步骤 10：连接移动设备

扩展所有 | 折叠所有

如果您先前在向导设置中启用了移动设备保护范围，请指定受管理组织中企业移动设备的连接设置。如果您未启用移动设备保护范围，该步骤将跳过。

在向导的该步骤，执行以下操作：

• 配置移动设备连接端口
• 配置管理服务器身份验证
• 创建或管理证书
• 设置常规证书的发布、自动更新和加密
• 为移动设备创建移动规则

要设置移动设备连接端口：

1. 单击“移动设备连接”字段右侧的“配置”按钮。
2. 在下拉列表中，选择配置端口。

   此时将打开管理服务器属性窗口，显示“附加端口”区域。

3. 在“附加端口”区域，您可以指定移动设备连接设置：
   • 激活代理服务器的 SSL 端口

     SSL 端口号，以将 Kaspersky Endpoint Security for Windows 连接到 Kaspersky 的激活服务器。

     默认端口号是 17000。

   • 为移动设备打开端口

     移动设备连接到授权许可服务器的端口被打开。您可以在以下字段定义端口号和其他设置。

     默认情况下已启用该选项。

   • 移动设备同步端口

     移动设备连接到管理服务器并与其交换数据的端口号。默认端口号是 13292。

     如果端口 13292 被用于其他目的，您可以分配其他端口。

   • 移动设备激活端口

     用于将 Kaspersky Endpoint Security for Android 连接到 Kaspersky 激活服务器的端口。

     默认端口号是 17100。

   • 打开 UEFI 保护设备和 KasperskyOS 设备的端口

     UEFI 保护设备可以连接到管理服务器。

   • UEFI 保护设备和 KasperskyOS 设备的端口

     如果启用了打开 UEFI 保护设备和 KasperskyOS 设备的端口选项，您可以更改端口号。默认端口号是 13294。

   • Prometheus 开放端口

     Prometheus pull 请求的端口。默认端口号是 13296。

4. 单击“确定”以保存更改并返回到快速启动向导。

您将必须配置管理服务器的移动设备身份验证和移动设备的管理服务器身份验证。如果您需要，您可以稍后配置身份验证，是从快速启动向导单独配置。

要配置管理服务器的移动设备身份验证：

1. 单击“移动设备连接”字段右侧的“配置”按钮。
2. 在下拉列表中，选择配置身份验证。

   此时将打开管理服务器属性窗口，显示“证书”区域。

3. 在“管理服务器的移动设备身份验证”设置组为移动设备选择身份验证选项，并在“管理服务器的 UEFI 保护设备身份验证”设置组为 UEFI 保护设备选择身份验证选项。

   当管理服务器与客户端设备交换数据时，它通过使用证书来验证。

   默认下，管理服务器使用管理服务器安装过程中创建的证书。如果您想，您可以添加新证书。

要添加新证书（可选）：

1. 选择“其他证书”。

   此时会显示“浏览”按钮。

2. 单击“浏览”按钮。
3. 在打开的窗口，指定证书设置：
   • 证书类型

     在该下拉列表中，您可以选择证书类型：

     • X.509 证书。如果该选项被选中，您应该指定证书的私钥以及开放证书：
       • 私钥(.prk, .pem)。在该字段，单击浏览按钮以 PKCS #8 (*.prk) 格式指定证书的私钥。
       • 公钥(.cer)。在该字段，单击浏览按钮以 PEM (*.cer) 格式指定公钥。
     • PKCS #12 容器。如果您选择该选项，您可以通过单击浏览按钮并填充证书文件字段从而以 P12 或 PFX 格式指定证书。
   • 激活时间：
     • 立即

