设备exchange服务器设置

SophosMobile启动指南(SaaS)产品版本号:9内容关于本文档.
1有哪些重要步骤2更改您的密码.
3更改登录名.
4激活MobileAdvanced许可证.
5检查您的许可证.
6配置设置.
7配置个人设置.
7配置密码策略.
8配置IT部门联系人.
8Apple推送通知服务证书.
9创建APNs证书.
9独立的EAS代理.
10下载EAS代理安装程序.
10安装独立的EAS代理.
11通过PowerShell设置电子邮件访问控制.
13配置与独立EAS代理服务器的连接.
15确定SophosMobile服务器URL.
16配置网络访问控制.
17合规性策略.
19创建合规性策略.
19设备组.
21创建设备组.
21开始使用设备策略.
22为Android设备创建任务捆绑包.
23为iOS设备创建任务捆绑包.
24配置自助服务门户设置.
25配置用户管理.
27使用内部用户管理.
28创建自助服务门户测试用户.
28通过自助服务门户测试设备注册.
28将用户导入SophosMobile.
28使用外部用户管理.
30配置外部目录连接.
30为LDAP用户测试设备注册.
31使用添加设备向导.
32用语表.
33技术支持.
34法律声明.
35(2019/05/15)SophosMobile1关于本文档本文档详细介绍了如何对SophosMobile进行设置,以便管理您的设备.
这些描述适用于SophosMobile即服务.
有关此文档的其他版本,请参阅SophosMobile文档网页.
版权所有SophosLimited1SophosMobile2有哪些重要步骤要开始使用SophosMobile:1.
重置您的密码,登录到SophosMobileAdmin,并更改您的管理员用户名.
2.
可选:激活您用于管理SophosMobileSecurity、SophosSecureWorkspace和SophosSecureEmail应用的MobileAdvanced许可证.
3.
检查您的许可证.
4.
配置个人设置、管理员帐户的密码策略、技术支持联系人详细信息和自助服务门户设置.
5.
上传用于管理iPhone、iPad和Mac设备的Apple推送通知服务证书.
6.
可选:设置独立的EAS代理,以筛选从托管设备到电子邮件服务器的电子邮件数据流.
7.
可选:配置第三方网络访问控制系统的接口.
8.
创建合规性策略.
9.
创建设备组.
10.
配置设备.
11.
更新自助服务门户设置.
12.
配置用户管理.
13.
如果使用内部用户管理:通过创建用户或上传用户列表,添加用户.
14.
如果使用外部用户管理:配置LDAP目录的连接.
15.
在自助服务门户中测试设备注册.
2版权所有SophosLimitedSophosMobile3更改您的密码出于安全考虑,我们建议您在首次登录SophosMobileAdmin前重置密码.
1.
在您的Web浏览器中打开SophosMobileAdmin.
2.
在登录对话框中,单击忘记密码.
3.
在重置密码对话框中,输入收到的电子邮件中的客户和用户信息,激活您的SophosMobile即服务帐户,然后单击重置密码.
您将会收到一封含有重置密码链接的电子邮件.
4.
单击该链接,打开更改密码对话框.
5.
输入新密码,然后单击更改密码.
将更改您的密码.
请记得在下次登录到控制台时使用此新密码.
注释我们建议修改密码策略以强制要求更强的密码,如要求小写字母、大写字母或特殊字符的最小位数.
请参阅配置密码策略(第8页).
版权所有SophosLimited3SophosMobile4更改登录名出于安全考虑,建议您首次登录SophosMobileAdmin后修改登录名.
1.
在侧边的菜单栏中,单击设置下的设置管理员.
2.
单击登录名.
3.
在编辑管理员页面上,在登录名字段中输入一个新值.
4.
可选:调整其余字段的值:名姓电子邮件地址5.
单击保存.
将更改您的帐户详细信息.
请记得在下次登录到SophosMobileAdmin时使用新的登录名.
