-запроса, заверенный "Лабораторией Касперского".
4. Сохраните полученный файл.

Шаг 3. Получение открытого ключа APNs-сертификата

На этом шаге выполните одно из следующих действий в зависимости от того, необходимо ли выпустить новый сертификат или обновить существующий:

Чтобы выпустить новый сертификат:

1. Нажмите Перейти на портал Apple.
2. Авторизуйтесь на портале Apple с корпоративным Apple ID.

   Использовать личный Apple ID не рекомендуется. Создайте отдельный Apple ID для корпоративных целей. Привяжите созданный Apple ID к почтовому ящику организации, а не отдельного сотрудника.

3. Загрузите подписанный CSR-файл.

   На основе файла будет сформирован открытый ключ APNs-сертификата.

4. После обработки CSR-запроса в Apple вы получите открытый ключ APNs-сертификата.

   Сохраните полученный файл.

Чтобы обновить сертификат:

1. Нажмите Перейти на портал Apple.
2. Авторизуйтесь на портале Apple с корпоративным Apple ID.

   Использовать личный Apple ID не рекомендуется. Создайте отдельный Apple ID для корпоративных целей. Привяжите созданный Apple ID к почтовому ящику организации, а не отдельного сотрудника.

3. Укажите сертификат, который необходимо обновить.
4. Загрузите подписанный CSR-файл.

   На основе файла будет сформирован открытый ключ APNs-сертификата.

5. После обработки CSR-запроса в Apple вы получите открытый ключ APNs-сертификата.

   Сохраните полученный файл.

Шаг 4. Загрузка открытого ключа APNs-сертификата

На этом шаге укажите файл открытого ключа, полученный от Apple на предыдущем этапе мастера:

1. Нажмите Выбрать.
2. В открывшемся окне File Explorer укажите файл сертификата в формате PEM, PFX или P12 и нажмите Открыть.

Шаг 5. Указание пароля закрытого ключа APNs-сертификата

На этом шаге введите имя сертификата и пароль для закрытого ключа:

1. В поле Имя сертификата укажите произвольное имя сертификата.
2. В поле Пароль закрытого ключа укажите пароль закрытого ключа для сертификата.

   Указанный пароль будет использоваться для установки APNs-сертификата на Сервер iOS MDM.

3. В поле Подтвердите пароль введите пароль еще раз.

Шаг 6. Завершение CSR-запроса

На этом шаге APNs-сертификат сформирован и готов к установке на Сервер iOS MDM.

1. Для завершения CSR-запроса нажмите Скачать APNs-сертификат и сохраните сертификат.
2. Нажмите Готово, чтобы выйти из мастера.

Закрытый и открытый ключи сертификата будут объединены, а APNs-сертификат сохранен в файл формата PEM.

Теперь вы можете установить APNs-сертификат на Сервер iOS MDM.

[Topic 274864]

Установка APNs-сертификата на Сервер iOS MDM

После получения APNs-сертификата вы можете установить его на Сервер iOS MDM.

Чтобы установить APNs-сертификат на Сервер iOS MDM:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM. В открывшемся списке Серверов iOS MDM выберите Сервер iOS MDM, параметры которого вы хотите настроить.
2. В окне параметров Сервера iOS MDM выберите Параметры приложения.
3. Выберите вкладку Сертификаты.
4. В разделе настроек Сертификат службы уведомлений Apple Push (APNs):
   1. Нажмите Установить.
   2. В открывшемся окне File Explorer укажите файл сертификата в формате PEM и нажмите Открыть.

      Убедитесь, что устанавливаемый вами сертификат соответствует следующим требованиям безопасности:

      • указано Общее имя (CN);
      • указано правильное альтернативное имя субъекта (SAN) типа DNS-имени, которое совпадает с адресом Сервера iOS MDM;
      • указан правильный издатель сертификата;
      • указана правильная дата истечения срока действия сертификата.
   3. В открывшемся окне Установка сертификата введите пароль закрытого ключа, указанный при получении APNs-сертификата, и нажмите Установить.

APNs-сертификат установлен на Сервер iOS MDM. Информация о сертификате отображена в блоке настроек Сертификат службы уведомлений Apple Push (APNs).

[Topic 274865]

Настройка доступа к сервису Apple Push Notification

Чтобы обеспечить корректную работу службы iOS MDM и своевременное реагирование мобильных устройств на команды администратора, в параметрах Сервера iOS MDM нужно указать сертификат службы уведомлений Apple Push (APNs-сертификат).

Взаимодействуя со службой Apple Push Notification (APNs), служба iOS MDM подключается к внешнему адресу api.push.apple.com по исходящему порту 2197. Для этого службе iOS MDM необходимо предоставить доступ к порту TCP 2197 для диапазона адресов 17.0.0.0/8. Со стороны iOS-устройства - доступ к порту TCP 5223 для диапазона адресов 17.0.0.0/8.

Если доступ к APNs со стороны службы iOS MDM будет предоставляться через прокси-сервер, необходимо включить использование прокси-сервера для подключения к APNs.

Чтобы включить использование прокси-сервера для подключения к APNs:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM. В открывшемся списке Серверов iOS MDM выберите Сервер iOS MDM, параметры которого вы хотите настроить.
2. В окне параметров Сервера iOS MDM выберите Параметры приложения.
3. Выберите вкладку Прокси-сервер для APNs.
4. В открывшемся окне включите переключатель Использовать прокси-сервер для подключения к APNs.
5. Настройте следующие параметры:
   1. В поле Адрес укажите адрес прокси-сервера APNs.
   2. В поле Порт укажите порт прокси-сервера APNs.
   3. В поле Имя пользователя укажите имя пользователя прокси-сервера APNs.
   4. В поле Пароль укажите пароль прокси-сервера APNs.
6. Нажмите Сохранить.

Теперь для подключения к APNs используется прокси-сервер.

[Topic 274719]

События Сервера iOS MDM

Kaspersky Security Center Web Console позволяет просматривать события, связанные с Сервером iOS MDM. События имеют разные уровни важности: Информация, Предупреждение, Критическое событие, Функциональный сбой.

Для каждого события, которое может быть сгенерировано Сервером iOS MDM, вы можете указать настройки уведомлений и хранения на вкладке Настройка событий свойств Сервера iOS MDM. Если вы хотите настроить параметры уведомлений для всех событий сразу, настройте общие параметры уведомлений в свойствах Сервера администрирования. Дополнительная информация приведена в справке Kaspersky Security Center.

Чтобы просмотреть события Сервера iOS MDM:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM. В открывшемся списке Серверов iOS MDM выберите Сервер iOS MDM, события которого вы хотите просмотреть.
2. В окне параметров Сервера iOS MDM выберите Параметры приложения.
3. Выберите вкладку События.

Отобразятся события Сервера iOS MDM.

Подробная информация о просмотре событий в Kaspersky Security Center Web Console приведена в справке Kaspersky Security Center.

В таблице ниже представлены события Сервера iOS MDM с уровнем важности Информация.

События Сервера iOS MDM "Информация"

В таблице ниже представлены события Сервера iOS MDM с уровнем важности Предупреждение.

События Сервера iOS MDM "Предупреждение"

В таблице ниже представлены события Сервера iOS MDM с уровнем важности Функциональный сбой.

События Сервера iOS MDM "Функциональный сбой"

[Topic 287089]

Получение диагностических данных Сервера iOS MDM

При создании запроса в службу технической поддержки "Лаборатории Касперского" вам может быть предложено создать и прикрепить файл трассировки. Файлы трассировки используются Службой технической поддержки в диагностических целях. Эти файлы содержат записи всех шагов выполнения команд приложения, что позволяет обнаружить шаг, на котором возникла ошибка.

Мы рекомендуем создавать трассировки Сервера iOS MDM вместе с трассировками Агента администрирования, так как они содержат сведения о коннекторе Сервера iOS MDM.

Для Сервера iOS MDM существует несколько уровней трассировки:

• 0 - CRITICAL
• 1 - ERROR
• 2 - MESSAGE
• 3 - DEBUG

Уточните у специалиста службы поддержки, какой уровень трассировки следует установить. Если специалист технической поддержки не указал уровень трассировки, мы рекомендуем создавать трассировки уровня 2.

Чтобы включить трассировку Сервера iOS MDM и создать файлы трассировки:

1. Откройте файл настроек Сервера iOS MSM /var/opt/kaspersky/iosmdm/settings.ini.
2. Укажите значения, необходимые для включения трассировки. Мы рекомендуем указать следующие значения по умолчанию:
   • LogCommEnabled=1

     Включение или выключение трассировки библиотеки коммуникации Сервера iOS MDM и коннектора.

   • LogSettingsEnabled=1

     Включение или выключение трассировки библиотеки настроек Сервера iOS MDM и коннектора.

   • LogCommVerboseLevel=2

     Уровень трассировки библиотеки коммуникации Сервера iOS MDM и коннектора.

   • LogSettingsVerboseLevel=2

     Уровень трассировки библиотеки настроек Сервера iOS MDM и коннектора.

   • LogVerboseLevel=2

     Уровень трассировки Сервера iOS MDM.

   • LogFolder=/var/opt/kaspersky/iosmdm

     Каталог для записи файлов трассировки.

3. Перезапустите службы Сервера iOS MDM и Агента администрирования, выполнив следующие команды:

   systemctl restart klnagent

   systemctl restart kliosmdm

Трассировка Сервера iOS MDM включена. Файлы трассировки созданы в каталоге, который вы указали в качестве значения LogFolder: klcon_comm.log, klcon_settings.log, klsrv.log, klsrv_comm.log, klsrv_settings.log.

Чтобы выключить трассировку Сервера iOS MDM:

1. Откройте файл настроек Сервера iOS MSM /var/opt/kaspersky/iosmdm/settings.ini.
2. Измените файл, удалив строки, которые были созданы для включения трассировки:
   • LogCommEnabled=1
   • LogSettingsEnabled=1
   • LogCommVerboseLevel=2
   • LogSettingsVerboseLevel=2
   • LogVerboseLevel=2
   • LogFolder=/var/opt/kaspersky/iosmdm
3. Перезапустите службы Сервера iOS MDM и Агента администрирования, выполнив следующие команды:

   systemctl restart klnagent

   systemctl restart kliosmdm

Трассировка Сервера iOS MDM выключена.

[Topic 274857]

Развертывание системы управления Android-устройствами

Kaspersky Secure Mobility Management позволяет управлять мобильными устройствами с операционной системой Android. В этом разделе описано развертывание системы управления Android-устройствами.

[Topic 274853]

О режимах работы Android-устройств

Режим работы устройства зависит от того, кому принадлежит мобильное устройство (личное или корпоративное) и требований корпоративной безопасности. Вы можете выбрать наиболее подходящий для компании режим работы, а также использовать несколько режимов одновременно.

Для Android-устройств доступны следующие режимы работы:

• Личное устройство
• Устройство с корпоративным контейнером
• Корпоративное устройство

Личное устройство

Личное устройство — режим работы для личных Android-устройств. Этот режим работы позволяет защищать устройства и выполнять базовое управление ими.

Устройство с корпоративным контейнером

Устройство с корпоративным контейнером — режим работы для личных Android-устройств с рабочим профилем Android, который обеспечивает изолированную корпоративную среду на устройстве.

Этот режим работы позволяет управлять приложениями и учетными записями пользователей в безопасной среде на устройстве, при этом не ограничивая пользователю доступ к личным данным. При создании рабочего профиля на мобильном устройстве пользователя в контейнер автоматически устанавливаются следующие корпоративные приложения (если применимо): Google Play, Google Chrome, Загрузки, Kaspersky Endpoint Security для Android и другие. Корпоративные приложения, размещенные в рабочем профиле, а также уведомления от этих приложений, отмечены синим значком портфеля. Приложения, размещенные в рабочем профиле, отображаются в общем списке приложений.

Корпоративное устройство

Корпоративное устройство — режим работы для корпоративных Android-устройств. Этот режим работы позволяет вам полностью контролировать устройство и настраивать расширенный набор параметров и функций безопасности:

• ограничения функций Android;
• управление настройками Google Chrome;
• тихая установка обязательных приложений и удаление запрещенных приложений в разделе Контроль приложений;
• режим киоска;
• управление Exchange ActiveSync;
• подключение NDES и SCEP.

[Topic 274869]

Использование Firebase Cloud Messaging

Для своевременной доставки команд на Android-устройства в Kaspersky Security Center используется механизм push-уведомлений. Обмен push-уведомлениями между Android-устройствами и Сервером администрирования осуществляется с помощью сервиса Firebase Cloud Messaging (далее – FCM). В Kaspersky Security Center Web Console вы можете указать параметры сервиса Firebase Cloud Messaging, чтобы подключить Android-устройства к этому сервису.

Для получения параметров Firebase Cloud Messaging вам необходимо иметь учетную запись Google.

Чтобы включить использование FCM:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Устройства.
2. Откройте меню с 3 точками () и выберите Синхронизация Android-устройств.
3. В поле Номер проекта Firebase укажите Sender ID FCM.
4. В поле Закрытый ключ выберите файл закрытого ключа.

При следующей синхронизации с Сервером администрирования Android-устройства будут подключены к службе Firebase Cloud Messaging.

При переключении на другой проект Firebase работа FCM возобновляется через 10 минут.

Сервис FCM работает на следующих диапазонах адресов:

• Со стороны Android-устройства необходим доступ к портам 443 (HTTPS), 5228 (HTTPS), 5229 (HTTPS) и 5230 (HTTPS) следующих адресов:
  • google.com;
  • fcm.googleapis.com;
  • android.apis.google.com;
  • все IP-адреса из списка "ASN 15169 Google".
• Со стороны Сервера администрирования необходим доступ к порту 443 (HTTPS) следующих адресов:
  • fcm.googleapis.com;
  • все IP-адреса из списка "ASN 15169 Google".

В случае если в Web Console в свойствах Сервера администрирования заданы параметры прокси-сервера, они будут использоваться для взаимодействия с FCM.

Настройка FCM: получение Sender ID и файла закрытого ключа

Чтобы настроить FCM:

1. Зарегистрируйтесь на портале Google.
2. Перейдите в консоль Firebase.
3. Выполните одно из следующих действий:
   • Чтобы создать новый проект, нажмите на кнопку Create a project и следуйте инструкциям на экране.
   • Откройте существующий проект.
4. Нажмите на значок шестеренки и выберите Project settings.

   Откроется окно Project settings.

5. Выберите вкладку Cloud Messaging.
6. Скопируйте Sender ID из поля Sender ID в разделе Firebase Cloud Messaging API (V1).
7. Выберите вкладку Service accounts и нажмите на кнопку Generate new private key.
8. В открывшемся окне нажмите на кнопку Generate key, чтобы сгенерировать и загрузить файл закрытого ключа.

Firebase Cloud Messaging настроен.

[Topic 274700]

Развертывание Kaspersky Endpoint Security для Android

В этом разделе содержится общая информация о приложении Kaspersky Endpoint Security для Android и способах его установки, обновления и удаления.

Подробную информацию о Kaspersky Endpoint Security для Android смотрите в разделе Использование приложения Kaspersky Endpoint Security для Android.

[Topic 274860]

О приложении Kaspersky Endpoint Security для Android

Kaspersky Endpoint Security для Android защищает мобильные устройства от веб-угроз, вирусов и других программ, представляющих угрозы.

Kaspersky Endpoint Security для Android включает следующие компоненты:

• Защита от вредоносного ПО. Обнаруживает и устраняет угрозы на устройствах, используя базы вредоносного ПО и облачную службу Kaspersky Security Network. В состав Защиты от вредоносного ПО входят следующие компоненты:
  • Защита. Обнаруживает угрозы в открытых файлах, проверяет новые приложения и предотвращает заражение устройства в режиме реального времени.
  • Проверка. Запускается по требованию для всей файловой системы, только для установленных приложений или выбранного файла или папки.
  • Обновление. Позволяет загружать новые базы вредоносного ПО приложения.
• Анти-Вор. Защищает информацию на устройстве от несанкционированного доступа в случае потери или кражи устройства. Позволяет отправлять на устройство следующие команды:
  • Определить местоположение. Получение координат местоположения устройства.
  • Воспроизвести звуковой сигнал. Устройство издает громкий сигнал тревоги.
  • Удалить корпоративные данные. Удаление корпоративных данных, чтобы защитить конфиденциальную информацию компании.
• Веб-Защита и Веб-Контроль. Веб-Защита блокирует вредоносные сайты, цель которых – распространить вредоносный код. Веб-Защита также блокирует поддельные (фишинговые) сайты, цель которых – украсть конфиденциальные данные пользователя (например, пароли от интернет-банка или платежных систем) и получить доступ к его финансовым счетам. Веб-Защита проверяет сайты перед открытием, используя облачную службу Kaspersky Security Network. По результатам проверки Веб-Защита разрешает загрузку сайтов, признанных надежными, и блокирует сайты, признанные вредоносными. Веб-Контроль поддерживает фильтрацию сайтов по категориям, определенным в облачной службе Kaspersky Security Network. Это позволяет администратору ограничить доступ пользователей к некоторым категориям веб-страниц (например, "Азартные игры, лотереи, тотализаторы" или "Общение в сети").
• Контроль приложений. Позволяет устанавливать рекомендуемые и обязательные приложения на Android-устройство, а также удалять заблокированные приложения, нарушающие требования корпоративной безопасности.
• Контроль соответствия. Позволяет проверять управляемые устройства на соответствие требованиям корпоративной безопасности и накладывать ограничения на определенные функции несовместимых устройств.