       在您单击“确定”后当前证书将被新证书立即代替。

       先前连接的移动设备将不能连接到管理服务器。

     • 该时间段过期后，天

       如果选中该选项，将生成备用证书。在指定天数后当前证书将被新证书代替。备用证书的有效日期显示在“证书”区域。

       建议您提前计划重新发布。必须在指定期限到期之前将备用证书下载到移动设备。当前证书被新证书替换后，先前连接的没有备用证书的移动设备将不能连接到管理服务器。

4. 单击“属性”按钮查看选择的管理服务器证书设置。

要通过管理服务器重新发布证书：

1. 选择通过管理服务器发布的证书。
2. 单击“重新发布”按钮。
3. 在打开的窗口，指定以下设置：
   • 连接地址：
     • 使用旧连接地址

       移动设备要连接的管理服务器地址将保持不变。

       默认情况下已选中该选项。

     • 更改连接地址到

       如果您要让移动设备连接到其他地址，在该字段指定相关地址。

       如果移动设备连接地址被更改，必须发布新的证书。旧证书将在所连接的移动设备上不可用。先前连接的设备将不能连接到管理服务器，因此将不再可管理。

   • 激活时间：
     • 立即

       在您单击“确定”后当前证书将被新证书立即代替。

       先前连接的移动设备将不能连接到管理服务器。

     • 该时间段过期后，天

       如果选中该选项，将生成备用证书。在指定天数后当前证书将被新证书代替。备用证书的有效日期显示在“证书”区域。

       建议您提前计划重新发布。必须在指定期限到期之前将备用证书下载到移动设备。当前证书被新证书替换后，先前连接的没有备用证书的移动设备将不能连接到管理服务器。

4. 单击“确定”以保存更改并返回到“证书”窗口。
5. 单击“确定”以保存更改并返回到快速启动向导。

要设置用于由管理服务器识别移动设备的常规类型证书的发布、自动更新和加密：

1. 单击“移动设备身份验证”字段右侧的“配置”按钮。

   此时将打开“证书发布规则”窗口，显示“移动证书发布”区域。

2. 如果必要，在“发布设置”区域指定以下设置：
   • 证书生命周期，天

     证书生命周期（天）。默认的证书生命周期是 365 天。此时间段过期后，移动设备将不能连接到管理服务器。

   • 证书源

     为移动设备选择常规类型源：证书由管理服务器发布，或被手动指定。

     如果已在“与 PKI 整合”区域中配置了与公共密钥基础架构 (PKI) 的集成，则可以修改证书模板。此种情况下，以下模板分类字段可用：

   • 默认模板

     使用由外部证书源发布的证书 – 证书中心 – 在默认模板下。

     默认情况下已选定该选项。

   • 其他模板

     选择用于发布证书的模板。您可在该域中指定证书模板。“刷新列表”按钮可更新证书模板的列表。

3. 如果必要，在“自动更新设置”区域为证书的自动发布指定以下设置：
   • 当证书剩余此天数时续费

     当前证书到期前管理服务器应当发布新证书的剩余天数。例如，如果字段值为 4，管理服务器会在当前证书到期的前 4 天发布新的证书。默认值是 7。

   • 如果可能，自动重新发布证书

     选择此选项可为当证书剩余此天数时续费字段中指定的天数自动重新颁发证书。如果证书是手动定义的，则无法自动续订，并且启用的选项将不起作用。

     默认情况下已禁用该选项。

   证书由认证中心自动重新发布。

4. 如果必要，在“密码保护”设置区域，指定在安装过程中解密证书的设置。

   选择“在证书安装过程中提示密码”选项以在证书被安装到移动设备上时提示用户输入密码。密码仅用一次 — 在安装证书到移动设备时。

   证书将通过管理服务器自动生成并发送到您指定的电子邮件地址。您可以指定用户的电子邮件地址，或您自己的电子邮件地址，如果您要使用其他方法转发密码到用户。

   您可以使用滚动条在证书解密密码中指定字符数。

   需要密码提示选项，例如，以在独立 Kaspersky Endpoint Security for Android 安装包中保护共享证书。密码保护将防止入侵者通过从 Kaspersky Security Center Web Server 窃取独立安装包获取到共享证书的访问。

   如果禁用此选项，证书在安装过程中被自动解密，且用户不被提示密码。默认情况下已禁用该选项。

5. 单击“确定”以保存更改并返回到快速启动向导窗口。

   单击“取消”按钮返回快速启动向导而不保存任何更改。

要启用移动移动设备到您选择的管理组的功能，

在“移动设备自动移动”字段中，选择“为移动设备创建移动规则”选项。

如果选择了“为移动设备创建移动规则”选项，应用程序自动创建移动规则以移动运行 Android 和 iOS 的设备到“受管理设备”组：

• 安装了 Kaspersky Endpoint Security for Android 和移动证书的 Android 操作系统
• 安装了 iOS MDM 配置文件（带有共享证书）的 iOS 操作系统

如果此规则已经存在，应用程序不再创建它。

默认情况下已禁用该选项。

Kaspersky 不再支持 Kaspersky Safe Browser。

页顶