4版权所有SophosLimitedSophosMobile5激活MobileAdvanced许可证使用MobileAdvanced高级许可证,可以使用SophosMobile管理SophosMobileSecurity、SophosSecureWorkspace和SophosSecureEmail应用.
在SophosMobileAdmin中激活MobileAdvanced许可证:1.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击许可证选项卡.
2.
在高级许可证密钥字段中输入您的许可证密钥并单击激活.
密钥激活后,将显示许可证详细信息.
版权所有SophosLimited5SophosMobile6检查您的许可证SophosMobile采用基于用户的许可证授权方案.
一个用户许可证对分配给该用户的所有设备都有效.
每个未分配给用户的设备都需要一个许可证.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击许可证选项卡.
将显示以下信息:最大许可证数目:可以管理的设备用户(和未分配的设备)的最大数目.
使用的许可证:在用的许可证数量.
有效期至:许可证的到期日期.
如果您对显示的许可证信息有任何问题或疑问,请联系您的Sophos销售代表.
6版权所有SophosLimitedSophosMobile7配置设置配置以下设置:个人设置,例如您要管理的平台密码策略技术支持联系人详细信息自助服务门户设置7.
1配置个人设置您可以根据自己的喜好调整SophosMobileAdmin的外观.
例如,您可以设置语言、时区或可见的设备平台.
注释这些设置只影响您当前用于登录的管理员帐户.
1.
在侧边的菜单栏中,单击设置下,单击安装>常规然后单击个人选项卡.
2.
配置以下设置:选项说明语言用户界面语言.
时区显示日期的时区.
单位系统长度单位(公制或英制).
表格中每个页面的行数每个表页显示的最大条目数.
专家模式此设置开启附加功能:显示设备页面包括带有自定义设备属性的自定义属性选项卡.
显示设备页面包括带有附加属性设备报告的内部属性选项卡.
多个策略配置页面包括用于配置可选设置的额外设置部分.
激活的平台您要查看的设备平台.
在SophosMobileAdmin中,只显示与所选平台相关的页面和设置.
3.
单击保存.
版权所有SophosLimited7SophosMobile7.
2配置密码策略为加强密码安全性,请为SophosMobileAdmin用户和自助服务门户配置密码策略.
注释密码策略不适用于外部LDAP目录中的用户.
1.
在侧边的菜单栏中,单击设置下,单击安装>常规然后单击密码策略选项卡.
2.
在规则下,可以定义密码要求,如有效密码必须包含的小写、大写或数字字符的最小数目.
3.
在设置下,配置以下设置:a)更改密码的间隔天数(天):输入密码过期之前的天数(1和730之间),或将该字段保留为空以禁用密码过期.
b)不得重复使用的旧密码的数目:选择1和10之间的值,或选择---禁用此限制.
c)登录尝试失败的最大次数:选择帐户被锁定之前可以尝试的失败登录次数(1和10之间),或选择---允许无限次失败的登录尝试.
4.
单击保存.
7.
3配置IT部门联系人提供IT部门联系人详细信息,以便用户遇到问题时可以寻求帮助.
您在此处输入的信息将显示在自助服务门户以及用户的设备上.
1.
在侧边的菜单栏中,单击设置下的安装>常规,然后单击IT部门联系人选项卡.
2.
输入联系人信息.
3.
单击保存.
8版权所有SophosLimitedSophosMobile8Apple推送通知服务证书要使用iOS和macOS设备的内置移动设备管理(MDM)协议,SophosMobile必须使用Apple推送通知服务(APNs)触发设备.
APNs证书的有效期为一年.
8.
1创建APNs证书1.
在侧边的菜单栏中,单击设置下,单击安装>Apple设置然后单击APNs选项卡.
2.
单击APNs证书向导.
3.
在模式页面上,单击创建新的APNs证书.
4.
在CSR页面上,单击下载证书签名请求.
将把证书签名请求文件apple.
csr保存到您的本地计算机.