Вы можете настроить компоненты приложения Kaspersky Endpoint Security для Android в Kaspersky Security Center Web Console, задав соответствующие параметры политик.

На личных устройствах и устройствах с корпоративным контейнером под управлением Android 15 пользователи могут создать частное пространство. Kaspersky Endpoint Security для Android не может сканировать приложения, фотографии и другие файлы, хранящиеся в частном пространстве. Веб-Защита, Веб-Контроль и Контроль приложений не работают для приложений, установленных в частном пространстве. Kaspersky Endpoint Security для Android нельзя установить в частном пространстве.

[Topic 284175]

Установка Kaspersky Endpoint Security для Android

Развернуть всё | Свернуть всё

Существует несколько способов развертывания приложения Kaspersky Endpoint Security для Android. Вы можете выбрать наиболее подходящий для вашей организации способ установки, а также использовать несколько способов установки одновременно.

Существуют следующие способы установки:

• Установка через Kaspersky Security Center с помощью одного из источников установки:
  • Сайт "Лаборатории Касперского" (только для корпоративных устройств)

    Выберите этот способ для мобильных устройств с доступом в интернет, чтобы загрузить установочный файл APK с сайта "Лаборатории Касперского". Затем приложение будет обновляться с сайта "Лаборатории Касперского" или с помощью HUAWEI AppGallery, Samsung Galaxy Store, RuStore или Xiaomi GetApps.

  • Инсталляционный пакет (для всех режимов работы)

    Инсталляционный пакет Kaspersky Endpoint Security для Android будет загружен с сервера Kaspersky Security Center и обновлен через Kaspersky Security Center с помощью параметров политики. Выберите этот способ, если у мобильных устройств в вашей компании нет доступа к интернету.

    Для этого источника установки создайте инсталляционный пакет Kaspersky Endpoint Security для Android перед подключением мобильных устройств.

• Установка вручную

[Topic 284142]

Создание инсталляционного пакета Kaspersky Endpoint Security для Android

Приложение Kaspersky Endpoint Security для Android можно развернуть с помощью инсталляционного пакета.

Выберите этот способ установки, если у мобильных устройств в вашей компании нет доступа к интернету.

Для этого способа установки нужно создать инсталляционный пакет Kaspersky Endpoint Security для Android до подключения Android-устройств к Kaspersky Security Center. Инсталляционный пакет будет загружен с сервера Kaspersky Security Center и обновлен через Kaspersky Security Center с помощью параметров политики.

Инсталляционный пакет Kaspersky Endpoint Security для Android — это архив с файлами, необходимыми для установки приложения Kaspersky Endpoint Security для Android:

• installer.ini

  Конфигурационный файл с параметрами подключения к Серверу администрирования.

• KES10_<версия>.apk

  Пакетный файл Android для приложения Kaspersky Endpoint Security для Android.

• kesa.kpd

  Файл, содержащий описание программы.

• eula/

  Папка с Лицензионными соглашениями на разных языках в формате TXT.

• kpd.loc/

  INI-файлы, определяющие пути к Лицензионным соглашениям.

Чтобы создать инсталляционный пакет Kaspersky Endpoint Security для Android:

1. В главном окне Kaspersky Security Center Web Console выберите Операции > Хранилища > Инсталляционные пакеты.
2. В открывшемся списке инсталляционных пакетов нажмите Добавить. Запустится Мастер создания инсталляционного пакета. Следуйте шагам мастера, как описано в справке Kaspersky Security Center, чтобы создать инсталляционный пакет из файла или создать автономный инсталляционный пакет.

Чтобы настроить инсталляционный пакет Kaspersky Endpoint Security для Android:

1. В главном окне Kaspersky Security Center Web Console выберите Операции > Хранилища > Инсталляционные пакеты.
2. В открывшемся списке инсталляционных пакетов нажмите на инсталляционный пакет Kaspersky Endpoint Security для Android, который вы хотите настроить.
3. В окне свойств инсталляционного пакета выберите вкладку Параметры.
   1. В блоке параметров Подключение к Серверу администрирования настройте следующие значения:
      • Адрес сервера. Укажите адрес сервера, к которому будут подключаться Android-устройства.
      • SSL-порт для синхронизации устройств. Укажите номер порта, открытого на Сервере администрирования для подключения мобильных устройств. По умолчанию указан порт 13292.
   2. Для автономных инсталляционных пакетов в поле Имя подгруппы в блоке параметров Подгруппа в разделе "Нераспределенные устройства" укажите имя группы, в которую будут добавлены Android-устройства после первой синхронизации с Сервером администрирования. По умолчанию указано KES10.
   3. В блоке параметров Действия при установке на устройство установите флажок Запрашивать у пользователя адрес электронной почты, чтобы при первом запуске приложение Kaspersky Endpoint Security для Android запрашивало у пользователя адрес корпоративной электронной почты.

      Адрес электронной почты пользователя используется для формирования имени мобильного устройства при добавлении его в группу администрирования.

4. Нажмите Сохранить.

Инсталляционный пакет Kaspersky Endpoint Security для Android настроен.

[Topic 284141]

Установка Kaspersky Endpoint Security для Android вручную

Вы можете вручную установить Kaspersky Endpoint Security для Android с сайта "Лаборатории Касперского", HUAWEI AppGallery, Samsung Galaxy Store, RuStore или Xiaomi GetApps.

Установка приложения

Чтобы установить приложение из магазина приложений, выполните стандартную процедуру установки для платформы Android.

Чтобы установить Kaspersky Endpoint Security для Android с сайта "Лаборатории Касперского":

1. Перейдите на сайт "Лаборатории Касперского".
2. Найдите Kaspersky Security для мобильных устройств на сайте.
3. Нажмите Показать версии для загрузки.
4. Выберите версию приложения и нажмите Скачать.
5. Откройте загруженный файл APK и следуйте инструкциям на экране.

   Вам может понадобиться разрешить браузеру установку приложений из сторонних источников, отличных от Google Play, в разделе настроек устройства Приложения → Специальный доступ → Установка неизвестных приложений. Расположение этих настроек может отличаться на устройствах разных производителей.

Приложение будет установлено на устройство.

Настройка приложения

После установки Kaspersky Endpoint Security для Android нужно вручную настроить приложение. Процедура настройки зависит от того, отправил ли вам администратор адрес сервера или ссылку для скачивания приложения.

Чтобы настроить Kaspersky Endpoint Security для Android с использованием ссылки для скачивания приложения:

1. Откройте Kaspersky Endpoint Security для Android.
2. Прочитайте Лицензионное соглашение. Если вы принимаете Лицензионное соглашение, установите соответствующий флажок и нажмите Продолжить.
3. Нажмите Продолжить и предоставьте приложению необходимые разрешения.
4. В поле Сервер укажите ссылку, которую вы получили от администратора.
5. Нажмите Продолжить.

Приложение Kaspersky Endpoint Security для Android настроено.

Чтобы настроить Kaspersky Endpoint Security для Android с использованием адреса сервера:

1. Откройте Kaspersky Endpoint Security для Android.
2. Прочитайте Лицензионное соглашение. Если вы принимаете Лицензионное соглашение, установите соответствующий флажок и нажмите Продолжить.
3. Нажмите Продолжить и предоставьте приложению необходимые разрешения.
4. В поле Сервер укажите адрес Сервера администрирования, предоставленный администратором.
5. Нажмите Продолжить.
6. Нажмите Включить, чтобы включить приложение в качестве администратора устройства.
7. Нажмите Разрешить и предоставьте приложению необходимые разрешения.

Приложение Kaspersky Endpoint Security для Android настроено.

Для синхронизации с Сервером администрирования на мобильном устройстве должен быть включен доступ в интернет.

[Topic 284099]

Установка Kaspersky Endpoint Security для Android на корпоративные устройства в закрытой сети

При развертывании Kaspersky Endpoint Security для Android в режиме работы для корпоративного устройства с помощью QR-кода на устройствах с предустановленными Google Mobile Services (GMS) проверяется их подключение к определенным конечным точкам Google через сети Wi-Fi. Если сеть Wi-Fi не имеет доступа к интернету, проверить подключение не удается и развертывание завершается с ошибкой.

Чтобы избежать проверки подключения, вы можете развернуть Kaspersky Endpoint Security для Android в режиме работы для корпоративного устройства в закрытой сети с помощью файла PAC (Proxy Auto-Configuration).

Чтобы использовать PAC-файл для развертывания приложения Kaspersky Endpoint Security для Android:

1. Создайте PAC-файл (например, proxy.pac) со следующим содержанием:

   function FindProxyForURL(url, host) {
   return "DIRECT";
   }

2. Опубликуйте созданный PAC-файл на ресурсе, который будет доступен в закрытой сети (например, на веб-сервере IIS).

   Сохраните ссылку на PAC-файл (например, https://intranet.mycompany.com/files/proxy.pac).

3. Убедитесь, что APK-файл развертываемого приложения Kaspersky Endpoint Security для Android доступен в закрытой сети. Для этого воспользуйтесь одним из следующих способов:
   • Загрузите инсталляционный пакет приложения с сервера Kaspersky Security Center. Если сервер доступен, на нем будут доступны инсталляционные пакеты.
   • Скачайте инсталляционный APK-файл с сайта "Лаборатории Касперского" и загрузите его в закрытую сеть.

     В качестве источника выберите общую версию приложения.

4. Отправьте ссылку для установки приложения и QR-код пользователю, следуя указаниям Мастера подключения мобильного устройства.

   На шаге Операционные системы мастера, в разделе Параметры установки, вам будет предложено указать сеть для загрузки приложения Kaspersky Endpoint Security для Android. На этом шаге настройте использование ранее созданного PAC-файла для сетевого подключения, связав его с настройками сети Wi-Fi на устройстве. Для этого воспользуйтесь одним из следующих способов:

   • В разделе параметров Сеть для установки выберите Предложить пользователю выбрать сеть Wi-Fi на устройстве. При развертывании приложения пользователю необходимо указать ссылку на PAC-файл (шаг 2) в настройках сети при выборе сети Wi-Fi на устройстве. После установки соединения пользователь сможет продолжить настройку устройства и активировать приложение, следуя инструкциям Мастера первоначальной настройки приложения.
   • В разделе параметров Сеть для установки выберите Использовать только заданную сеть Wi-Fi (Android 9 или выше), нажмите кнопку Выбрать сеть, после чего вставьте ссылку на ранее созданный PAC-файл (шаг 2) в поле URL-адрес PAC-файла.

   Если инсталляционный APK-файл был загружен с сайта "Лаборатории Касперского" (шаг 3), то вам необходимо изменить ссылку в QR-коде на адрес закрытой сети.

   Если для развертывания приложения используется инсталляционный пакет, загруженный из Kaspersky Security Center, после сброса настроек устройства до заводских и сканирования QR-кода на экране устройства может появиться сообщение Заблокировано Play Защитой. Это связано с тем, что сертификат подписи инсталляционного пакета отличается от указанного в Google Play. Для продолжения установки необходимо нажать Все равно установить. При нажатии OK процесс установки будет прерван, а настройки устройства будут сброшены до заводских.

Приложение Kaspersky Endpoint Security для Android будет установлено на устройство, работающее в режиме "Корпоративное устройство" в закрытой сети.

[Topic 274701]

Разрешения для Kaspersky Endpoint Security для Android

Для работы всех функций приложений Kaspersky Endpoint Security для Android запрашивает у пользователя необходимые разрешения. Kaspersky Endpoint Security для Android запрашивает обязательные разрешения во время прохождения мастера установки, а также после установки и перед использованием отдельных функций приложений. Без предоставления обязательных разрешений Kaspersky Endpoint Security для Android установить невозможно.

На некоторых устройствах (например, HUAWEI, Meizu, Xiaomi) требуется в настройках устройства вручную добавить Kaspersky Endpoint Security для Android в список приложений, запускаемых при загрузке операционной системы. Если приложение не добавлено в список, Kaspersky Endpoint Security для Android прекращает выполнять все свои функции после перезагрузки мобильного устройства.

На устройствах с операционной системой Android 11 или выше, либо Android 6-10 (при использовании сервисов Google Play) необходимо выключить системную настройку Удалять разрешения, если приложение не используется. В противном случае, если приложение не используется в течение нескольких месяцев, система автоматически сбрасывает разрешения, предоставленные приложению пользователем.

Разрешения, запрашиваемые Kaspersky Endpoint Security для Android

[Topic 274735]

Запуск и остановка Kaspersky Endpoint Security для Android

Kaspersky Endpoint Security для Android запускается при старте операционной системы и защищает мобильное устройство пользователя в течение всего сеанса работы. Пользователь может остановить приложение, выключив все компоненты Kaspersky Endpoint Security для Android. Вы можете настроить доступ пользователя к управлению компонентами приложения с помощью политик.

На некоторых устройствах (например, HUAWEI, Meizu, Xiaomi) требуется вручную добавить Kaspersky Endpoint Security для Android в список приложений, запускаемых при загрузке операционной системы (Безопасность → Разрешения → Автозапуск). Если приложение не добавлено в список, Kaspersky Endpoint Security для Android прекращает выполнять все свои функции после перезагрузки мобильного устройства.

Также требуется выключить режим энергосбережения для Kaspersky Endpoint Security для Android. Это необходимо для работы приложения в фоновом режиме, например, для запуска поиска вредоносного ПО по расписанию или синхронизации устройства с Kaspersky Security Center. Проблема связана с особенностями встроенного программного обеспечения этих устройств.

[Topic 274705]

Активация Kaspersky Endpoint Security для Android

В Kaspersky Security Center лицензия может распространяться на различные группы функциональности. Для полноценного функционирования Kaspersky Endpoint Security для Android нужно, чтобы с приобретенной организацией лицензией на Kaspersky Security Center была доступна функциональность Управление мобильными устройствами.

Подробная информация о вариантах лицензирования приведена в разделе О лицензии.

Активация приложения Kaspersky Endpoint Security для Android на мобильном устройстве осуществляется путем предоставления приложению информации о действующей лицензии. Информация о лицензии передается на мобильное устройство вместе с параметрами политики при синхронизации устройства с Kaspersky Security Center.

Если мобильное приложение не было активировано в течение 30 дней с момента установки на мобильное устройство, оно автоматически переключается в режим работы с ограниченной функциональностью. В этом режиме большинство компонентов приложения не работает. При переходе в режим работы с ограниченной функциональностью приложение прекращает выполнять автоматическую синхронизацию с Kaspersky Security Center. Поэтому, если приложение не было активировано в течение 30 дней с момента установки, пользователю необходимо вручную выполнить синхронизацию устройства с Kaspersky Security Center.

Если Kaspersky Security Center не развернут в вашей организации или недоступен для мобильных устройств, пользователи могут активировать мобильное приложение на своих устройствах вручную.

Чтобы активировать мобильное приложение:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Нажмите на кнопку Лицензия.
4. В раскрывающемся списке в открывшемся окне выберите требуемый лицензионный ключ в хранилище ключей Сервера администрирования.

   Подробная информация о лицензионном ключе отображается в полях ниже.

   Вы можете заменить существующий ключ активации на мобильном устройстве, если он отличается от ключа, выбранного в раскрывающемся списке. Для этого установите флажок Заменить ключ, если на устройствах добавлен другой ключ.

5. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Приложение будет активировано после очередной синхронизации устройства с Kaspersky Security Center.

[Topic 274720]

Обновление Kaspersky Endpoint Security для Android

Kaspersky Endpoint Security для Android можно обновить следующими способами:

• С помощью сайта "Лаборатории Касперского". Пользователь мобильного устройства загружает с сайта "Лаборатории Касперского" новую версию приложения и устанавливает ее на свое устройство.
• С помощью HUAWEI AppGallery, Samsung Galaxy Store, RuStore или Xiaomi GetApps. Пользователь мобильного устройства загружает новую версию приложения из магазина приложений и устанавливает ее на свое устройство, выполнив стандартную процедуру обновления для платформы Android.

  Чтобы обновить приложение в Samsung Galaxy Store, у пользователя устройства должна быть учетная запись Samsung Account.

• С помощью Kaspersky Security Center. Вы можете дистанционно обновить версию приложения на устройстве с помощью Kaspersky Security Center.

