Wymagania wstępne instalacji klienta mobilnego GravityZone
14 października 2019
FAQ – Produkty dla firmy (biznesowe) :
- Jak skonfigurować powiadomienia w Bitdefender GravityZone
- Jak zintegrować Bitdefender GravityZone w wersji on-premise z Azure Sentinel
- Jak zintegrować Bitdefender GravityZone w wersji on-premise z Splunk
- Jak zainstalować Bitdefender GravityZone Security Premium BYOL (on-premise) w Microsoft Azure
- Jak zintegrować Bitdefender GravityZone w wersji on-premise z IBM QRadar
- Jak zintegrować Bitdefender GravityZone w wersji on-premise z Active Directory
- Rozwiązywanie problemów z integracjami w konsoli GravityZone on-premise
- Jak zarządzać integracjami w konsoli GravityZone on-premise
- Jak zintegrować Bitdefender GravityZone w wersji on-premise z VMware vCenter
- Jak zintegrować Bitdefender GravityZone w wersji on-premise z VMware NSX-V
W tym artykule przedstawiono informacje, które należy znać przed przystąpieniem do instalacji klienta mobilnego GravityZone.
Przegląd
Security for Mobile Devices zarządza i kontroluje urządzenia iPhone, iPad i Android z ujednoliconym zarządzaniem klasy korporacyjnej, które zapewnia bezpieczeństwo urządzenia dzięki skanowaniu w czasie rzeczywistym, oraz egzekwuje zasady bezpieczeństwa organizacji na dowolnej liczbie urządzeń, tj. zablokowanie ekranu, wymaganie uwierzytelnienia, szyfrowanie nośników wymiennych , lokalizowanie zagubionego urządzenia i odmawiania urządzeniom niezgodnym lub z wykonanym Jailbreakiem dostępu do usług korporacyjnych.
Zanim zaczniesz dodawać urządzenia do użytkowników i instalować GravityZone Mobile Client na urządzeniach końcowych, musisz upewnić się, że wymagania są spełnione.
Wymagania
Skonfiguruj zewnętrzne adresy dla Serwera Komunikacji
W domyślnej konfiguracji GravityZone urządzeniami mobilnymi można zarządzać tylko wtedy, gdy są one bezpośrednio podłączone do sieci korporacyjnej (przez Wi-Fi lub VPN). Dzieje się tak, ponieważ rejestrując urządzenia mobilne, są one skonfigurowane do łączenia się z lokalnym adresem Serwera Komunikacji.
Aby móc zarządzać urządzeniami mobilnymi przez Internet, bez względu na to, gdzie się znajdują, należy skonfigurować Serwer Komunikacji z publicznie dostępnym adresem.
Aby móc zarządzać urządzeniami mobilnymi, które nie są podłączone do sieci firmowej, dostępne są następujące opcje:
– Skonfiguruj przekierowanie portów w bramie korporacyjnej dla urządzenia z rolą Serwer Komunikacji.
– Dodaj dodatkową kartę sieciową do urządzenia z rolą Serwer komunikacji i przypisz mu publiczny adres IP.
Serwer komunikacji można skonfigurować w GravityZone CLI:
Pamiętaj, że adres z powyższego obrazka jest tylko przykładem. Musisz użyć następującej składni:
https://IP/Domena:port
Wspierane Platformy
Security for Mobile Devices wspiera następujące rodzaje urządzeń mobilnych i systemów operacyjnych:
– Apple iPhone i tablety iPad (iOS 8.1+)
– Smartfony i tablety Google Android (4.0.3+)
Wymagania łączności
Urządzenia mobilne muszą mieć aktywne połączenie komórkowej transmisji danych lub Wi-Fi oraz połączenie z serwerem komunikacyjnym.
Powiadomienia Push
Bezpieczeństwo urządzeń mobilnych używa powiadomień Push, aby ostrzegać klientów mobilnych, gdy dostępne są aktualizacje polityk i zadań. Powiadomienia Push są wysyłane przez serwer komunikacyjny za pośrednictwem usługi dostarczanej przez producenta systemu operacyjnego:
– Firebase Cloud Messaging (FCM) usługa dla urządzeń z Androidem.
Aby FCM działał, wymagane są następująco:
a) Musi być zainstalowany sklep Google Play.
b) Urządzenia muszą działać na Androidzie 4.1 lub wyższym.
c) Do wysyłania powiadomień Push, muszą być otwarte następujące porty: 5228, 5229 i 5230.
– Apple Push Notifications service (APNs) dla urządzeń iOS.