5.
您需要AppleID.
即便您已经有ID,我们还是建议您创新一个新的ID用于SophosMobile.
在AppleID页面上,单击在Apple门户中创建AppleID.
将打开一个Apple网页,您可以在其中为您的公司创建AppleID.
注释将凭据存储在一个您的同事可以访问的安全地方.
您的公司每年都需要这些凭据来续订证书.
6.
在向导中,将新的AppleID输入AppleID字段.
7.
在证书页面上,单击在Apple门户中创建证书.
将打开Apple推送证书门户.
8.
用您的AppleID登录,并上传证书签名请求文件apple.
csr.
9.
下载.
pemAPNs证书文件,并将其保存到您的计算机上.
10.
在上传页面上,单击上传证书,然后浏览并找到您从Apple推送证书门户收到的.
pem文件.
11.
单击保存.
SophosMobile读取证书,并在APNs选项卡上显示证书详细信息.
版权所有SophosLimited9SophosMobile9独立的EAS代理您可以设置EAS代理,以控制托管设备对电子邮件服务器的访问.
您的托管设备的电子邮件数据流将通过该代理进行传输.
您可以阻止设备,如违反合规性规则的设备访问电子邮件.
必须将设备配置为使用EAS代理作为接收和发送电子邮件的电子邮件服务器.
如果设备在SophosMobile中是已知设备,并且与要求的策略相匹配,EAS代理将只转发数据流到实际的电子邮件服务器.
这可以确保更高的安全性,因为电子邮件服务器不需要从Internet访问,并且只有经过授权(经过正确配置,如按密码原则)的设备可以访问.
此外,还可以配置EAS代理,以阻止来自特定设备的访问.
EAS代理可以单独从SophosMobile下载和安装.
它通过HTTPSWeb接口与SophosMobile服务器通信.
注释因为macOS不支持ActiveSync协议,因此您不能使用EAS代理来筛选来自Mac设备的电子邮件数据流.
功能支持多个MicrosoftExchange或IBMNotesTraveler电子邮件服务器.
可以为每个电子邮件服务器设置一个EAS代理实例.
支持负载平衡器.
可以在多台计算机上设置独立的EAS代理实例,然后使用负载平衡器在它们中间分配客户端请求.
支持基于证书的客户端身份验证.
可以选择来自证书颁发机构(CA)的证书,客户端证书必须从该证书派生出来.
支持通过PowerShell控制电子邮件访问.
在这种方案下,EAS代理服务通过PowerShell与电子邮件服务器进行通信,从而控制您的托管设备的电子邮件访问.
电子邮件数据流将直接从设备传输到电子邮件服务器,不通过代理进行传输.
请参阅通过PowerShell设置电子邮件访问控制(第13页).
EAS代理会记住设备状态24小时.
如果SophosMobile服务器离线,例如在更新过程中,电子邮件数据流将根据最后已知的设备状态进行筛选.
24小时后,将阻止所有电子邮件数据流.
注释对于非iOS设备,由于IBMNotesTraveler协议的要求,独立EAS代理的筛选能力会受到限制.
非iOS设备上的Traveler客户端不会随每个请求发送设备ID.
即使EAS代理不能验证设备是否获得授权,不带设备ID的请求也会转发到Traveler服务器.
9.
1下载EAS代理安装程序1.
登录SophosMobileAdmin.
2.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击EAS代理选项卡.
3.
单击外部下的链接下载EAS代理安装程序.
将安装程序文件保存到您的本地计算机.
10版权所有SophosLimitedSophosMobile9.
2安装独立的EAS代理前提条件:所有必需的电子邮件服务器都可以访问.
EAS代理安装程序将不会配置与不可用服务器的连接.
您是准备安装EAS代理的计算机上的管理员.
您知道SophosMobile服务器的URL.
请参阅确定SophosMobile服务器URL(第16页).
注释SophosMobile部署指南中包含将独立的EAS代理集成到贵公司基础设施的示意图.