Вы можете выбрать наиболее подходящий для вашей организации способ обновления приложения. Вы можете использовать только один способ обновления.

Обновление приложения с сайта "Лаборатории Касперского"

Чтобы обновить приложение с сайта "Лаборатории Касперского":

1. Перейдите на сайт "Лаборатории Касперского".
2. Найдите Kaspersky Security для мобильных устройств на сайте.
3. Нажмите Показать версии для загрузки.
4. Выберите версию приложения и нажмите Скачать.
5. Откройте загруженный файл APK и следуйте инструкциям на экране.

Приложение Kaspersky Endpoint Security для Android будет обновлено.

После загрузки приложения, Kaspersky Endpoint Security для Android проверяет условия и положения Лицензионного соглашения. Если условия Лицензионного соглашения обновились, приложение отправляет запрос в Kaspersky Security Center. Если администратор принял Лицензионное соглашение в Web Console, во время установки приложения Kaspersky Endpoint Security для Android шаг принятия Лицензионного соглашения будет пропущен.

Обновление приложения с помощью Kaspersky Security Center

Обновление Kaspersky Endpoint Security для Android с помощью Kaspersky Security Center выполняется в результате применения групповой политики. В параметрах групповой политики вы можете выбрать автономный пакет установки той версии Kaspersky Endpoint Security для Android, которая соответствует требованиям корпоративной безопасности.

Вы можете выполнить обновление через Kaspersky Security Center, если приложение Kaspersky Endpoint Security для Android было установлено с помощью инсталляционного пакета в Kaspersky Security Center или с помощью автономного пакета установки. Если приложение установлено из Google Play, обновление с помощью Kaspersky Security Center невозможно.

Для обновления Kaspersky Endpoint Security для Android с помощью автономного пакета установки на мобильном устройстве пользователя должна быть разрешена установка приложений из неизвестных источников. Подробная информация об установке приложений без использования Google Play приведена в справке Android.

Чтобы обновить версию приложения:

1. Создайте новый инсталляционный пакет Kaspersky Endpoint Security для Android.
2. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
3. В окне свойств политики выберите Параметры приложения.
4. Выберите Android и перейдите в раздел Параметры KES для Android.
5. На карточке Обновление приложения нажмите Параметры.

   Откроется окно Обновление приложения.

6. Включите параметры с помощью переключателя Обновление приложения.
7. Нажмите Выбрать.

   Откроется окно Выбрать инсталляционный пакет.

8. В списке автономных пакетов установки Kaspersky Endpoint Security для Android выберите пакет, версия которого удовлетворяет требованиям корпоративной безопасности.

   Обновить Kaspersky Endpoint Security для Android до более старой версии невозможно.

9. Нажмите Выбрать.
10. Нажмите OK.
11. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. Пользователю мобильного устройства будет предложено установить новую версию приложения. После подтверждения новая версия приложения будет установлена на мобильное устройство.

Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы), а также функциональность KSN могут быть недоступны в решении на территории США.

[Topic 274728]

Удаление Kaspersky Endpoint Security для Android

Удаление Kaspersky Endpoint Security для Android может быть выполнено следующими способами:

1. Удаление приложения пользователем

   Пользователь самостоятельно удаляет Kaspersky Endpoint Security для Android, используя интерфейс приложения. Чтобы пользователи могли удалить приложение, удаление приложения необходимо разрешить в карточке Параметры доступа к настройкам приложения раздела Параметры KES для Android политики.

2. Удаление приложения администратором (только для корпоративных устройств)

   Администратор удаляет приложение удаленно с помощью Kaspersky Security Center Web Console. Можно удалить приложение с отдельного устройства или с нескольких устройств одновременно.

[Topic 279047]

Разрешение пользователям удалять Kaspersky Endpoint Security для Android

На устройствах под управлением Android 7 или выше для защиты приложения от удаления Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Во время работы мастера первоначальной настройки Kaspersky Endpoint Security для Android предлагает пользователю предоставить приложению необходимые права. Пользователь может пропустить эти шаги или выключить права в параметрах устройства позднее. В этом случае защита приложения от удаления не работает.

Чтобы разрешить удаление приложения, в групповой политике:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Параметры KES для Android.
4. На карточке Параметры доступа к настройкам приложения нажмите Параметры.

   Откроется окно Параметры доступа к настройкам приложения.

5. Установите флажок Разрешить удаление приложения с устройства.
6. Нажмите OK.
7. Нажмите Сохранить, чтобы сохранить внесенные изменения.

В результате после синхронизации с Сервером администрирования пользователям будет разрешено удалять приложение с мобильных устройств. В настройках Kaspersky Endpoint Security для Android будет доступна кнопка удаления приложения.

Чтобы удалить приложение с устройства:

1. В главном окне Kaspersky Endpoint Security для Android выберите Настройки → Настройки приложения → Дополнительно → Удаление приложения.

   На корпоративных устройствах Kaspersky Endpoint Security для Android может удалить только администратор.

2. Подтвердите удаление Kaspersky Endpoint Security для Android.

Приложение Kaspersky Endpoint Security для Android будет удалено с устройства.

[Topic 274866]

Удаление Kaspersky Endpoint Security для Android пользователем

На корпоративных устройствах Kaspersky Endpoint Security для Android может удалить только администратор.

Чтобы самостоятельно удалить Kaspersky Endpoint Security для Android со своего мобильного устройства, пользователь должен выполнить следующие действия:

1. В главном окне Kaspersky Endpoint Security для Android выберите Настройки → Настройки приложения → Дополнительно → Удаление приложения.

   Если кнопка Удаление приложения отсутствует, значит администратор включил защиту Kaspersky Endpoint Security для Android от удаления или устройство работает в режиме корпоративного устройства.

2. Подтвердите удаление Kaspersky Endpoint Security для Android.

Приложение Kaspersky Endpoint Security для Android будет удалено с устройства.

[Topic 274859]

Дистанционное удаление Kaspersky Endpoint Security для Android с корпоративных устройств

Вы можете дистанционно удалить приложение Kaspersky Endpoint Security для Android с корпоративных устройств, отправив команду Сбросить настройки до заводских.

Выполнение команды Сбросить настройки до заводских стирает все данные с устройства и возвращает настройки устройства к заводским значениям. Android Enterprise рекомендует использовать этот метод удаления приложений для гарантированного удаления данных с корпоративного устройства.

Чтобы удалить приложение:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Устройства.
2. В открывшемся списке устройств выберите устройства, на которые вы хотите отправить команду.

   Можно выбрать несколько устройств.

3. Нажмите Отправить команду.
4. В открывшемся окне Отправить команду в поле Команда выберите команду Сбросить настройки до заводских.
5. Нажмите Отправить.

   Вы можете просматривать и отменять команды в окне История команд.

   Команда будет отправлена на выбранные вами устройства. Приложение Kaspersky Endpoint Security для Android удалено с этих устройств.

6. Выберите устройство из списка устройств и нажмите Удалить.

   Устройство удалено из списка управляемых устройств в Kaspersky Security Center Web Console.

   Если устройство не будет удалено из Kaspersky Security Center Web Console, то при последующей установке приложений "Лаборатории Касперского" на устройство могут возникнуть проблемы.

[Topic 274714]

Управление мобильными устройствами в Kaspersky Security Center Web Console

Для централизованной конфигурации мобильных устройств необходимо настроить политики. Политика - это набор параметров безопасности для управления мобильными устройствами с определенными операционными системами и режимами работы в рамках группы администрирования, а также для конфигурации управляющих приложений, установленных на устройствах.

В этом разделе описано, как создать группы администрирования, настроить политики для мобильных устройств, а также подключить мобильные устройства к Kaspersky Security Center для последующего управления ими.

[Topic 274736]

Создание групп администрирования

Чтобы применить политику к группе устройств, рекомендуется создать для этих устройств отдельную группу перед установкой приложений для управления мобильными устройствами.

Группа администрирования - это набор устройств, объединенных по какому-либо признаку с целью управления устройствами группы как единым целым в Kaspersky Security Center.

Для всех управляемых устройств в группе администрирования устанавливаются:

• Единые параметры – с помощью политик.
• Единый режим работы всех приложений – с помощью создания групповых задач с определенным набором параметров. Примеры групповых задач включают создание и установку общего инсталляционного пакета, обновление баз и модулей приложений, проверку устройства по требованию и включение постоянной защиты.

Управляемое устройство может входить в состав только одной группы администрирования.

Для Серверов администрирования и групп администрирования можно создавать иерархии с любым уровнем вложенности. На одном уровне иерархии могут располагаться подчиненные и виртуальные Серверы администрирования, группы и управляемые устройства. Можно переводить устройства из одной группы в другую.

Сразу после установки Kaspersky Security Center в иерархии групп администрирования находится только одна группа администрирования – "Управляемые устройства". При создании иерархии групп администрирования в состав папки "Управляемые устройства" можно включать устройства и добавлять вложенные группы.

Чтобы создать группу администрирования:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) > Иерархия групп.
2. В структуре группы администрирования выберите группу, в состав которой должна входить новая группа администрирования.
3. Нажмите Добавить.
4. В открывшемся окне Имя новой группы администрирования введите имя группы и нажмите Добавить.

В иерархии групп администрирования появится новая группа администрирования с заданным именем.

Чтобы автоматически создать структуру групп администрирования:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) > Иерархия групп.
2. Нажмите Импортировать.

Запустится Мастер создания структуры групп администрирования. Следуйте указаниям мастера.

После создания группы администрирования мы рекомендуем настроить автоматическое перемещение в эту группу устройств, на которые вы хотите установить приложения. Затем необходимо задать общие для всех устройств параметры с помощью политики.

[Topic 274694]

Настройка политик

В этом разделе описано управление политиками в Kaspersky Security Center Web Console.

[Topic 274738]

Создание политики

Kaspersky Security Center Web Console позволяет создавать политики для настройки параметров безопасности групп мобильных устройств под управлением Android, iOS и ОС Аврора. Параметры безопасности, настроенные в политиках, сохраняются на Сервере администрирования, распространяются на мобильные устройства при синхронизации и используются в качестве текущих настроек.

Вы можете создать политику с помощью Мастера создания политики для мобильных устройств.

Чтобы создать политику:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик.
2. В открывшемся списке политик нажмите Текущий путь, чтобы выбрать группу администрирования, для которой вы хотите создать политику.

   По умолчанию новая политика применяется к группе Управляемые устройства.

3. Нажмите Добавить, чтобы запустить Мастер создания политики для мобильных устройств.
4. В окне Выберите приложение выберите Kaspersky Mobile Devices Protection and Management и нажмите Далее.

   Запустится Мастер создания политики для мобильных устройств. Нажмите Начать и продолжайте работу мастера с помощью кнопок Назад и Далее.

Шаг 1. Лицензия

На этом шаге выберите лицензию.

От выбранной лицензии зависит набор параметров безопасности, которые вы сможете настраивать в политике. По умолчанию предварительно выбрана лицензия, поддерживающая функциональность Kaspersky Secure Mobility Management. Вы можете выбрать другую лицензию вручную.

Шаг 2. Операционные системы и режимы работы устройств

На этом шаге выберите операционные системы, на которые будет распространяться политика, и укажите режимы работы устройств.

• Android
  • Личное устройство (базовая защита и управление личным Android-устройством).
  • Устройство с корпоративным контейнером (изолированная корпоративная среда на Android-устройстве).
  • Корпоративное устройство (расширенный набор параметров для управления корпоративным Android-устройством).

    Подробная информация приведена в разделе О режимах работы Android-устройств.

• iOS
  • Базовая защита (защита от веб-угроз и обнаружение jailbreak на iOS-устройствах).
  • Базовый контроль (базовое управление личным iOS-устройством).
  • Расширенный контроль (расширенный набор параметров для управления iOS-устройством).

    Подробная информация приведена в разделе О режимах работы iOS-устройств.

    Для подключения и управления iOS-устройствами в режимах "Базовый контроль" и "Расширенный контроль" в выбранной группе администрирования должен быть установлен Сервер iOS MDM. Подробная информация об установке Сервера iOS MDM приведена в разделе Развертывание Сервера iOS MDM.

• Аврора
  • Защита (защита устройств с ОС Аврора от угроз).

    Для подключения устройств с ОС Аврора на устройствах должно быть предварительно установлено приложение Kaspersky Endpoint Security для ОС Аврора.

В окне "Новая политика":

1. В поле Имя введите имя новой политики. Если вы укажете имя уже существующей политики, к нему автоматически будет добавлено окончание (1).
2. В разделе настроек Состояние политики выберите состояние политики:
   • Активна. Мастер сохраняет созданную политику на Сервере администрирования. После следующей синхронизации мобильных устройств с Сервером администрирования политика начнет использоваться на устройствах в качестве активной.
   • Неактивна. Мастер сохраняет созданную политику на Сервере администрирования как резервную. В дальнейшем политика может быть активирована по событию. При необходимости неактивную политику можно сделать активной.

     Для одной программы в группе можно создать несколько политик, но активной может быть только одна из них. При создании новой активной политики предыдущая активная политика автоматически становится неактивной.

3. На вкладке Общие раздела настроек Наследование параметров можно настроить параметры наследования политики:
   • Наследовать параметры родительской политики

     Если вы включите этот параметр в дочерней политике, а администратор заблокирует некоторые параметры в родительской политике, вы не сможете изменить эти параметры в дочерней политике.

     Если вы выключили этот параметр в дочерней политике, вы можете изменить все параметры в дочерней политике, даже если некоторые параметры "заблокированы" в родительской политике.

   • Обеспечить принудительное наследование параметров для дочерних политик

     Если этот параметр включен в родительской политике, для всех дочерних политик будет включен параметр Наследовать параметры родительской политики. В этом случае вы не сможете выключить этот параметр для всех дочерних политик. Все параметры, заблокированные в родительской политике, принудительно наследуются в дочерних политиках, и вы не сможете изменить эти параметры в дочерних группах.

   По умолчанию параметр Наследовать параметры родительской политики включен, а параметр Обеспечить принудительное наследование параметров для дочерних политик - выключен.

   Наследование параметров политики работает только если для родительской и дочерней политики выбраны одинаковые режимы работы устройств, либо в выбранных для дочерней политики режимах работы устройств доступно больше параметров безопасности. Например, дочерняя политика для Android-устройств с корпоративным контейнером может наследовать параметры родительской политики для личных устройств, но не может наследовать параметры родительской политики для корпоративных устройств.
   Если вы создали дочернюю политику, несовместимую с родительской политикой, то чтобы управлять устройствами, нужно удалить ее и создать новую дочернюю политику.

4. Нажмите Сохранить.

Создана новая политика для мобильных устройств.

[Topic 283010]

Изменение политики

Kaspersky Security Center Web Console позволяет изменять политики.

Чтобы изменить политику:

1. Откройте окно свойств политики, выполнив одно из следующих действий:
   • В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите изменить.
   • В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Устройства. Выберите мобильное устройство, подпадающее под действие политики, которую вы хотите изменить, а затем выберите политику на вкладке Действующие политики и профили политик.
2. В окне свойств политики перейдите на вкладку Параметры приложения, а затем укажите параметры политики.

   Вы можете настроить общие параметры, наследование параметров, профили политик, запись событий и уведомления, а также просмотреть историю ревизий. Дополнительная информация приведена в справке Kaspersky Security Center.

3. Нажмите Сохранить, чтобы сохранить изменения, внесенные в политику, и закрыть окно свойств политики.

Политика будет изменена. Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center.

[Topic 274713]

Копирование политики

В Kaspersky Security Center Web Console можно создавать копии политик.

Чтобы создать копию политики:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик.
2. В открывшемся списке политик установите флажок рядом с названием политики, для которой вы хотите создать копию, и нажмите Копировать.
3. В открывшемся дереве групп администрирования выберите целевую группу, в которой вы хотите создать политику.

   Можно создать новую группу администрирования, выбрав существующую группу и нажав Добавить дочернюю группу.

4. Нажмите Копировать.
5. Нажмите ОК, чтобы подтвердить операцию.

В целевой группе будет создана копия политики с тем же именем. Статус каждой скопированной или перемещенной политики в целевой группе будет Неактивна. В любое время можно изменить статус на Активна.

Если в целевой группе уже существует политика с именем, совпадающим с именем новой созданной или перемещенной политики, к имени новой политики добавляется индекс (<порядковый номер>), например: (1).

[Topic 283449]

Перенос политики в другую группу администрирования

В Kaspersky Security Center Web Console можно перенести политику в другую группу администрирования.

Чтобы перенести политику в другую группу администрирования:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик.
2. В открывшемся списке политик установите флажок рядом с названием политики, которую вы хотите перенести в другую группу администрирования, и нажмите Переместить.
3. В появившемся дереве групп администрирования выберите группу, в которую вы хотите переместить политику.