Urządzenia korzystające z APNs potrzebują bezpośredniego połączenia z serwerem Apple. Jeśli urządzenie nie będzie w stanie się połączyć za pomocą danych komórkowych, będą próbowały użyć Wi-Fi jeśli będzie dostępne. Jeśli w sieci Wi-Fi jest serwer proxy, urządzenie nie będzie w stanie używać APNs, ponieważ APNs wymaga bezpośredniego i stałego połączenia urządzenia z serwerem.
Podczas połączenia z APNs, urządzenia z iOS będą używały połączenia za pomocą danych komórkowych, jeśli będzie dostępne. Tylko jeśli połączenie za pomocą danych komórkowych nie będzie dostępne lub wykonalne, urządzenie przełączy połączenie APNs na Wi-Fi.
Dla ruchu APNs, aby przejść przez Zaporę Sieciową, potrzeba posiadać otwarte następujące porty:
a) port TCP 5223 (używany przez urządzenia do komunikacji z serwerami APNs)
b) port TCP 2195 (używany do wysyłania powiadomień do APNs)
c) port TCP 2196 (używany do zwracania usług APNs)
Serwery APNs używają równoważenia obciążenia. Twoje urządzenia nie zawsze będą się łączyć z tym samym publicznym adresem IP dla powiadomień. Cały blok adresu 17.0.0.0/8 jest przypisany do Apple, więc najlepiej jest zezwolić na ten zakres w ustawieniach zapory.
Zarządzanie certyfikatami iOS
Aby skonfigurować infrastrukturę do zarządzania urządzeniami mobilnymi z iOS, musisz dostarczyć kilka certyfikatów bezpieczeństwa.
Certyfikat Serwera Komunikacji
Certyfikat Serwera Komunikacji jest używany do zabezpieczenia komunikacji pomiędzy Serwerem Komunikacji, a urządzeniami mobilnymi z iOS.
Wymagania:
– Ten certyfikat SSL może być podpisany przez Twoją firmę lub przez zewnętrzny urząd certyfikacji.
– Ogólna nazwa certyfikatu musi być dokładnie zgodna z nazwą domeny lub adresem IP używanym przez klientów mobilnych do łączenia się z serwerem komunikacyjnym.
– Jest to skonfigurowane jako zewnętrzny adres MDM w interfejsie konfiguracyjnym konsoli urządzenia GravityZone.
– Klienci mobilni muszą ufać temu certyfikatowi. W tym celu należy również dodać łańcuch zaufania MDM systemu iOS.
Certyfikat Apple MDM Push
Certyfikat Apple MDM Push jest wymagany przez Apple, aby zapewnić bezpieczną komunikację między serwerem komunikacji, a serwerami usługi Apple Push Notifications service (APNs) podczas wysyłania powiadomień Push. Powiadomienia Push służą do monitowania urządzeń o połączenie z Serwerem Komunikacji, gdy dostępne są nowe zadania lub zmiany Polityki.
Certyfikat tożsamości i podpisu profilu iOS MDM
Certyfikat tożsamości i podpisu profilu iOS MDM jest używany przez serwer komunikacyjny do podpisywania certyfikatów tożsamości i profili konfiguracji wysyłanych na urządzenia mobilne.
Wymagania:
– Musi to być certyfikat pośredni lub końcowy, podpisany przez Twoją firmę lub zewnętrzny urząd certyfikacji.
– Klienci mobilni muszą ufać temu certyfikatowi. W tym celu należy również dodać łańcuch zaufania MDM systemu iOS.
Łańcuch zaufania iOS MDM
Certyfikaty łańcucha zaufania iOS MDM są wymagane na urządzeniach mobilnych, aby zapewnić zaufanie do certyfikatu Serwera komunikacji oraz certyfikatu tożsamości i podpisu profilu iOS MDM.
Serwer Komunikacji przesyła ten certyfikat do urządzeń mobilnych w czasie trwania aktywacji. Łańcuch zaufania iOS MDM musi zawierać wszystkie, pośrednie certyfikaty aż do certyfikatu głównego Twojej firmy lub certyfikatu pośredniego wydanego przez zewnętrzny urząd certyfikacji.
Ważne: Po więcej szczegółów dotyczących certyfikatów bezpieczeństwa zajrzyj do tego artykułu.
Źródło: https://www.bitdefender.com/support/gravityzone-mobile-client-installation-prerequisites-1238.html
Podobne artykuły:
Autor
Obecnie
Najnowsze wpisy