在安装和部署独立的EAS代理前,我们建议您阅读该信息.
1.
运行SophosMobileEASProxySetup.
exe以启动SophosMobileEASProxy-SetupWizard.
2.
在ChooseInstallLocation页面上,选择目标文件夹并单击Install开始安装.
安装完成后,将自动启动SophosMobileEASProxy-ConfigurationWizard,并引导您完成配置步骤.
3.
在SophosMobileserverconfiguration对话框中,输入EAS代理将要连接的SophosMobile服务器的URL.
您还应选中UseSSLforincomingconnections(ClientstoEASProxy),以保护客户端和EAS代理之间的通信.
除EAS代理凭据外,如果还想让客户端使用证书进行身份验证,则可以选中Useclientcertificatesforauthentication.
这将为连接添加额外一层安全性.
4.
如果您之前选中了UseSSLforincomingconnections(ClientstoEASProxy),将显示Configureservercertificate页面.
在此页面上,可以创建或导入用于安全(HTTPS)访问EAS代理的证书.
注释可以从MySophos下载SSL证书向导,用于为SophosMobileEAS代理申请SSL/TLS证书.
有关如果下载Sophos软件的一般信息,请参阅Sophos知识库文章111195.
如果您还没有信任的证书,请选择Createself-signedcertificate.
如果已有信任的证书,请单击Importacertificatefromatrustedissuer,并从列表中选择以下其中一个选项:—PKCS12withcertificate,privatekeyandcertificatechain(intermediateandCA)—Separatefilesforcertificate,privatekey,intermediateandCAcertificate5.
在下一页面上,根据所选证书的类型,输入相应的证书信息.
注释对于自签名证书,需要指定可以从客户端设备访问的服务器.
6.
如果您之前选中了Useclientcertificatesforauthentication,将显示SMCclientauthenticationconfiguration页面.
在此页面上,选择来自证书颁发机构(CA)的证书,客户端证书必须从该证书派生出来.
当客户端尝试连接时,EAS代理将检查客户端证书是否是由此处指定的CA派生出来的.
版权所有SophosLimited11SophosMobile7.
在EASProxyinstancesetup页面上,配置一个或多个EAS代理实例.
Instancetype:选择EASproxy.
Instancename:用于标识该实例的名称.
Serverport:EAS代理用于传入电子邮件数据流的端口.
如果设置多个代理实例,每个实例必须使用不同的端口.
Requireclientcertificateauthentication:电子邮件客户端连接到EAS代理时,必须自己进行身份验证.
ActiveSyncserver:代理实例将连接的ExchangeActiveSync服务器实例的名称或IP地址.
SSL:代理实例和ExchangeActiveSync服务器之间的通信受到SSL或TLS的保护(取决于服务器支持的类型).
AllowEWSsubscriptionrequestsfromSecureEmail:选中此选项以允许iOS设备上的SophosSecureEmail应用预订通过ExchangeWeb服务(EWS)发送的推送通知.
有SecureEmail消息时,将向设备发送推送通知.
注释—出于安全考虑,默认情况下,EAS代理会阻止所有对Exchange服务器的EWS界面的请求.
如果您选中此复选框,将允许预订请求.
仍会阻止其他请求.
—有关如何为您的Exchange服务器配置EWS的信息,请参阅Sophos知识库文章127137.
EnableTravelerclientaccess:仅在需要允许非iOS设备上的IBMNotesTraveler客户端访问时选中此复选框.
8.
输入实例信息后,单击Add将实例添加到Instances列表中.
安装程序将为每个代理实例创建一个证书,需要将该证书上传到SophosMobile服务器.
单击Add后,将打开一个消息窗口,解释如何上传证书.
9.
在消息窗口中,单击OK.
将打开一个对话框,显示创建的证书所在的文件夹.
注释也可以通过选择相应的实例,并单击EASProxyinstancesetup页面上的ExportconfiganduploadtoSophosMobileserver链接,打开该对话框.