   Можно создать новую группу администрирования, выбрав существующую группу и нажав Добавить дочернюю группу.

4. Нажмите Переместить.
5. Нажмите ОК для подтверждения.

Результат зависит от свойств наследования политики:

• Если политика не наследовалась в исходной группе, то она будет перемещена в целевую группу.
• Если политика наследовалась в исходной группе, то она не будет перемещена. Вместо этого в целевой группе будет создана копия перемещаемой политики.

Статус каждой скопированной или перемещенной политики в целевой группе будет Неактивна. В любое время можно изменить статус на Активна.

Если в целевой группе уже существует политика с именем, совпадающим с именем новой созданной или перемещенной политики, к имени новой политики добавляется индекс (<порядковый номер>), например: (1).

[Topic 274716]

Просмотр списка политик

Kaspersky Security Center Web Console позволяет просматривать список созданных политик, их статусы и свойства.

Чтобы просмотреть список политик:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик.
2. Откроется список политик с краткой информацией о них. На этой странице вы можете создавать, изменять, копировать, перемещать и удалять политики.

[Topic 274711]

Просмотр результатов применения политики

В Kaspersky Security Center Web Console можно просматривать диаграмму распространения политики и информацию обо всех устройствах, подпадающих под действие политики.

Чтобы просмотреть результаты распространения политики:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик.
2. В открывшемся списке политик установите флажок рядом с названием политики, для которой вы хотите просмотреть результаты распространения, и нажмите Результаты применения.

Откроется страница с результатами распространения политики. Она содержит общую информацию о политике, диаграмму распространения политики и таблицу с информацией обо всех устройствах, подпадающих под действие этой политики. Вы можете открыть окно свойств политики, нажав Настроить параметры политики.

[Topic 274740]

Работа с ревизиями политик

В Kaspersky Security Center Web Console можно просматривать изменения, внесенные в политику за определенный период, а также сохранять информацию об этих изменениях в файле.

Чтобы просмотреть ревизию политики:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик.
2. В открывшемся списке политик выберите политику, ревизию которой вы хотите просмотреть, а затем перейдите в раздел История ревизий.
3. В списке ревизий политики выберите номер ревизии, которую вы хотите просмотреть.

   Если размер ревизии превышает 10 МБ, вы не сможете просмотреть ее с помощью Kaspersky Security Center Web Console. Вам будет предложено сохранить выбранную ревизию в файл JSON.
   
   Если размер ревизии не превышает 10 МБ, то отображается отчет в формате HTML с параметрами выбранной ревизии. Отчет отображается во всплывающем окне, поэтому убедитесь, что в вашем браузере разрешены всплывающие окна.

   Чтобы сохранить ревизию политики в файл JSON, в списке ревизий политики выберите нужную ревизию, а затем нажмите Сохранить в файл.

Ревизия сохраняется в файле JSON.

Подробная информация об управлении ревизиями политик приведена в справке Kaspersky Security Center.

[Topic 274742]

Ограничение прав на настройку политик

Администраторы Kaspersky Security Center могут настраивать права доступа пользователей Web Console к различным функциям решения Kaspersky Secure Mobility Management в зависимости от служебных обязанностей пользователей.

В интерфейсе Web Console вы можете настроить права доступа на вкладках Безопасность и Роли пользователей в окне свойств Сервера администрирования. На вкладке Роли пользователей можно добавлять типовые роли пользователей с заранее настроенным набором прав. В разделе Безопасность можно настраивать права для одного пользователя или для группы пользователей, а также назначать роли одному пользователю или группе пользователей. Права пользователей для каждой программы настраиваются по областям действия.

Для каждой функциональной области администратор может назначать следующие права доступа:

• Разрешить изменение. Пользователю Web Console разрешено изменять параметры политики в окне ее свойств.
• Запретить изменение. Пользователю Web Console запрещено изменять параметры политики в окне ее свойств. Вкладки политики, входящие в функциональную область, для которой назначено это право, не отображаются в интерфейсе.

[Topic 286998]

Настройка управления доступом на основе ролей

С помощью Kaspersky Security Center Web Console можно предоставлять доступ к функциям Kaspersky Secure Mobility Management на основе ролей.

Вы можете настроить права доступа к функциям Kaspersky Secure Mobility Management одним из следующих способов:

• Настроить права отдельно для каждого пользователя или группы.
• Создать типовые роли пользователей с предопределенным набором прав и назначить эти роли пользователям в соответствии с их обязанностями.

Назначение ролей упрощает и сокращает процедуру настройки прав доступа пользователей. Права доступа для роли настраиваются в соответствии с типовыми задачами и обязанностями пользователей.

Ролям пользователей можно присваивать имена, соответствующие их назначению. В программе можно создавать неограниченное количество ролей. Вы можете использовать предопределенные роли пользователей с уже настроенным набором прав или создавать новые роли и самостоятельно настраивать необходимые права.

Подробная информация о настройке доступа пользователей в Kaspersky Security Center приведена в справке Kaspersky Security Center.

У некоторых предопределенных ролей пользователей нет прав на работу с мобильными устройствами. Предопределенные роли пользователей, доступные для функций Kaspersky Secure Mobility Management, перечислены в таблице ниже.

Предопределенные роли пользователей для работы с Kaspersky Secure Mobility Management

Дополнительная информация о предопределенных ролях пользователей приведена в справке Kaspersky Security Center.

Права доступа к функциям Kaspersky Secure Mobility Management

Права доступа для управления мобильными устройствами

[Topic 286996]

Настройка профилей политик

Может возникнуть необходимость создать и централизованно изменить несколько копий одной политики для группы администрирования. Эти копии могут отличаться одним или двумя параметрами.

Чтобы избежать создания нескольких копий одной политики, Kaspersky Security Center Web Console позволяет создавать профили политик. Профили политики нужны для того, чтобы устройства внутри одной группы администрирования могли иметь разные параметры политики.

Профиль политики представляет собой именованное подмножество параметров политики. Это подмножество параметров распространяется на устройства вместе с политикой и дополняет политику при выполнении определенного условия – условия активации профиля. Профили содержат только те параметры, которые отличаются от "базовой" политики, действующей на управляемом устройстве. При активации профиля изменяются параметры "базовой" политики, которые исходно действовали на устройстве. Эти параметры принимают значения, указанные в профиле.

Вы можете менять условия, которые влияют на активацию создаваемого профиля политики. Для мобильных устройств доступны следующие условия:

• Правила для выбранного владельца устройства

  Активация профиля на устройстве по владельцу устройства.

  • Владелец устройства
  • Владелец устройства включен во внутреннюю группу безопасности
• Правила для назначения роли

  Активация профиля на устройстве в зависимости от наличия определенной роли у его владельца.

  • Активировать профиль политики по наличию роли у владельца устройства
• Правила для использования тега

  Активация профиля на устройстве в зависимости от тегов, назначенных устройству.

  • Список тегов
  • Применить к устройствам без выбранных тегов
• Правила для использования Active Directory

  Активация профиля на устройстве в зависимости от размещения устройства в подразделении Active Directory или же от членства устройства или его владельца в группе безопасности Active Directory. Область настройки зависит от текущей используемой политики.

  • Членство владельца устройства в группе безопасности Active Directory
  • Членство устройства в группе безопасности Active Directory
  • Размещение устройства в подразделении Active Directory

Подробная информация о настройке правил активации, а также создании, удалении и копировании профилей политики приведена в справке Kaspersky Security Center.

Если вы скопируете профиль политики в несовместимую политику (политику, в которой не настроены операционные системы и режимы работы устройств этого профиля), такой профиль будет работать некорректно.

[Topic 274741]

Удаление политики

В Kaspersky Security Center Web Console можно удалять политики.

Удалять можно только те политики, которые не наследуются в текущей группе администрирования. Если политика наследуется, ее можно удалить только в группе верхнего уровня, для которой она была создана.

Чтобы удалить групповую политику:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик.
2. В открывшемся списке политик установите флажок рядом с названием политики, которую вы хотите удалить, и нажмите Удалить.
3. В открывшемся окне нажмите ОК для подтверждения.

Политика будет удалена. До применения новой политики мобильные устройства, входящие в группу администрирования, продолжат работу с параметрами, заданными в удаленной политике.

[Topic 283012]

Подключение мобильных устройств к Kaspersky Security Center Web Console

Развернуть всё | Свернуть всё

Для управления мобильными устройствами и установленными на них управляющими приложениями необходимо подключить эти устройства к Kaspersky Security Center.

Перед подключением убедитесь, что в разделе Лицензионные ключи свойств Сервера администрирования настроена лицензия, поддерживающая решение для управления мобильными устройствами.

Чтобы подключить мобильное устройство к Kaspersky Security Center:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Устройства.
2. В открывшемся списке мобильных устройств нажмите Добавить.

   Запустится Мастер подключения мобильного устройства. Нажмите Начать и продолжайте работу мастера с помощью кнопок Назад и Далее.

Добро пожаловать

На экране приветствия можно прочитать краткое описание шагов Мастера подключения мобильного устройства.

Шаг 1. Политика

На этом шаге выберите политику для подключаемых устройств. Устройства работают в соответствии с настройками безопасности, указанными в политике.

• Использовать существующую политику

  Укажите группу администрирования для политики, которую вы хотите выбрать. Отобразится название политики, а также операционные системы и режимы работы устройств, которыми управляет эта политика.

  Если необходимо, нажмите Перейти к политике, чтобы просмотреть свойства выбранной политики.

• Создать новую политику

  Нажмите на появившуюся кнопку Создать политику. Вы будете перенаправлены в Мастер создания политики для мобильных устройств. После создания политики с необходимыми параметрами вы можете вернуться к Мастеру подключения мобильного устройства.

Шаг 2. Операционные системы

На этом шаге выберите операционные системы подключаемых устройств. Доступные операционные системы зависят от указанных в настройках политики: Android, iOS, Аврора.

• Android

  После выбора этой операционной системы отобразятся Параметры установки Kaspersky Endpoint Security для Android. Чтобы изменить их, нажмите Изменить параметры.

  1. Выберите Источник установки приложения Kaspersky Endpoint Security для Android.
     • Сайт "Лаборатории Касперского"

       Выберите этот способ для мобильных устройств с доступом в интернет, чтобы загрузить установочный файл APK с сайта "Лаборатории Касперского". Затем приложение будет обновляться с сайта "Лаборатории Касперского" или с помощью HUAWEI AppGallery, Samsung Galaxy Store, RuStore или Xiaomi GetApps.

       Этот источник установки доступен для всех режимов работы устройств.

     • Инсталляционный пакет

       Инсталляционный пакет Kaspersky Endpoint Security для Android будет загружен с сервера Kaspersky Security Center и обновлен через Kaspersky Security Center с помощью параметров политики. Выберите этот способ, если у мобильных устройств в вашей компании нет доступа к интернету.

       Для этого источника установки создайте инсталляционный пакет Kaspersky Endpoint Security для Android перед подключением мобильных устройств.

       Этот источник установки доступен для всех режимов работы устройств.

       • Чтобы указать инсталляционный пакет, нажмите Выбрать инсталляционный пакет и выберите инсталляционный пакет из открывшегося списка.
       • Если доступных инсталляционных пакетов нет, вам будет предложено создать их. Нажмите Создать инсталляционный пакет и следуйте шагам Мастера создания инсталляционного пакета, как описано в справке Kaspersky Security Center, чтобы создать инсталляционный пакет из файла или автономный инсталляционный пакет. После создания инсталляционного пакета вы можете вернуться к Мастеру подключения мобильного устройства.

       При этом способе установки недоступны автоматические обновления через магазин приложений. Обновить приложение можно вручную в разделе Обновление приложения параметров политики.
       Для установки приложения на устройства используется последний инсталляционный пакет, загруженный в Kaspersky Security Center.

       Если вы подключаете корпоративные устройства, убедитесь, что установлен флажок Разрешить использование HTTP для загрузки приложения на корпоративных устройствах, чтобы обеспечить загрузку Kaspersky Endpoint Security для Android. В противном случае приложение будет загружено по протоколу HTTPS только в том случае, если сертификат Веб-сервера Kaspersky Security Center выдан доверенным центром сертификации.

       Подробная информация о способах установки приведена в секции Установка Kaspersky Endpoint Security для Android.

  2. Выберите Сеть для установки Kaspersky Endpoint Security для Android (только для корпоративных устройств):
     • Предложить пользователю выбрать сеть Wi-Fi на устройстве

       В этом случае пользователю будет предложено подключиться к любой доступной сети Wi-Fi для загрузки приложения.

     • Использовать только заданную сеть Wi-Fi (Android 9 или выше)

       Чтобы выбрать сеть для установки, нажмите Выбрать сеть.

       В открывшемся окне укажите следующие параметры:

       • Идентификатор сети SSID

         Определяет имя беспроводной сети, содержащей точку доступа (SSID). Имя беспроводной сети не должно содержать более 32 символов.

       • Скрытая сеть

         Определяет, будет ли выбранная сеть транслировать свой SSID.

       • Защита сети

         Определяет тип защиты беспроводной сети. Возможные значения:

         • NONE

           Сеть не защищена.

         • WPA

           Сеть защищена по протоколу безопасности WPA. Этот параметр требует ввода пароля для доступа к сети.

         • WEP

           Сеть защищена по протоколу WEP. Этот параметр требует ввода пароля для доступа к сети и применим только для устройств под управлением Android 9 или ниже.

       • Пароль

         Определяет пароль для доступа к беспроводной сети, защищенной по протоколу WPA или WEP. Пароль будет передан пользователю с QR-кодом.

         Не отправляйте пароль для конфиденциальной сети Wi-Fi, которая не должна быть общедоступной. Пароль передается пользователю в открытом виде вместе с другими данными, необходимыми для настройки устройства.

       • Использовать прокси-сервер

         Определяет использование прокси-сервера. Если выбран этот параметр, необходимо указать адрес и порт прокси-сервера. Также можно указать список сайтов, для которых прокси будет игнорироваться.

       • Адрес прокси-сервера

         Определяет IP-адрес или символьное имя (веб-адрес) прокси-сервера. Максимальное количество символов – 256.

       • Порт прокси-сервера

         Номер порта прокси-сервера. Значение должно быть в диапазоне от 0 до 65536.

       • Веб-адрес PAC-файла

         URL-адрес PAC-файла (proxy auto-configuration) для сети Wi-Fi.

       • Не использовать прокси-сервер для следующих адресов

         Определяет адреса веб-сайтов, для которых не нужно использовать прокси-сервер.

         Введите адрес в формате example.com. Если вы введете example.com, прокси-сервер не будет использоваться для адресов pictures.example.com, example.com/movies и т. п. Протокол (например, http://) указывать необязательно.

       Не отправляйте пароль для конфиденциальной сети Wi-Fi, которая не должна быть общедоступной. Пароль передается пользователю в открытом виде вместе с другими данными, необходимыми для настройки устройства.

     • По возможности использовать мобильную сеть (Android 8 или выше)

       В этом случае устройство попытается подключиться к мобильной сети для загрузки приложения. Если на устройстве не установлена SIM-карта или мобильная сеть недоступна, пользователю будет предложено выбрать доступную сеть Wi-Fi.

  3. Выберите флажок Включить все системные приложения (только для корпоративных устройств), чтобы системные приложения на устройстве остались включенными. При необходимости их можно будет отключить в разделе Контроль приложений.
• iOS

  Для подключения и управления iOS-устройствами в режимах "Базовый контроль" и "Расширенный контроль" в выбранной группе администрирования должен быть установлен Сервер iOS MDM. Подробная информация об установке Сервера iOS MDM приведена в разделе Развертывание Сервера iOS MDM.

  На личные устройства в режиме "Базовая защита" будет установлено приложение Kaspersky Security для iOS.

  На устройства в режимах "Базовый контроль" и "Расширенный контроль" будет установлен управляющий профиль.

  На мобильных устройствах под управлением iOS 12.1 и выше необходимо вручную подтвердить установку управляющего профиля на мобильном устройстве. Также необходимо предоставить разрешение на удаленное управление устройством.

• Аврора

  Для подключения устройств с ОС Аврора на устройствах должно быть предварительно установлено приложение Kaspersky Endpoint Security для ОС Аврора.

Шаг 3. Принятие соглашений

На этом шаге выберите, кому необходимо принять Лицензионное соглашение и Политику конфиденциальности.

• Администратор

  Соглашения будут приняты администратором на следующем шаге мастера. В этом случае приложение пропустит этап принятия соглашений во время установки.

• Пользователи

  Соглашения будут приняты пользователями на мобильных устройствах.

Этот шаг применим только к операционным системам Android и iOS. При подключении устройств с ОС Аврора соглашения принимаются пользователями на мобильных устройствах.

Обратите внимание, что администратору будет предложено принять Лицензионное соглашение только после того, как эта же версия соглашения будет впервые принята пользователями на устройствах. После подключения и первой синхронизации устройств с Kaspersky Security Center администратор сможет принимать данную версию Лицензионного соглашения при последующих подключениях устройств.

Список принятых соглашений можно просмотреть в разделе Лицензионные соглашения свойств Сервера администрирования.

Шаг 4. Лицензионное соглашение и Политика конфиденциальности

Если на предыдущем шаге мастера в качестве принимающего соглашения был выбран Администратор, вам будет предложено ознакомиться с Политикой конфиденциальности, Лицензионным соглашением и всеми связанными с ним документами. Перед установкой управляющих приложений на устройства необходимо принять условия и положения Лицензионного соглашения и Политики конфиденциальности.

Шаг 5. Пользователи

На этом шаге выберите одного или нескольких пользователей подключаемых устройств. Выбранные пользователи получат информацию по установке приложения для подключения устройств к Kaspersky Security Center. Если пользователя нет в списке, можно добавить новую учетную запись, не выходя из мастера.

Нельзя выбрать и отправить данные о подключении более чем 75 пользователям в рамках одного сеанса Мастера подключения мобильного устройства. Мы рекомендуем разделить подключаемые устройства на группы численностью менее 75 устройств и подключать эти группы последовательно в рамках отдельных сеансов мастера.

• Чтобы выбрать существующего пользователя, установите флажки рядом с соответствующими именами пользователей.
• Чтобы добавить нового пользователя, нажмите Добавить пользователя.
  1. Укажите учетные данные пользователя в разделе настроек Учетные данные.
     • Имя пользователя
     • Пароль

       Пароль должен соответствовать следующим требованиям сложности:

       • Пароль должен содержать от 8 до 16 символов.
       • Пароль должен содержать символы как минимум трех групп: верхний регистр (A-Z), нижний регистр (A-Z) (a-z), числа (0-9), специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;).
  2. При необходимости укажите дополнительные данные в разделе параметров Необязательная информация.
     • Полное имя пользователя
     • Описание
     • Адрес электронной почты
     • Номер телефона
  3. Нажмите ОК, чтобы сохранить изменения.

     Новый пользователь будет добавлен и отображен в списке пользователей.

• Чтобы изменить информацию о пользователе, нажмите Изменить пользователя.

  Поля, доступные для редактирования, зависят от подтипа пользователя - внутренний или доменный.

Шаг 6. Передача информации для подключения

На этом шаге выберите способ отправки QR-кодов и ссылок для установки управляющих приложений или управляющих профилей. Вы можете выбрать один из следующих способов:

• Отправить письмо на адреса электронной почты пользователей

  Выберите этот способ, чтобы отправить сведения о подключении по электронной почте выбранным пользователям. Чтобы установить приложение или управляющий профиль, пользователю необходимо отсканировать QR-код с помощью камеры мобильного устройства или открыть ссылку на инсталляционный пакет.

  Адреса электронной почты должны быть указаны в учетных данных пользователей в Kaspersky Security Center.
  
  Если вы хотите отправить информацию для подключения на электронную почту, не указанную в учетных данных в Kaspersky Security Center, установите флажок Отправить копию письма на дополнительный адрес электронной почты и укажите нужный адрес.

• Показать QR-коды и ссылки после завершения мастера

  Выберите этот способ, чтобы отсканировать QR-код с помощью камеры мобильного устройства или перейти по ссылке в мастере.

Шаг 7. Подтверждение

На этом шаге проверьте данные для подключения мобильного устройства, указанные на предыдущих шагах, и нажмите Готово для подтверждения операции.

Готово

На экране "Готово":

• Если вы выбрали Отправить письмо на адреса электронной почты пользователей, указанным пользователям будут отправлены электронные письма с QR-кодами и ссылками для подключения мобильных устройств к Серверу администрирования.
• Если вы выбрали Показать QR-коды и ссылки после завершения мастера, информация для подключения отобразится на экране "Готово". Информацию можно просмотреть на экране мастера или нажать Скачать список, чтобы получить файл с данными для подключения.

Нажмите Закрыть, чтобы выйти из мастера.

Когда пользователи установят управляющие приложения, устройства подключатся к Серверу администрирования и отобразятся на вкладке Устройства в Kaspersky Security Center Web Console.

Теперь вы можете настраивать параметры устройств и приложений для управления мобильными устройствами с помощью политик. Вы также сможете отправлять на мобильные устройства команды для защиты данных в случае потери или кражи устройств.

[Topic 274856]

Прямое подключение Android-устройств к Kaspersky Security Center

Android-устройства могут напрямую подключаться к порту 13292 Сервера администрирования.

В зависимости от используемого метода аутентификации возможны два варианта подключения.

Подключение с пользовательским сертификатом

При подключении устройства с пользовательским сертификатом оно привязывается к учетной записи пользователя, для которой через средства Сервера администрирования был назначен соответствующий сертификат.

В этом случае будет использована двусторонняя (взаимная) аутентификация SSL. Сервер администрирования и устройство будут аутентифицированы с помощью сертификатов.

Подключение без пользовательского сертификата

При подключении устройства без пользовательского сертификата оно не будет привязано к учетной записи пользователя на Сервере администрирования. При этом, при получении устройством любого сертификата оно будет привязано к пользователю, которому был назначен соответствующий сертификат через средства Сервера администрирования.

При подключении устройства к Серверу администрирования будет использована односторонняя SSL-аутентификация, при которой аутентифицироваться с помощью сертификата будет только Сервер администрирования. После получения устройством пользовательского сертификата тип аутентификации будет изменен на двустороннюю (взаимную) SSL-аутентификацию.

[Topic 274708]

Перемещение нераспределенных мобильных устройств в группы администрирования

При подключении мобильных устройств к Kaspersky Security Center они отображаются на странице Обнаружение устройств и развертывание > Нераспределенные устройства Kaspersky Security Center Web Console. Для управления новыми подключенными устройствами можно создать правило для автоматического распределения устройств по группам администрирования, либо переместить их в группу администрирования вручную.

Чтобы переместить нераспределенное мобильное устройство в группу администрирования:

1. В главном окне Kaspersky Security Center Web Console выберите Обнаружение устройств и развертывание > Нераспределенные устройства.
2. Выберите устройство, которое вы хотите переместить в группу администрирования, и нажмите Переместить в группу.
3. В появившемся дереве групп администрирования выберите группу, в которую вы хотите переместить устройство.

   Можно создать новую группу администрирования, выбрав существующую группу и нажав Добавить дочернюю группу.

4. Нажмите Переместить.

Устройство будет перемещено в указанную группу администрирования, и к нему применится соответствующая политика.

[Topic 286652]

Действия на мобильных устройствах для подключения к Серверу администрирования

В зависимости от режима, в котором будет работать устройство, вам может потребоваться выполнить дополнительные действия для защиты устройства и подключения его к Серверу администрирования.

Установка мобильного сертификата

Если вы получили пароль сертификата, нужно использовать его для установки мобильного сертификата на устройство.

Чтобы установить мобильный сертификат:

1. Запомните или запишите пароль, который вы получили от администратора по электронной почте.
2. Выполните одно из следующих действий:
   • На Android-устройстве введите пароль сертификата при появлении запроса от Kaspersky Endpoint Security для Android.
   • На iOS-устройстве введите пароль сертификата при установке управляющего профиля.

Мобильный сертификат будет установлен на устройство.

Предварительная настройка корпоративных Android-устройств

Чтобы подключить корпоративное Android-устройство к Серверу администрирования, нужно выполнить предварительную настройку устройства в зависимости от версии операционной системы и наличия сканера QR-кодов.

[Topic 274704]

Настройка параметров синхронизации

Для управления мобильными устройствами и получения отчетов или статистик от мобильных устройств пользователей нужно настроить параметры синхронизации. Синхронизация выполняется с помощью протокола HTTPS. Синхронизация мобильных устройств с Сервером администрирования может выполняться следующими способами:

• По расписанию. Вы можете настроить расписание синхронизации в параметрах политики. Изменения параметров политики, команды и задачи будут выполняться во время синхронизации устройства с Kaspersky Security Center по расписанию, то есть с задержкой. По умолчанию мобильные устройства автоматически синхронизируются с Kaspersky Security Center каждые шесть часов.

  Из-за ограничений Doze, при выборе короткого периода синхронизации устройства могут синхронизироваться с Сервером администрирования реже.

  Использование коротких периодов синхронизации сокращает время работы устройства от батареи.

• Принудительно. Для синхронизации используются push-уведомления FCM (Firebase Cloud Messaging). Принудительная синхронизация, в первую очередь, предназначена для своевременной доставки команд на мобильное устройство. Это может быть полезно, если устройство находится в режиме экономии заряда батареи, поскольку в этом случае приложение может выполнять задачи позже, чем указано. Если вы хотите использовать принудительную синхронизацию, убедитесь что параметры FCM в Kaspersky Security Center настроены.

Чтобы настроить параметры синхронизации Android-устройств:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Параметры KES для Android.
4. На карточке Синхронизация по расписанию нажмите Параметры.

   Откроется окно Синхронизация по расписанию.

5. Включите синхронизацию с помощью переключателя Синхронизация по расписанию.
6. В раскрывающемся списке Период синхронизации выберите интервал между операциями синхронизации устройств с Kaspersky Security Center.
7. Чтобы выключить синхронизацию устройств с Kaspersky Security Center в роуминге, установите флажок Выключить синхронизацию в роуминге.

   Пользователь устройства может выполнять синхронизацию вручную в настройках приложения (Настройки → Настройки приложения → Синхронизация → Синхронизировать).

8. Нажмите OK.
9. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. Вы можете принудительно синхронизировать мобильное устройство с помощью специальной команды.

Чтобы настроить параметры синхронизации iOS-устройств в режиме "Базовая защита":

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите iOS и перейдите в раздел Параметры KS для iOS.
4. На карточке Синхронизация по расписанию нажмите Параметры.

   Откроется окно Синхронизация по расписанию.

5. Включите синхронизацию с помощью переключателя Синхронизация по расписанию.
6. В раскрывающемся списке Период синхронизации выберите интервал между операциями синхронизации устройств с Kaspersky Security Center. По умолчанию указано значение 6 часов.
7. Нажмите OK.
8. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. Вы можете принудительно синхронизировать мобильное устройство с помощью специальной команды.

[Topic 274851]

Управление сертификатами мобильных устройств

Kaspersky Security Center Web Console позволяет выпускать, обновлять или удалять мобильные, почтовые и VPN-сертификаты мобильных устройств.

В этом разделе содержится информация о том, как управлять сертификатами мобильных устройств и настраивать правила их выпуска.

[Topic 287322]

Настройка правил выпуска сертификатов

Kaspersky Security Center Web Console позволяет настраивать порядок выпуска, обновления и защиты сертификатов для мобильных устройств.

Чтобы настроить правила выпуска сертификатов:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Сертификаты.
2. В открывшемся списке сертификатов выберите Правила выпуска.
   • В разделе Параметры PKI:
     1. В блоке настроек Интеграция с PKI включите переключатель Интегрировать выпуск сертификатов с Microsoft Certification Authority (CA) через PKI для автоматического выпуска сертификатов.

        Нажмите Выбрать устройство и укажите устройство с установленным Агентом администрирования, которое будет подключаться к Microsoft CA.

        Подробная информация об интеграции с PKI приведена в разделе Интеграция с инфраструктурой открытых ключей.

     2. В блоке настроек Доменная учетная запись для передачи запросов на выпуск сертификатов укажите Имя учетной записи PKI (имя учетной записи пользователя, которая будет использоваться для интеграции с PKI в формате userPrincipalName@DNSDomainName) и Пароль (доменный пароль учетной записи).
     3. Нажмите Сохранить, чтобы сохранить изменения.
   • В разделе Мобильные сертификаты можно настроить следующие параметры:
     1. В блоке настроек Срок действия в поле Срок действия сертификата (дней) укажите срок действия сертификата в днях. Срок действия сертификата по умолчанию составляет 365 дней. По истечении этого срока мобильное устройство не сможет подключиться к Серверу администрирования.
     2. В разделе настроек Обновление в поле Обновить сертификат, когда осталось (дней) укажите количество дней до окончания срока действия текущего сертификата, когда Сервер администрирования должен выпустить новый сертификат. Например, если указано значение 4, Сервер администрирования выпускает новый сертификат за четыре дня до окончания срока действия текущего. По умолчанию указано значение 30.

        Установите флажок Обновлять сертификат автоматически для автоматического выпуска сертификатов. Если флажок не установлен, сертификаты необходимо обновлять вручную по мере истечения срока их действия. По умолчанию флажок установлен.

     3. В блоке настроек Защита паролем установите флажок Запрашивать пароль при установке сертификата для запроса пароля у пользователя при установке сертификата на мобильное устройство. Пароль используется только один раз — при установке сертификата на мобильное устройство. Пароль будет автоматически сгенерирован Сервером администрирования и отправлен пользователю по электронной почте. В поле Длина пароля можно указать длину пароля.

        Защита паролем доступна только для мобильных сертификатов.

     4. Нажмите Сохранить, чтобы сохранить изменения.
   • В разделах Почтовые сертификаты и VPN-сертификаты, если настроена интеграция с PKI:
     1. В блоке настроек Обновление в поле Обновить сертификат, когда осталось (дней) укажите количество дней до окончания срока действия текущего сертификата, когда Сервер администрирования должен выпустить новый сертификат. Например, если указано значение 4, Сервер администрирования выпускает новый сертификат за четыре дня до окончания срока действия текущего.

        Установите флажок Обновлять сертификат автоматически для автоматического выпуска сертификатов. Если флажок не установлен, сертификаты необходимо обновлять вручную по мере истечения срока их действия. По умолчанию флажок установлен.

     2. В блоке настроек Параметры PKI укажите Имя шаблона сертификата в системе PKI (шаблон сертификата, который будет использоваться для выпуска сертификатов доменным пользователям).

        Под указанной учетной записью на устройстве, которое подключается к CA, запускается служба Агента администрирования для Windows. Эта служба отвечает за выпуск доменных сертификатов пользователей. Служба запускается, когда происходит загрузка списка шаблонов сертификатов по кнопке Обновить список, или при выпуске сертификата.

        При подключении к Kaspersky Security Center любого мобильного устройства (под управлением Android или iOS), владельцем которого является недоменный пользователь, попытка выписки сертификата может завершиться ошибкой.

     3. В блоках настроек Автоматический выпуск почтового сертификата при подключении устройства или Автоматический выпуск VPN-сертификата при подключении устройства установите флажки Выпускать для устройств под управлением Kaspersky Endpoint Security для Android или Выпускать для iOS MDM-устройств для включения автоматического выпуска почтового или VPN-сертификата при подключении устройств к Kaspersky Security Center.

        Если вы установили флажок Выпускать для iOS MDM-устройств, выберите псевдоним сертификата в раскрывающемся списке. Псевдоним сертификата - это имя, которое идентифицирует сертификат. Вы можете настроить дальнейшее использование выбранного псевдонима для выпуска сертификата в следующих разделах:

        • Для почтовых сертификатов: в разделах Настройка почтового ящика на iOS MDM-устройствах и Настройка почтового ящика Exchange на iOS MDM-устройствах.
        • Для VPN-сертификатов: в разделах Настройка VPN на iOS MDM-устройствах и Подключение iOS MDM-устройств к сети Wi-Fi.

        Вы также можете изменить псевдоним для одного или нескольких почтовых и VPN-сертификатов, нажав кнопку Изменить псевдоним в списке сертификатов (Активы (Устройства) → Мобильные → Сертификаты).

     4. Нажмите Сохранить, чтобы сохранить изменения.

Указанные параметры будут использоваться Kaspersky Security Center для выпуска, обновления и защиты сертификатов мобильных устройств.

[Topic 286650]

Выпуск сертификатов для мобильных устройств

Вы можете выпускать мобильные, почтовые или VPN-сертификаты для мобильных устройств.

Чтобы выпустить сертификат:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Сертификаты.
2. В открывшемся списке сертификатов нажмите Добавить.

   Запустится Мастер выпуска сертификата. Нажмите Начать и продолжайте работу мастера с помощью кнопок Назад и Далее.

Добро пожаловать

На экране приветствия можно прочитать краткое описание шагов Мастера выпуска сертификата.

Обратите внимание, что нумерация и набор шагов могут различаться в зависимости от типа сертификата, операционной системы и правил выпуска, указанных в разделе Правила выпуска.

Шаг 1. Тип сертификата

На этом шаге выберите сертификат для выпуска.

• Почтовый сертификат (для корпоративной почты на устройствах).
• VPN-сертификат (для доступа к частным сетям и корпоративным веб-ресурсам).
• Мобильный сертификат (для идентификации мобильных устройств на Сервере администрирования).

Шаг 2. Операционная система

На этом шаге выберите операционную систему устройств, для которых будет выпущен сертификат.