10.
记录证书文件夹.
将证书上传到SophosMobile时,您需要此信息.
11.
可选:再次单击Add并配置其他EAS代理实例.
12.
配置所有要求的EAS代理实例后,单击Next.
将测试您输入的服务器端口,并配置Windows防火墙的入站规则.
13.
在Allowedmailuseragents页面上,可以指定允许连接到EAS代理的邮件用户代理(即电子邮件客户端应用程序).
当客户端使用未指定的电子邮件应用程序连接到EAS代理时,请求将被拒绝.
选择Allowallmailuseragents配置无限制.
选择Onlyallowthespecifiedmailuseragents,然后从列表中选择邮件用户代理.
单击Add将记录添加到允许代理列表中.
对所有允许连接到EAS代理的邮件用户代理,重复此操作.
14.
在SophosMobileEASProxy-ConfigurationWizardfinished页面上,单击Finish关闭配置向导并返回安装向导.
15.
在安装向导中,确保选中StartSophosMobileEASProxyservernow复选框,然后单击Finish完成配置,并开始首次启动SophosMobileEAS代理.
12版权所有SophosLimitedSophosMobile要完成EAS代理配置,请把为每个代理实例创建的证书上传到SophosMobile:16.
登录SophosMobileAdmin.
17.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击EAS代理选项卡.
18.
在外部下,单击上传文件.
上传配置向导创建的证书.
如果您设置了多个实例,请对所有实例证书重复此操作.
19.
单击保存.
20.
在Windows中,打开服务对话框并重新启动EASProxy服务.
这样就完成了独立EAS代理的初始设置.
注释每天,EAS代理日志记录都会移入一个新文件,命名方式为EASProxy.
log.
yyyy-mm-dd.
这些日常的日志文件不会自动删除,因此随着时间的推移可能会导致磁盘空间问题.
我们建议设置一个过程,将日志文件移动到备份位置.
9.
3通过PowerShell设置电子邮件访问控制您可以设置到Exchange或Office365服务器的PowerShell连接.
这就说,EAS代理服务通过PowerShell与电子邮件服务器进行通信,从而控制您的托管设备的电子邮件访问.
电子邮件数据流直接从设备传输到电子邮件服务器.
不通过代理进行传输.
注释因为macOS不支持ActiveSync协议,因此您不能使用PowerShell来控制Mac设备的电子邮件访问权限.
PowerShell方案有以下优点:设备直接与Exchange服务器通信.
对于来自您的托管设备的传入电子邮件数据流,您不需要在服务器上为其打开端口.
支持的电子邮件服务器有:ExchangeServer2013ExchangeServer2016采用ExchangeOnline方案的Office365要设置PowerShell:1.
配置PowerShell.
2.
在Exchange服务器上或在Office365中创建服务帐户.
SophosMobile将使用此帐户执行PowerShell命令.
3.
设置一个或多个到Exchange或Office365的PowerShell连接实例.
4.
将实例证书上传到SophosMobile.
配置PowerShell1.
在准备安装EAS代理的计算机上,以管理员身份打开WindowsPowerShell,并输入:PSC:\Windows\system32>Set-ExecutionPolicyRemoteSigned版权所有SophosLimited13SophosMobile注释如果没有PowerShell,按Microsoft文章安装WindowsPowerShell(外部链接)中所述进行安装.
2.
如果您要连接到本地Exchange服务器,请在该计算机上以管理员身份打开WindowsPowerShell,并输入和之前相同的命令:PSC:\Windows\system32>Set-ExecutionPolicyRemoteSigned注释Office365不需要执行此步骤.
创建服务帐户3.
登录到相关的管理控制台:对于ExchangeServer2013/2016:Exchange管理中心对于Office365:Office365管理中心4.
创建用户帐户.
SophosMobile将使用此帐户作为服务帐户执行PowerShell命令.
使用用户名(如smc_powershell)标识帐户用途.