• Android
• iOS

Шаг 3. Способ подключения

Этот шаг отображается только в случае, если вы выбрали Почтовый сертификат или VPN-сертификат в качестве типа сертификата и Android в качестве операционной системы устройств, для которых будет выпущен сертификат.

На этом шаге выберите способ подключения устройств к Серверу администрирования.

• Подключение с помощью аутентификации по мобильному сертификату

  Выберите этот параметр, чтобы мобильный сертификат использовался для идентификации пользователя при подключении к Серверу администрирования.

• Подключение без аутентификации по мобильному сертификату

  Выберите этот вариант, если вы хотите установить сертификат на устройство без аутентификации по сертификату.

Шаг 4. Пользователи

На этом этапе выберите пользователей, которые получат информацию для установки сертификатов. Если пользователя нет в списке, можно добавить новую учетную запись, не выходя из мастера.

• Чтобы выбрать существующего пользователя, установите флажки рядом с соответствующими именами пользователей.
• Чтобы добавить нового пользователя, нажмите Добавить пользователя.
  1. Укажите учетные данные пользователя в разделе настроек Учетные данные.
     • Имя пользователя
     • Пароль

       Пароль должен соответствовать следующим требованиям сложности:

       • Пароль должен содержать от 8 до 16 символов.
       • Пароль должен содержать символы как минимум трех групп: верхний регистр (A-Z), нижний регистр (A-Z) (a-z), числа (0-9), специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;).
  2. При необходимости укажите дополнительные данные в разделе параметров Необязательная информация.
     • Полное имя пользователя
     • Описание
     • Адрес электронной почты
     • Номер телефона
  3. Нажмите ОК, чтобы сохранить изменения.

     Новый пользователь будет добавлен и отображен в списке пользователей.

• Чтобы изменить информацию о пользователе, нажмите Изменить пользователя.

Поля, доступные для редактирования, зависят от подтипа пользователя - внутренний или доменный.

Шаг 5. Псевдоним и источник сертификата

На этом шаге выберите псевдоним и источник загрузки сертификата.

• Псевдоним сертификата

  Псевдоним сертификата – это имя, которое идентифицирует сертификат. Вы можете настроить дальнейшее использование выбранного псевдонима в разделах политики: Настройка почтового ящика на iOS MDM-устройствах; Настройка почтового ящика Exchange на iOS MDM-устройствах; Настройка VPN на iOS MDM-устройствах; Подключение iOS MDM-устройств к сети Wi-Fi.

  Этот шаг доступен только в случае, если вы выбрали Почтовый сертификат или VPN-сертификат в качестве типа сертификата.

• Интегрировать выпуск с Microsoft CA через PKI

  Для этого параметра в поле Шаблон PKI укажите один из доступных шаблонов, импортированных из Microsoft CA.

  Этот параметр доступен только в случае, если на вкладке Правила выпуска настроена интеграция с PKI.

• Загрузить файл

  Для этого параметра укажите Формат сертификата:

  • Для формата PKCS #12 в поле Файл сертификата нажмите Выбрать и укажите файл в формате P12 или PFX.
  • Для формата X.509 в поле Файл приватного ключа нажмите Выбрать и укажите файл в формате PRK или PEM.

    В поле Файл сертификата нажмите Выбрать и укажите файл в формате CER, CRT или CERT.

    После загрузки файлов вы также можете ввести пароль в поле Пароль сертификата.

Шаг 6. Способ аутентификации

Этот шаг отображается только в случае, если вы указали Мобильный сертификат в качестве типа сертификата, или если вы выбрали Почтовый сертификат или VPN-сертификат для Android-устройств и указали Подключение без аутентификации по мобильному сертификату в качестве способа подключения.

На этом шаге выберите способ аутентификации пользователя для получения сертификата.

• Доменные или внутренние учетные данные пользователя. Пользователи получат доступ к сертификату, используя доменные или внутренние учетные данные. Пользователям будет необходимо указать логин на мобильных устройствах в одном из форматов:
  • userPrincipalName@DNSDomainName
  • sAMAccountName
  • sAMADomain\sAMAccountName
• Пароль. Пользователи получат доступ к сертификату с помощью пароля, полученного по электронной почте или отображенного после завершения работы мастера.

В блоке настроек Использование сертификата на устройстве установите флажок Разрешить повторное использование сертификата на одном устройстве (только для устройств с установленным приложением Kaspersky Endpoint Security для Android), если вы хотите разрешить использование одного сертификата несколько раз на одном устройстве.

Флажок доступен только в случае, если Android указан в качестве операционной системы устройств, для которых будет выпущен сертификат.

Шаг 7. Передача информации о сертификате

На этом шаге выберите способ отправки информации для установки сертификата. Вы можете выбрать один из следующих способов:

• Отправить письмо на адреса электронной почты пользователей

  Выберите этот способ, чтобы отправить сведения для установки сертификата по электронной почте выбранным пользователям. Эти электронные адреса должны быть указаны в параметрах учетных записей пользователей в Kaspersky Security Center.
  
  Если вы хотите отправить сведения для установки сертификата на электронную почту, не указанную в учетных данных в Kaspersky Security Center, установите флажок Отправить копию письма на дополнительный адрес электронной почты и укажите нужный адрес.

• Показать информацию после завершения мастера

  Выберите этот параметр, чтобы отобразить сведения для установки сертификата на последнем этапе работы Мастера выпуска сертификата.

Шаг 8. Подтверждение

На этом шаге проверьте данные для выпуска сертификата, указанные на предыдущих шагах, и нажмите Подтвердить и выпустить сертификат для подтверждения операции.

Готово

На экране "Готово":

• Если вы выбрали Отправить письмо на адреса электронной почты пользователей, указанные пользователи получат электронные письма со сведениями для установки сертификата.
• Если вы выбрали Показать информацию после завершения мастера, сведения для установки сертификата будут отображены на экране "Готово". Информацию можно просмотреть на экране мастера или нажать Скачать список, чтобы получить файл с данными для подключения.

Нажмите Закрыть, чтобы выйти из мастера.

После завершения Мастера выпуска сертификата сертификаты будут выпущены и добавлены в список сертификатов. Вы можете удалять или обновлять выпущенные сертификаты, а также просматривать их свойства.

[Topic 287330]

Обновление сертификатов мобильных устройств

Если срок действия одного из сертификатов истекает, вы можете продлить его с помощью Kaspersky Security Center Web Console.

Выполнив действия, описанные ниже, вы можете обновить мобильный сертификат, а также почтовый или VPN-сертификат, выпущенный через PKI.

Чтобы обновить сертификат:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Сертификаты.
2. В открывшемся списке сертификатов выберите сертификат, который вы хотите обновить, и нажмите Обновить.

Статус сертификата изменился на Сертификат обновлен.

[Topic 287331]

Удаление сертификатов мобильных устройств

Вы можете удалить сертификаты мобильных устройств с помощью Kaspersky Security Center Web Console.

Обратите внимание, что в случае удаления мобильного сертификата устройство больше не сможет синхронизироваться с Сервером администрирования и им нельзя будет управлять средствами Kaspersky Security Center.

Сертификат удаляется только из Kaspersky Security Center Web Console и больше не обновляется, но остается на устройстве. Чтобы удалить сертификат с iOS MDM-устройств, корпоративных устройств или устройств с корпоративным контейнером, необходимо отправить команду Удалить корпоративные данные. На личных Android-устройствах пользователям необходимо удалить сертификат вручную.

При удалении мобильного сертификата iOS MDM-устройства устройство не удаляется из Kaspersky Security Center Web Console, но теряет возможность синхронизации с Сервером iOS MDM и ему присваивается статус "Неактивно". В этом случае необходимо удалить это устройство из списка управляемых устройств в Kaspersky Security Center Web Console, а затем подключить его заново с помощью Мастера подключения мобильного устройства.

Чтобы удалить сертификат из Kaspersky Security Center Web Console:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Сертификаты.
2. В открывшемся списке сертификатов выберите сертификат, который вы хотите удалить, и нажмите Удалить.

Сертификат удален и больше не отображается в списке сертификатов.

[Topic 286898]

Интеграция с инфраструктурой открытых ключей

Вы можете интегрировать выпуск сертификатов с Microsoft Certification Authority (CA) через инфраструктуру открытых ключей (PKI). Интеграция с PKI в первую очередь предназначена для упрощения выпуска доменных пользовательских сертификатов Сервером администрирования. В результате интеграции выписка сертификатов происходит автоматически.

Вы можете указать настройки для интеграции с PKI и назначить PKI в качестве источника сертификатов для определенных типов сертификатов. Параметры PKI задаются на вкладке Правила выпуска и позволяют выбрать индивидуальный шаблон по умолчанию для всех типов сертификатов.

Особенности использования интеграции c PKI для выпуска сертификатов:

• По умолчанию интеграция с PKI выключена. Ее можно включить используя переключатель Интегрировать выпуск сертификатов с Microsoft Certification Authority (CA) через PKI. Подробная информация о включении и настройке параметров PKI приведена в разделе Настройка правил выпуска сертификатов.
• Выпуск сертификатов осуществляется с помощью Агента администрирования для Windows, который обеспечивает интеграцию между Сервером администрирования и Microsoft CA. Поскольку устройств с установленным Агентом администрирования может быть несколько, вы можете указать конкретное устройство, которое будет подключаться к Microsoft CA, на вкладке Правила выпуска. На этом устройстве в хранилище сертификатов учетной записи, под которой выполняется интеграция с PKI, должен быть установлен сертификат Enrollment Agent (EA). Его предоставляет администратор доменного Центра сертификации.
• Учетная запись, под которой выполняется интеграция с PKI, должна принадлежать доменному пользователю и обладать разрешением на Вход в качестве службы.
• Kaspersky Security Center может одновременно работать только с одной интеграцией PKI (Microsoft CA).

Подробная информация о настройке интеграции с PKI для выпуска сертификатов приведена в разделе Настройка правил выпуска сертификатов.

[Topic 286651]

Просмотр списка сертификатов мобильных устройств

Kaspersky Security Center Web Console позволяет просматривать выпущенные сертификаты мобильных устройств и их свойства.

Чтобы просмотреть список всех сертификатов и их свойства:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Сертификаты.
2. В открывшемся окне вы можете просмотреть список всех созданных сертификатов и их свойства в таблице.

Чтобы просмотреть свойства отдельного сертификата:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Сертификаты.
2. В открывшемся списке сертификатов выберите сертификат, свойства которого вы хотите просмотреть.
3. В окне Информация о сертификате просмотрите свойства сертификата:
   • Имя пользователя
   • Статус
   • Тип
   • Протокол
   • Источник
   • Дата истечения
   • Дата выпуска
   • Последнее изменение статуса
   • Псевдоним
   • Автоматическое обновление выключено
   • Отпечаток

Чтобы просмотреть сертификаты, установленные на iOS MDM устройстве:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Устройства.
2. В открывшемся списке устройств выберите устройство, сертификаты которого вы хотите просмотреть.
3. В открывшемся окне свойств устройства выберите раздел Сертификаты.

   Отобразится список установленных на устройстве сертификатов и их свойства.

   • Имя сертификата
   • Сертификат пользователя
   • Отпечаток сертификата

[Topic 274723]

Настройка и управление

Этот раздел адресован специалистам, которые осуществляют администрирование Kaspersky Secure Mobility Management, и специалистам технической поддержки организаций, использующих Kaspersky Secure Mobility Management.

[Topic 274743]

Контроль

Этот раздел содержит информацию о том, как удаленно контролировать мобильные устройства в Kaspersky Security Center Web Console.

[Topic 274744]

Настройка ограничений

В этом разделе содержатся инструкции по настройке доступа пользователей к функциям мобильных устройств.

[Topic 274751]

Настройка ограничений для личных Android-устройств

Эти параметры применяются к личным устройствам и устройствам с корпоративным контейнером.

Для обеспечения безопасности Android-устройств Kaspersky Mobile Devices Protection and Management позволяет настроить доступ пользователей к следующим функциям устройств:

• Wi-Fi;
• камера;
• Bluetooth.

По умолчанию пользователь может использовать на устройстве Wi-Fi, камеру и Bluetooth без ограничений.

Чтобы настроить ограничения использования на устройстве Wi-Fi, камеры и Bluetooth:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Ограничения.
4. На карточке Ограничения функций устройств нажмите Параметры.

   Откроется окно Ограничения функций устройств.

5. Включите параметры с помощью переключателя Ограничения функций устройств.
6. Настройте использование Wi-Fi, камеры и Bluetooth:
   • Чтобы выключить модуль Wi-Fi на мобильном устройстве пользователя, установите флажок Запретить использование Wi-Fi.

     На личных устройствах и устройствах с корпоративным контейнером под управлением Android 10 и выше запрет на использование сетей Wi-Fi не поддерживается.

   • Чтобы выключить камеру на мобильном устройстве пользователя, установите флажок Запретить использование камеры.

     Когда использование камеры запрещено, приложение уведомляет об этом пользователя и сразу же закрывается. На устройствах Asus и OnePlus уведомление выводится на весь экран. Пользователь может нажать на кнопку Закрыть, чтобы завершить работу приложения.

     На устройствах с операционной системой Android 11 и выше Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Kaspersky Endpoint Security для Android предлагает пользователю установить приложение в качестве службы Специальных возможностей во время работы мастера первоначальной настройки. Пользователь может пропустить этот шаг или выключить службу в параметрах устройства позднее. В этом случае не удастся ограничить использование камеры.

   • Чтобы выключить Bluetooth на мобильном устройстве пользователя, установите флажок Запретить использование Bluetooth.

     На Android 12 или более поздней версии использование Bluetooth может быть отключено, только если пользователь устройства предоставил разрешение Устройства поблизости. Пользователь может предоставить это разрешение во время работы мастера начальной настройки или позже.

     На личных устройствах под управлением Android 13 или выше нельзя отключить использование Bluetooth.

7. Нажмите OK.
8. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

Вы также можете ограничить дополнительные функции операционной системы на корпоративных устройствах.

[Topic 274752]

Настройка ограничений для iOS MDM-устройств

Развернуть всё | Свернуть всё

Для выполнения требований корпоративной безопасности настройте ограничения в работе iOS MDM-устройств.

Настройка ограничений функций

Чтобы настроить ограничения функций iOS MDM-устройств:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите iOS и перейдите в раздел Ограничения.
4. На карточке Ограничения функций устройств нажмите Параметры.

   Откроется окно Ограничения функций устройств.

5. Включите параметры с помощью переключателя Ограничения функций устройств.
6. Включите ограничения функций iOS MDM-устройств с помощью переключателей на соответствующих вкладках и выберите необходимые ограничения.

   Список ограничений функций устройств

   • Ограничения на вкладке Общие:
     • В разделе Параметры устройств:
       • Запретить голосовой набор на заблокированном устройстве

         Использование функции голосового набора на заблокированном мобильном устройстве пользователя.

         Если флажок снят, пользователь может использовать голосовые команды для набора телефонных номеров на заблокированном мобильном устройстве.

         Если флажок установлен, пользователь не может использовать голосовые команды для набора телефонных номеров на заблокированном мобильном устройстве.

         По умолчанию флажок снят.

       • Ограничить трекинг рекламы

         Использование технологии IFA (Identifier for advertisers) для отслеживания открываемых веб-сайтов и запускаемых приложений на iOS MDM-устройстве. IFA позволяет настроить трекинг рекламы на мобильном устройстве в соответствии с интересами пользователя.

         Если флажок установлен, технология IFA выключена на мобильном устройстве пользователя.

         Если флажок снят, технология IFA включена на мобильном устройстве и отслеживает открываемые веб-сайты и запускаемые приложения для показа целевой рекламы.

         По умолчанию флажок снят.

       • Запретить Handoff

         Использование функции Handoff на мобильном устройстве пользователя. Handoff позволяет начать работу с данными на одном Apple-устройстве, а затем переключиться на другое Apple-устройство и продолжить работу.

         Если флажок снят, пользователю доступна функция Handoff.

         Если флажок установлен, функция Handoff недоступна.

         По умолчанию флажок снят.

       • Запретить изменение имени устройства

         Возможность изменить имя мобильного устройства.

         Если флажок снят, пользователь может изменять имя мобильного устройства.

         Если флажок установлен, изменение имени устройства недоступно.

         По умолчанию флажок снят.

       • Запретить изменение ограничений

         Возможность настройки параметров ограничений на мобильном устройстве. Ограничения на мобильном устройстве могут быть использованы пользователем для выполнения функций родительского контроля. Пользователь может ограничить функции устройства (например, запретить использование камеры), доступ к медиаконтенту (например, установить возрастные ограничения на просмотр фильмов), работу приложений (например, запретить использование iTunes Store) и настроить другие ограничения.

         Если флажок снят, пользователь может настроить параметры ограничений на мобильном устройстве.

         Если флажок установлен, настройка параметров ограничения на мобильном устройстве недоступна.

         По умолчанию флажок снят.

       • Запретить предложения Spotlight

         Использование результатов поиска Spotlight в интернете в предложениях Siri. При использовании предложений Spotlight поисковые запросы и связанные с ними данные пользователя отправляются в компанию Apple.

         Если флажок снят, пользователь может разрешить отображение результатов поиска Spotlight в интернете в предложениях Siri.

         Если флажок установлен, результаты поиска Spotlight в интернете будут недоступны в предложениях Siri. Пользовательские данные не отправляются в компанию Apple.

         У пользователя может быть возможность разрешить результаты поиска Spotlight в интернете в предложениях Siri, даже если этот флажок установлен. Это связано с проблемой, известной Apple.

         По умолчанию флажок снят.

     • В разделе Защита от потери данных:
       • Запретить снимки и запись экрана

         Возможность сделать снимок экрана или видеозапись с экрана на iOS MDM-устройстве.

         Если флажок снят, пользователь может делать и сохранять снимки экрана и видеозаписи с экрана на мобильном устройстве.

         Если флажок установлен, пользователь не может делать и сохранять снимки экрана и видеозаписи с экрана на мобильном устройстве.

         По умолчанию флажок снят.

       • Запретить передачу документов из управляемых приложений в неуправляемые

         Возможность открывать в неуправляемых (личных) приложениях на iOS MDM-устройстве документы, созданные с использованием управляемых (корпоративных) приложений и учетных записей. Неуправляемые приложения – приложения, установленные, настроенные и управляемые пользователем мобильного устройства.

         Если флажок снят, пользователь может использовать неуправляемые приложения для открытия документов, созданных в управляемых корпоративных приложениях.

         Если флажок установлен, пользователю не разрешается использовать неуправляемые приложения для открытия документов, созданных с использованием управляемых приложений. Например, этот параметр позволяет предотвратить открытие конфиденциального почтового вложения из управляемой учетной записи электронной почты в личных приложениях пользователя.

         По умолчанию флажок снят.

       • Запретить передачу документов из неуправляемых приложений в управляемые

         Возможность открывать в управляемых (корпоративных) приложениях на iOS MDM-устройстве документы, созданные с использованием неуправляемых (личных) приложений и учетных записей пользователя. Неуправляемые приложения – приложения, установленные, настроенные и управляемые пользователем мобильного устройства.

         Если флажок снят, пользователь может использовать управляемые приложения для открытия документов, созданных с использованием неуправляемых приложений.

         Если флажок установлен, пользователю не разрешается использовать управляемые приложения для открытия документов, созданных с использованием неуправляемых приложений. Например, параметр позволяет предотвратить открытие документа из личной учетной записи iCloud в корпоративном приложении.

         По умолчанию флажок снят.

       • Выключить шифрование резервных копий

         Шифрование резервных копий данных iOS MDM-устройства в iTunes на компьютере пользователя.

         Если флажок снят, то при создании резервной копии данных мобильного устройства в iTunes данные шифруются и защищаются паролем. В данном случае пользователь не сможет зашифровать резервные копии данных устройства в iTunes.

         Если флажок установлен, пользователь может выбрать использование шифрования резервных копий данных в iTunes.

         По умолчанию флажок снят.

       • Запретить сброс настроек до заводских

         Возможность удаления всех данных с устройства и сброса настроек до заводских.

         Если флажок снят, пользователю доступна функция удаления всех данных с устройства и сброса настроек до заводских.

         Если флажок установлен, функция сброса настроек до заводских недоступна.

         По умолчанию флажок снят.

       • Запретить изменение параметров учетной записи

         Возможность добавлять на iOS MDM-устройстве новые учетные записи (например, учетные записи электронной почты) и изменять параметры учетных записей.

         Если флажок снят, пользователь мобильного устройства может добавлять новые учетные записи, а также изменять параметры существующих учетных записей.

         Если флажок установлен, пользователю мобильного устройства запрещено добавлять новые учетные записи, а также изменять параметры существующих учетных записей.

         По умолчанию флажок снят.

     • В разделе Безопасность и конфиденциальность:
       • Запретить отправлять в Apple диагностические и персональные данные

         Автоматическое получение диагностической информации и сведений об использовании iOS MDM-устройства и отправка отчета с этими данными в компанию Apple для анализа.

         Если флажок снят, пользователь после предупреждения может разрешить отправку отчетов с диагностической информацией и сведений об использовании мобильного устройства в компанию Apple.

         Если флажок установлен, отправка отчетов с диагностической информацией и сведениями об использовании мобильного устройства в компанию Apple блокируется.

         По умолчанию флажок снят.

       • Запретить изменение пароля

         Возможность установки, изменения или удаления пароля разблокировки мобильного устройства.

         Если флажок снят, пользователь может установить, изменить или удалить пароль для разблокировки мобильного устройства.

         Если флажок установлен, управление паролем разблокировки устройства недоступно.

         По умолчанию флажок снят.

       • Запретить изменение параметров Touch ID и Face ID

         Возможность добавления и удаления отпечатков Touch ID или данных Face ID.

         Если флажок снят, пользователь может добавлять и удалять отпечатки Touch ID или данные Face ID.

         Если флажок установлен, управление отпечатками Touch ID и данными Face ID недоступно.

         По умолчанию флажок снят.

       • Запретить использование Touch ID и Face ID для разблокировки устройства

         Touch ID и Face ID позволяют использовать отпечаток пальца или распознавание лица как пароль для разблокировки iOS MDM-устройства. Touch ID и Face ID также можно использовать для авторизации покупок с помощью Apple Pay, iTunes Store, App Store, Book Store и входа в приложения.

         Если флажок снят, пользователь может использовать отпечаток пальца или распознавание лица вместо ввода пароля для разблокировки мобильного устройства.

         Если флажок установлен, пользователь не может использовать Touch ID и Face ID для разблокирования мобильного устройства.

         По умолчанию флажок снят.

       • Запрашивать пароль для каждой покупки в iTunes Store

         Использование пароля при покупке медиаконтента в iTunes Store.

         Если флажок установлен, перед совершением первой покупки в iTunes Store пользователь должен задать пароль в параметрах ограничения покупок и в дальнейшем использовать его для предотвращения случайных и несанкционированных покупок. После проверки подлинности учетной записи при совершении покупок не требуется повторно вводить пароль в течение следующих 15 минут.

         Если флажок снят, перед совершением покупок в iTunes Store пользователю не требуется вводить пароль.

         По умолчанию флажок снят.

       • Запрашивать пароль при первом подключении по AirPlay

         Использование пароля при подключении iOS MDM-устройства к устройствам, совместимым с AirPlay. Пароль применяется для безопасной передачи медиаконтента.

         Если флажок установлен, перед первым подключением мобильного устройства к устройствам, совместимым с AirPlay, пользователь должен задать пароль в параметрах безопасности AirPlay и в дальнейшем использовать его.

         Если флажок снят, пользователь самостоятельно принимает решение об использовании пароля при подключении мобильного устройства к устройствам, совместимым с AirPlay.

         По умолчанию флажок снят.

       • Запретить установку конфигурационных профилей

         Использование дополнительных конфигурационных профилей на iOS MDM-устройстве.

         Если флажок снят, пользователь может устанавливать дополнительные конфигурационные профили на мобильное устройство.

         Если флажок установлен, пользователь не может устанавливать дополнительные конфигурационные профили на мобильное устройство.

         По умолчанию флажок снят.

       • Запретить сторонние соединения

         Защита iOS MDM-устройства от сторонних соединений. Стороннее соединение – это соединение с другими устройствами, а также синхронизация с сервисами Apple, например, с iTunes.

         Если флажок снят, пользователь может синхронизировать iOS MDM-устройство с другими устройствами, а также с сервисами Apple.

         Если флажок установлен, сторонние соединения на мобильном устройстве пользователя блокируются.

         По умолчанию флажок снят.

       • Запретить изменение параметров отправки диагностических данных

         Автоматическое получение диагностической информации и сведений об использовании iOS MDM-устройства и отправка отчета с этими данными в компанию Apple для анализа.

         Если флажок снят, пользователь может настраивать отправку отчетов с диагностической информацией и сведений об использовании мобильного устройства в компанию Apple.

         Если флажок установлен, настройка параметров отправки отчетов с диагностической информацией недоступна.

         По умолчанию флажок снят.

     • В разделе iCloud:
       • Запретить резервное копирование в iCloud

         Автоматическое резервное копирование данных с iOS MDM-устройства в iCloud. В ходе резервного копирования не создаются копии данных, которые уже хранятся в iCloud. Также не создаются копии медиаконтента, который был получен в результате синхронизации устройства с компьютером, а не приобретен в iTunes Store.

         Если флажок снят, пользователь может сохранять резервные копии данных мобильного устройства в iCloud. Резервные копии данных ежедневно сохраняются в iCloud, когда устройство включено, заблокировано и подключено к источнику питания.

         Если флажок установлен, пользователь не может сохранять резервные копии данных мобильного устройства в iCloud.

         По умолчанию флажок снят.

       • Запретить хранение документов и данных в iCloud

         Автоматическое резервное копирование документов в iCloud. Документы iCloud можно открывать и редактировать на других устройствах, на которых настроена служба iCloud.

         Если флажок снят, пользователь может сохранять документы в iCloud, открывать и редактировать их на других устройствах в приложениях, поддерживающих работу с iCloud (например, в TextEdit).

         Если флажок установлен, пользователю запрещено сохранять документы в iCloud.

         По умолчанию флажок снят.

       • Запретить Связку ключей iCloud

         Автоматическая синхронизация учетных данных пользователя iOS MDM-устройства с другими Apple-устройствами пользователя. Синхронизированные данные хранятся в Связке ключей iCloud. Данные в Связке ключей iCloud шифруются. Связка ключей iCloud позволяет сохранить в iCloud следующие данные:

         • учетные записи сайтов;
         • номера банковских карт и сроки их действия;
         • пароли от беспроводных сетей.

         Если флажок снят, пользователь может синхронизировать данные своих учетных записей с другими своими устройствами Apple.

         Если флажок установлен, пользователю запрещено использовать Связку ключей iCloud на мобильном устройстве.

         По умолчанию флажок снят.

       • Запретить управляемым приложениям хранить данные в iCloud

         Создание резервной копии данных управляемых приложений в iCloud.

         Если флажок снят, пользователь может хранить данные управляемых приложений в iCloud.

         Если флажок установлен, пользователю недоступно хранение корпоративных данных в iCloud.

         По умолчанию флажок снят.

       • Запретить резервное копирование корпоративных книг

         Резервное копирование корпоративных книг с помощью iCloud или iTunes. Вы можете предоставить доступ к корпоративным книгам, разместив их на веб-сервере компании.

         Если флажок снят, пользователю доступно резервное копирование корпоративных книг с помощью iCloud или iTunes.

         Если флажок установлен, резервное копирование корпоративных книг невозможно.

         По умолчанию флажок снят.

       • Запретить синхронизировать заметки и выделения цветом в корпоративных книгах

         Возможность синхронизировать заметки, закладки, а также выделенный цветом текст в корпоративных книгах с помощью iCloud.

         Если флажок снят, пользователь может синхронизировать заметки, закладки и выделенный текст в корпоративных книгах. При этом изменения будут доступны на всех Apple-устройствах пользователя, подключенных к iCloud.

         Если флажок установлен, заметки, закладки и выделенный текст будут доступны только на этом мобильном устройстве.

         По умолчанию флажок снят.

       • Запретить общий доступ к фото в iCloud

         Использование функции общий доступ к фото в iCloud на iOS MDM-устройстве для предоставления другим пользователям доступа к фотографиям и видео на сервере iCloud. У других пользователей должна быть настроена функция общий доступ к фото в iCloud.

         Если флажок снят, пользователю мобильного устройства доступна функция общий доступ к фото в iCloud. Пользователи других устройств могут просматривать фотографии и видео пользователя, оставлять комментарии, а также добавлять свои фотографии и видео. Также пользователь может получить доступ к данным других пользователей на сервере iCloud.

         Если флажок установлен, функция общий доступ к фото в iCloud недоступна пользователю мобильного устройства. Пользователь не может предоставлять доступ к своим фотографиям и видео на сервере iCloud другим пользователям, а также получить доступ к данным других пользователей на сервере iCloud.

         По умолчанию флажок снят.

       • Запретить медиатеку iCloud

         Использование медиатеки iCloud для автоматической отправки сделанных фотографий и видео с iOS MDM-устройства на другие Apple-устройства пользователя.

         Если флажок снят, пользователю доступна медиатека iCloud при работе с приложением "Фото".

         Если флажок установлен, пользователю недоступна медиатека iCloud. Фотографии и видео пользователя, сохраненные в медиатеке iCloud, удаляются с сервера iCloud.

         По умолчанию флажок снят.

     • В разделе Сертификаты.
       • Запретить пользователям использовать недоверенные TLS-сертификаты

         Использование недоверенных TLS-сертификатов для обеспечения зашифрованного канала связи между приложениями на iOS MDM-устройстве (Почта, Контакты, Календарь, Safari) и корпоративными ресурсами.

         Если флажок снят, пользователь после предупреждения может разрешить использование недоверенного TLS-сертификата.

         Если флажок установлен, использование недоверенных TLS-сертификатов заблокировано.

         По умолчанию флажок снят.

       • Запретить автоматическое обновление доверенных сертификатов

         Автоматические обновления доверенных сертификатов на iOS MDM-устройстве.

         Если флажок снят, изменения в параметрах доверия сертификата принимаются автоматически.

         Если флажок установлен, изменения в параметрах доверия сертификата автоматически не принимаются. Пользователь после предупреждения может самостоятельно принять изменения в параметрах доверия сертификата.

         По умолчанию флажок снят.

   • Ограничения на вкладке Приложения:
     • В разделе Общие:
       • Запретить использование камеры

         Использование камеры на мобильном устройстве пользователя.

         Если флажок снят, пользователь может использовать камеру устройства.

         Если флажок установлен, камера на мобильном устройстве выключена. Пользователь не может делать фотографии, снимать видео и использовать приложение FaceTime. На главном экране устройства значок камеры отсутствует.

         По умолчанию флажок снят.

       • Запретить FaceTime

         Использование приложения FaceTime на мобильном устройстве пользователя. Флажок доступен, если на устройстве разрешено использование камеры. Параметр доступен, если снят флажок Запретить использование камеры.

         Если флажок снят, пользователь может делать и принимать видеозвонки с помощью FaceTime.

         Если флажок установлен, на мобильном устройстве пользователя выключено приложение FaceTime. Пользователь не может делать видеозвонки, а также получать их.

         По умолчанию флажок снят.

       • Запретить iMessage

         Использование службы iMessage на мобильном устройстве пользователя.

         Если флажок снят, пользователь может отправлять и принимать сообщения с помощью службы iMessage.

         Если флажок установлен, служба iMessage недоступна на мобильном устройстве. Пользователь не может отправлять и получать сообщения iMessage.

         По умолчанию флажок снят.

       • Запретить Book Store

         Доступ в интернет-магазин Book Store из приложения "Книги" на мобильном устройстве пользователя.

         Если флажок снят, пользователь может переходить в интернет-магазин Book Store из приложения "Книги", установленного на устройстве.

         Если флажок установлен, пользователь не может переходить в Book Store из приложения "Книги".

         По умолчанию флажок снят.

       • Запретить устанавливать приложения из Apple Configurator и iTunes

         Возможность самостоятельно устанавливать приложения на iOS MDM-устройство.

         Если флажок снят, пользователь может самостоятельно устанавливать или обновлять приложения на мобильном устройстве из App Store с помощью iTunes или Apple Configurator.

         Если флажок установлен, пользователь не может устанавливать или обновлять на мобильном устройстве приложения из App Store с помощью iTunes или Apple Configurator. Установка и обновления доступны только для корпоративных приложений. Значок App Store удален с главного экрана iOS MDM-устройства.

         По умолчанию флажок снят.

       • Запретить устанавливать приложения из App Store

         Возможность самостоятельно устанавливать приложения на мобильное устройство из App Store. Флажок доступен, если снят флажок Запретить устанавливать приложения из Apple Configurator и iTunes.

         Если флажок снят, пользователь может самостоятельно устанавливать или обновлять приложения из App Store.

         Если флажок установлен, пользователь не может устанавливать или обновлять приложения на мобильном устройстве из App Store. Значок App Store удален с главного экрана iOS MDM-устройства.

         По умолчанию флажок снят.

       • Запретить автоматическую загрузку приложений

         Использование автоматической загрузки приложений на мобильном устройстве пользователя. Флажок доступен, если снят флажок Запретить устанавливать приложения из Apple Configurator и iTunes.