关闭要求用户在下次登录时更改其密码的设置.
删除自动分配给该新帐户的所有Office365许可证.
服务帐户不需要许可证.
5.
创建一个新的角色组,并为其分配所需的权限.
使用如smc_powershell之类的角色组名称.
添加邮件收件人和组织客户端访问角色.
将该服务帐户添加为成员.
设置PowerShell连接6.
就像您要安装独立EAS代理一样,使用安装向导.
在EASProxyinstancesetup向导页面上,配置以下设置:Instancetype:选择PowerShellExchange/Office365.
Instancename:用于标识该实例的名称.
Exchangeserver:Exchange服务器的名称或IP地址(对于本地安装的Exchange服务器)或outlook.
office365.
com(对于Office365).
不要包括前缀https://或后缀/powershell.
它们会自动添加.
Allowallcertificates:Exchange服务器提供的证书未经过验证.
例如,如果您的Exchange服务器上安装有自签名证书,则可使用此选项.
因为Allowallcertificates选项会降低服务器通信的安全级别,我们强烈建议您仅在您的网络环境需要时才选中它.
AllowEWSsubscriptionrequestsfromSecureEmail:选中此选项以允许iOS设备上的SophosSecureEmail应用预订通过ExchangeWeb服务(EWS)发送的推送通知.
有SecureEmail消息时,将向设备发送推送通知.
14版权所有SophosLimitedSophosMobile注释—出于安全考虑,默认情况下,EAS代理会阻止所有对Exchange服务器的EWS界面的请求.
如果您选中此复选框,将允许预订请求.
仍会阻止其他请求.
—有关如何为您的Exchange服务器配置EWS的信息,请参阅Sophos知识库文章127137.
Serviceaccount:您在Exchange或Office365管理控制台中创建的用户帐户的名称.
Password:该用户帐户的密码.
7.
单击Add将实例添加到Instances列表中.
8.
重复前面的步骤设置到其他Exchange或Office365服务器的PowerShell连接.
9.
如安装独立的EAS代理(第11页)中所述,完成安装向导步骤.
上传证书10.
登录SophosMobileAdmin.
11.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击EAS代理选项卡.
12.
可选:在常规下,选择对SophosSecureEmail的限制以限制SophosSecureEmail应用的电子邮件访问权限,可用于Android和iOS.
这可以防止其他电子邮件应用连接到您的电子邮件服务器.
13.
在外部下,单击上传文件.
上传配置向导创建的证书.
如果您设置了多个实例,请对所有实例证书重复此操作.
14.
单击保存.
15.
在Windows中,打开服务对话框并重新启动EASProxy服务.
这样就完成了PowerShell连接的初始设置.
如果设备违反合规性规则,托管设备和Exchange或Office365服务器之间的电子邮件数据流将被阻止.
通过将单台设备的电子邮件访问模式设置为拒绝,您可以阻止该设备.
注释根据您的Exchange服务器的配置,设备的电子邮件访问被阻止时,设备将会收到通知.
9.
4配置与独立EAS代理服务器的连接要配置SophosMobile与独立EAS代理之间的连接,请将EAS代理服务器的证书上传到SophosMobile.
该证书是您配置EAS代理实例时生成的.
重要提示如果EAS代理服务在您上传证书前已启动,SophosMobile将会拒绝连接到该服务器,且该服务无法启动.
要上传独立EAS代理的证书:1.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击EAS代理选项卡.
2.
可选:在常规下,选择对SophosSecureEmail的限制以限制SophosSecureEmail应用的电子邮件访问权限,可用于Android和iOS.
这可以防止其他电子邮件应用连接到您的电子邮件服务器.
3.
单击外部下的上传文件,找到证书文件.
如果您设置了多个EAS代理实例,请对所有实例重复此操作.
版权所有SophosLimited15SophosMobile4.
单击保存.
5.
在Windows中,打开服务对话框并重新启动EASProxy服务.