         Если флажок снят, автоматическая загрузка приложений доступна для пользователя. После включения этой функции приложения, которые пользователь загрузил из App Store, автоматически устанавливаются на другие Apple-устройства пользователя.

         Если флажок установлен, автоматическая загрузка приложений выключена и недоступна.

         По умолчанию флажок снят.

       • Запретить встроенные покупки

         Использование системы встроенных покупок на мобильном устройстве.

         Если флажок снят, пользователь может совершать покупки в приложениях, установленных на мобильном устройстве.

         Если флажок установлен, пользователь не может совершать покупки в приложениях, установленных на мобильном устройстве.

         По умолчанию флажок снят.

       • Запретить доверять новым корпоративным разработчикам

         Возможность настроить доверие к корпоративным приложениям на мобильном устройстве. Вы можете разработать корпоративные приложения и распространить их среди сотрудников для внутреннего использования. Для работы с корпоративным приложением пользователь мобильного устройства должен сделать его доверенным.

         Если флажок снят, пользователь может настраивать доверие к корпоративным приложениям.

         Если флажок установлен, пользователь не может установить доверие к корпоративным приложениям при установке приложения вручную.

         По умолчанию флажок снят.

       • Запретить удалять приложения

         Возможность удаления приложений с мобильного устройства.

         Если флажок снят, пользователь может удалять с устройства приложения, которые были установлены из App Store или с помощью iTunes.

         Если флажок установлен, пользователь не может удалять с мобильного устройства приложения, которые были установлены из App Store или с помощью iTunes.

         По умолчанию флажок снят.

     • В разделе AirPrint:
       • Запретить AirPrint

         Установка или снятие флажка определяет, может ли пользователь устройства использовать AirPrint.

         По умолчанию флажок снят.

       • Запретить хранение учетных данных AirPrint

         Установка или снятие флажка определяет, может ли пользователь устройства хранить связку ключей для имени пользователя и пароля для AirPrint.

         Ограничение поддерживается на устройствах с iOS 11 и выше.

         По умолчанию флажок снят.

       • Запретить обнаружение iBeacon для принтеров AirPrint

         Установка или снятие флажка определяет, включено ли обнаружение iBeacon для принтеров AirPrint. Выключение обнаружения iBeacon для принтеров AirPrint предотвращает фишинг сетевого трафика ложными маяками AirPrint Bluetooth.

         Ограничение поддерживается на устройствах с iOS 11 и выше.

         По умолчанию флажок снят.

       • Принудительно использовать доверенный TLS-сертификат для AirPrint

         Установка или снятие флажка определяет необходимость использования доверенного сертификата для передачи данных для печати по протоколу TLS.

         Ограничение поддерживается на устройствах с iOS 11 и выше.

         По умолчанию флажок снят.

     • В разделе AirDrop:
       • Запретить AirDrop

         Использование функции AirDrop для передачи данных пользователя с iOS MDM-устройства на другие устройства Apple.

         Если флажок снят, пользователь может использовать AirDrop для передачи данных на другие устройства Apple.

         Если флажок установлен, пользователю запрещено передавать данные на другие устройства Apple с помощью AirDrop.

         По умолчанию флажок снят.

       • Считать AirDrop управляемым приложением

         Использование AirDrop в качестве управляемого приложения для передачи данных с мобильного устройства на другие устройства Apple. Для работы этого ограничения необходимо установить флажок Запретить передачу документов из управляемых приложений в неуправляемые. Неуправляемые приложения – приложения, установленные, настроенные и управляемые пользователем мобильного устройства.

         Если флажок снят, AirDrop считается неуправляемым приложением.

         Если флажок установлен, AirDrop считается управляемым приложением.

         По умолчанию флажок снят.

     • В разделе Apple Music:
       • Запретить Apple Music

         Прослушивание музыки на мобильном устройстве пользователя с помощью сервиса Apple Music.

         Если флажок снят, пользователь может прослушивать музыку на мобильном устройстве в приложении "Музыка".

         Если флажок установлен, сервис Apple Music недоступен для пользователя.

         По умолчанию флажок снят.

       • Запретить радио в Apple Music

         Прослушивание радио с помощью сервиса Apple Music на мобильном устройстве пользователя.

         Если флажок снят, пользователь может прослушивать радио в приложении "Музыка" на мобильном устройстве.

         Если флажок установлен, прослушивание радио недоступно для пользователя.

         По умолчанию флажок снят.

     • В разделе Apple Watch:
       • Выключить распознавание запястья для Apple Watch

         Автоматическое блокирование Apple Watch, когда пользователь снимает часы с руки.

         Если флажок снят, часы Apple Watch блокируются, когда пользователь снимает их с руки. Для разблокирования пользователь должен ввести пароль на своем мобильном устройстве.

         Если флажок установлен, блокировка Apple Watch после снятия с руки недоступна.

         По умолчанию флажок снят.

       • Запретить создавать пару с Apple Watch

         Создание пары Apple Watch и контролируемого мобильного устройства.

         Если флажок снят, пользователь контролируемого мобильного устройства может создать пару с Apple Watch.

         Если флажок установлен, создание пары с Apple Watch недоступно.

         По умолчанию флажок снят.

     • В разделе Siri:
       • Запретить использование Siri

         Использование приложения Siri на мобильном устройстве пользователя.

         Если флажок снят, пользователь может использовать голосовые команды Siri на мобильном устройстве.

         Если флажок установлен, пользователь не может использовать голосовые команды Siri на мобильном устройстве.

         По умолчанию флажок снят.

       • Запретить на заблокированном устройстве

         Использование голосовых команд Siri, когда мобильное устройство пользователя заблокировано. На мобильном устройстве пользователя должен быть установлен пароль.

         Если флажок снят, пользователь может использовать голосовые команды Siri на заблокированном мобильном устройстве.

         Если флажок установлен, пользователю запрещено использовать голосовые команды Siri на заблокированном устройстве.

         По умолчанию флажок снят.

       • Запретить фильтр нецензурной лексики

         Фильтрация нецензурной лексики при использовании приложения Siri на мобильном устройстве пользователя.

         Если флажок снят, при использовании Siri фильтруется нецензурная лексика.

         Если флажок установлен, при использовании Siri нецензурная лексика не фильтруется.

         По умолчанию флажок снят.

       • Запретить Siri поиск в интернете

         Этот параметр запрещает Siri использовать поиск в интернете для голосовых команд на iOS MDM-устройстве.

         Если флажок снят, Siri может искать в интернете ответы на вопросы пользователя.

         Если флажок установлен, Siri не сможет искать информацию в интернете.

         По умолчанию флажок снят.

     • В разделе Локатор:
       • Запретить поиск устройств в приложении "Локатор"

         Установка или снятие флажка определяет, может ли пользователь искать устройства в приложении "Локатор".

         Ограничение поддерживается на устройствах с iOS 13 и выше.

         По умолчанию флажок снят.

       • Запретить поиск друзей в приложении "Локатор"

         Установка или снятие флажка определяет, может ли пользователь устройства искать друзей в приложении "Локатор".

         Ограничение поддерживается на устройствах с iOS 13 и выше.

         По умолчанию флажок снят.

     • В разделе Класс:
       • Запретить просматривать экраны в "Классе"

         Возможность для преподавателя просматривать экраны iPad студентов с помощью программы "Класс".

         Если флажок снят, преподаватель может просматривать экраны iPad студентов в программе "Класс".

         Если флажок установлен, преподаватель не может просматривать экраны iPad студентов в программе "Класс".

         По умолчанию флажок снят.

   • Ограничения на вкладке Хранилище:
     • В разделе Общие:
       • Запретить доступ к USB-устройствам в приложении "Файлы"

         Если флажок снят, пользователь может получать доступ к USB-устройствам в приложении "Файлы".

         Если флажок установлен, доступ к подключенным USB-устройствам в приложении "Файлы" заблокирован.

         Параметр доступен для мобильных устройств под управлением iOS 13.1 и выше.

         По умолчанию флажок снят.

       • Выключать доступ к USB-устройствам, когда устройство заблокировано

         Определяет, включен ли режим USB Restricted Mode, когда устройство заблокировано.

         Если флажок установлен, подключение заблокированного устройства к USB-накопителям ограничено с помощью USB Restricted Mode.

         Если флажок снят, устройству разрешено подключаться к USB-накопителям, когда оно заблокировано.

         Параметр доступен для мобильных устройств под управлением iOS 11.4.1 и выше.

         По умолчанию флажок снят.

   • Ограничения на закладке Сеть:
     • В разделе Общие:
       • Запретить использование NFC

         Если флажок снят, использование NFC разрешено.

         Если флажок установлен, использование NFC запрещено.

         Параметр доступен для мобильных устройств под управлением iOS 14.2 и выше.

         По умолчанию флажок снят.

       • Запретить создавать конфигурации VPN

         Если флажок снят, пользователь может создать конфигурацию VPN на управляемом устройстве.

         Если флажок установлен, пользователь не может создать конфигурацию VPN на управляемом устройстве.

         Параметр доступен для мобильных устройств под управлением iOS 11 и выше.

         По умолчанию флажок снят.

       • Запретить изменение параметров eSIM

         Установка или снятие флажка определяет, может ли пользователь устройства изменять настройки, связанные с тарифным планом.

         Ограничение поддерживается на устройствах с iOS 11 и выше.

         По умолчанию флажок снят.

     • В разделе Wi-Fi:
       • Принудительно включать Wi-Fi

         Определяет, должен ли Wi-Fi на управляемом устройстве всегда быть включен. Устройство может подключаться к любой сети Wi-Fi.

         Если флажок установлен, Wi-Fi на устройстве всегда включен, даже в авиарежиме. Пользователь не может выключить Wi-Fi в настройках устройства.

         Если флажок снят, пользователь может выключить Wi-Fi в настройках устройства.

         Параметр доступен для мобильных устройств под управлением iOS 13 и выше.

         По умолчанию флажок снят.

       • Принудительно подключаться только к разрешенным сетям Wi-Fi

         Определяет, может ли устройство подключаться только к разрешенным сетям Wi-Fi. Эта функция доступна, если хотя бы одна сеть Wi-Fi добавлена в список сетей Wi-Fi в разделе Wi-Fi.

         Если флажок установлен, устройство подключается только к разрешенным сетям Wi-Fi. Пользователь не может выключить Wi-Fi в настройках устройства.

         Если флажок снят, пользователь может подключиться к любой сети Wi-Fi.

         Параметр доступен для мобильных устройств под управлением iOS 14.5 и выше.

         По умолчанию флажок снят.

       • Запретить изменять настройки Режима модема

         Если флажок снят, пользователь устройства может изменять настройки Режима модема.

         Если флажок установлен, пользователь устройства не может изменять настройки Режима модема.

         Параметр доступен для мобильных устройств под управлением iOS 12.2 и выше.

         По умолчанию флажок снят.

     • В разделе Bluetooth:
       • Запретить изменять настройки Bluetooth

         Если флажок снят, пользователь может изменять настройки Bluetooth на мобильном устройстве.

         Если флажок установлен, настройки Bluetooth нельзя изменять на мобильном устройстве.

         Параметр доступен для мобильных устройств под управлением iOS 11 и выше.

         По умолчанию флажок снят.

     • В разделе Сотовая связь:
       • Запретить автоматическую синхронизацию в роуминге

         Запретить автоматическую синхронизацию данных пользователя, когда iOS MDM-устройство находится в роуминге.

         Если флажок снят, пользователь может включить автоматическую синхронизацию данных в роуминге. Включение автоматической синхронизации в роуминге может привести к непредвиденным расходам на мобильную связь.

         Если флажок установлен, пользователю запрещено использовать автоматическую синхронизацию данных в роуминге.

         По умолчанию флажок снят.

       • Запретить изменение параметров сотовой связи

         Возможность настройки передачи данных по сотовой сети приложениями, установленными на мобильном устройстве.

         Если флажок снят, пользователь может настраивать параметры передачи данных по сотовой сети.

         Если флажок установлен, изменение настроек передачи данных приложениями по сотовой сети недоступно.

         По умолчанию флажок снят.

   • Ограничения на вкладке Дополнительные параметры:
     • В разделе Экран:
       • Запретить изменение обоев

         Возможность выбрать изображение, которое будет отображаться на экране блокировки или экране "Домой".

         Если флажок снят, пользователь может выбрать обои для мобильного устройства.

         Если флажок установлен, выбор обоев недоступен.

         По умолчанию флажок снят.

     • В разделе Текст:
       • Запретить проверку правописания

         Использование функции правописания при наборе текста на мобильном устройстве. Проверка правописания подчеркивает неправильно введенные слова и предлагает варианты замены.

         Если флажок снят, пользователь может включить и использовать функцию правописания.

         Если флажок установлен, при наборе текста проверка правописания недоступна.

         По умолчанию флажок снят.

       • Запретить автокоррекцию

         Использование функции автокоррекции при наборе текста.

         Если флажок снят, пользователь может включить и использовать функцию автокоррекции.

         Если флажок установлен, при наборе текста автокоррекция недоступна.

         По умолчанию флажок снят.

       • Запретить поиск слова в словаре

         Использование словаря для получения определений слов на мобильном устройстве. Словарь является функцией только виртуальной клавиатуры.

         Если флажок снят, пользователь может выделить любое слово на экране мобильного устройства и получить его определение.

         Если флажок установлен, поиск слова в словаре недоступен.

         По умолчанию флажок снят.

     • В разделе Клавиатура:
       • Запретить предиктивный набор

         Использование функции предиктивного набора текста. Функция предиктивного набора текста показывает варианты окончания слов и предложений на основе имеющихся словарей.

         Если флажок снят, пользователь может включить и использовать функцию предиктивного набора текста.

         Если флажок установлен, функция предиктивного набора текста недоступна. При наборе текста подсказки не отображаются.

         По умолчанию флажок снят.

       • Запретить сочетания клавиш

         Использование сочетаний клавиш для быстрого доступа к функциям мобильного устройства.

         Если флажок снят, пользователь может включить функцию сочетания клавиш и использовать ее при работе с мобильным устройством.

         Если флажок установлен, функция сочетания клавиш недоступна.

         По умолчанию флажок снят.

     • В разделе Уведомления:
       • Запретить Wallet показывать уведомления на заблокированном экране

         Использование уведомлений приложения Wallet на экране блокировки iOS MDM-устройства.

         Если флажок снят, на экране блокировки мобильного устройства отображаются уведомления Wallet.

         Если флажок установлен, уведомления Wallet на экране блокировки мобильного устройства не отображаются. Для работы с Wallet пользователь должен разблокировать устройство.

         По умолчанию флажок снят.

       • Скрывать Пункт управления на заблокированном экране

         Возможность перейти в Пункт управления iOS MDM-устройством, когда устройство заблокировано.

         Если флажок снят, пользователь может перейти в Пункт управления, когда мобильное устройство заблокировано.

         Если флажок установлен, пользователь не может перейти в Пункт управления, когда мобильное устройство заблокировано.

         По умолчанию флажок снят.

       • Скрывать Центр уведомлений на заблокированном экране

         Возможность перейти в Центр уведомлений iOS MDM-устройства, когда оно заблокировано.

         Если флажок снят, пользователь может перейти в Центр уведомлений, смахнув экран блокировки вниз.

         Если флажок установлен, пользователь не может перейти в Центр уведомлений, когда мобильное устройство заблокировано.

         По умолчанию флажок снят.

       • Скрывать представление "Сегодня" на заблокированном экране

         Отображение сведений из представления "Сегодня" на заблокированном iOS MDM-устройстве. В представлении "Сегодня" Центра уведомлений отображаются следующие сведения:

         • события в календаре;
         • напоминания;
         • акции;
         • погода.

         Если флажок снят, пользователь может просматривать уведомления из представления "Сегодня" на заблокированном мобильном устройстве.

         Если флажок установлен, представление "Сегодня" не отображается на заблокированном мобильном устройстве.

         По умолчанию флажок снят.

       • Запретить изменение параметров уведомлений

         Возможность настройки отображения уведомлений на мобильном устройстве.

         Если флажок снят, пользователь может настроить параметры отображения уведомлений на мобильном устройстве.

         Если флажок установлен, настройка параметров отображения уведомлений недоступна.

         По умолчанию флажок снят.

   • Ограничения на закладке Обновление ПО:
     • В разделе Общие:
       • Отложить обновление операционной системы (дней)

         Позволяет отложить обновления операционной системы на устройстве.

         Если флажок установлен, пользователь не может получить доступ к обновлениям в течение указанного периода. По умолчанию установлен период 30 дней. Вы можете указать другой период в поле Количество дней от 1 до 90.

         Если флажок снят, пользователь может устанавливать обновления, как только они становятся доступны.

         Параметр доступен для мобильных устройств под управлением iOS 11.3 и выше.

         По умолчанию флажок снят.

7. Нажмите OK.
8. Нажмите Сохранить, чтобы сохранить внесенные изменения.