9.
5确定SophosMobile服务器URL配置独立的EAS代理需要SophosMobile服务器URL.
该值显示在SophosMobile系统设置中.
1.
登录SophosMobileAdmin.
2.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击EAS代理选项卡.
SophosMobile服务器的URL显示在外部下.
16版权所有SophosLimitedSophosMobile10配置网络访问控制SophosMobile包括针对第三方网络访问控制(NAC)系统的接口.
通过配置NAC系统的连接,可以让它们获取设备列表及其合规性状态.
此外,如果按本节所述配置网络访问控制,以后还可以定义合规性策略,以便在违反特定合规性规则时拒绝网络访问.
有关如何定义合规性策略的信息,请参阅SophosMobile管理员帮助.
要配置网络访问控制:1.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击NetworkAccessControl选项卡.
2.
从列表中选择一种可用的NAC集成方式:SophosUTM此选项支持SophosUTM集成(对于9.
2或更高版本).
该集成方式需要在管理SophosMobile下的SophosUTMWebAdmin界面中设置SMC服务器URL和管理员用户凭据.
有关详细信息,请参阅SophosUTM管理指南.
CiscoISE此选项支持CiscoISE集成.
配置以下设置:用户名必须在CiscoISE中指定的用户名.
CiscoISE将用它登录SophosMobile.
密码输入用于登录SophosMobile的密码.
密码确认重复该密码.
被阻止设备的重定向页面如果不允许设备访问网络,将把设备重定向到该URL.
我们建议使用自助服务门户的URL或带有自助服务门户链接的信息页面的URL.
必须在CiscoISE上配置相关的设置,才能在连接到NAC接口时使用SophosMobile服务器的URL和在此处输入的凭据.
CheckPoint此选项支持CheckPoint集成(对于R77.
10或更高版本).
配置以下设置:用户名必须在CheckPoint中指定的用户名.
CheckPoint将用它登录SophosMobile.
密码输入用于登录SophosMobile的密码.
密码确认重复该密码.
在CheckPointMobileAccessGateway中,必须配置一些特定的设置,如CheckPoint支持中心的文章针对移动设备的MDM联合强化中所述.
Web服务此选项允许将第三方NAC系统连接到Web服务接口.
版权所有SophosLimited17SophosMobileSophosMobile提供了RESTfulWeb服务接口,可用于提供托管设备的MAC地址和网络访问状态.
第三方NAC系统可以使用SophosMobile管理员帐户的登录凭据,连接到该接口.
有关Web服务接口的详细使用信息,请参阅SophosMobile网络访问控制接口指南.
自定义此选项可用于配置基于证书的NAC接口访问权限.
注释旧的自定义选项已弃用,并将在以后版本中删除.
而是使用Web服务选项,将第三方NAC系统连接到SophosMobile.
单击上传文件,然后浏览并找到第三方NAC系统的证书.
证书将上传并显示在表格中.
向SophosMobile服务器提供证书的第三方NAC系统将获得访问NAC接口的权限.
3.
在NetworkAccessControl选项卡上,单击保存.
18版权所有SophosLimitedSophosMobile11合规性策略合规性策略可用于:允许、禁止或强制执行设备的某些功能.
定义违反合规性规则时执行的操作.
您可以创建不同的合规性策略,并将它们分配到设备组.
这样就可以对托管设备应用不同的安全级别.
提示如果要同时管理公司和个人的设备,我们建议至少为这两类设备分别定义合规性策略.
11.
1创建合规性策略1.
在侧边的菜单栏中,单击配置下的合规性策略.
2.
在合规性策略页面上,单击创建合规性策略,然后选择策略将基于哪个模板:默认模板:一组合规性规则,未定义操作.
PCI模板,HIPAA模板:分别基于HIPAA和PCIDSS安全标准的合规性规则和操作.
您选择的模板不限制您的后续配置选项.
3.
为合规性策略输入名称,并选择性地输入描述.
对所有要求的平台重复以下步骤.
4.
确保每个选项卡上的启用平台复选框已选中.
如果此复选框未选中,将不会对该平台的设备进行合规性检查.
5.
在规则下,为特定的平台配置合规性规则.
有关每种设备类型可用规则的说明,请单击页面标题中的帮助.
注释每条合规性规则有固定的严重性级别(高、中、低),通过蓝色图标指示.
严重性有助于了解每条规则的重要性,以及违反该规则时应执行的操作.
注释如果SophosMobile管理Sophos容器而非整个设备,则这些设备中只能使用合规性规则的一个子集.
在突出显示规则中,选择管理类型以突出显示相关的规则.
6.
在如果违反规则下,定义违反规则时要执行的操作:选项说明拒绝电子邮件禁止访问电子邮件.
只有配置了与独立EAS代理的连接后,才能执行此操作.
请参阅配置与独立EAS代理服务器的连接(第15页).
版权所有SophosLimited19SophosMobile选项说明此操作仅可用于Android、iOS、Windows和WindowsMobile设备.
锁定容器禁用SophosSecureWorkspace和SecureEmail应用.
这将影响由这些应用管理的文档、电子邮件和Web的访问.
此操作只能在激活MobileAdvanced许可证后执行.
此操作仅可用于Android和iOS设备.
拒绝网络禁止访问网络.
只有在您配置了网络访问控制后,才能执行此操作.
请参阅配置网络访问控制(第17页).
本操作不适用于SophosMobile仅管理Sophos容器的设备.
创建警报触发警报.
警报将显示在警报页面上.
传输任务捆绑包将特定的任务捆绑包传输到设备.
此操作仅可用于Android、iOS、macOS和Windows设备.
我们建议在此阶段将其设置为无.
有关详细信息,请参阅SophosMobile管理员帮助.
重要提示如果使用不正确,可能会导致任务捆绑包配置错误,甚至擦除设备.
要为合规性规则分配正确的任务捆绑包,需要对系统有深入的了解.
注释当Android企业设备所有者模式的设备不合规时,将禁用所有应用.
7.
对所有要求的平台进行设置后,单击保存,以指定的名称保存合规性策略.
要使用合规性策略,可以将其分配给设备组.
这将在下一节中介绍.
20版权所有SophosLimitedSophosMobile12设备组设备组用于对设备进行分类.
它们可以帮助您有效地管理设备,因为您可以对设备组执行任务,而不是对单个设备.
一个设备始终属于一个设备组.
当您将设备添加到SophosMobile时,您可以将其分配至设备组.
提示仅在相同的操作系统中对设备进行分组.
这样更便于用设备组执行安装和其他操作系统特定任务.
12.
1创建设备组1.
在侧边的菜单栏中,单击管理下的设备组,然后单击创建设备组.
2.
在编辑设备组页面中,输入新设备组的名称和描述.
3.
在合规性策略下,选择应用到公司和个人设备的合规性策略.
4.
单击保存.
注释设备组的设置包括启用iOS自动注册选项.
此选项让您可以通过AppleConfigurator注册iOS设备.
有关详细信息,请参阅SophosMobile管理员帮助.
新设备组将创建,并显示在设备组页面上.
版权所有SophosLimited21SophosMobile13开始使用设备策略策略启动向导帮助您为所有平台创建基本的设备策略.
以后您可以加强这些策略.
注释根据平台的不同,通过设备配置文件(Android、iOS)或设备策略(macOS、Windows、WindowsMobile)配置设备设置.
为简单起见,本节使用术语策略表示配置文件和策略.
1.
在仪表板上,单击入门任务小组件中的策略启动向导.
提示如果您找不到该小组件,请单击添加小组件>开始使用.
2.
在平台页面上,选择您要为其创建策略的设备平台.
选择Android和iOS.
3.
对于Android,您可以选择管理模式.
此设置影响可用的策略类型.
我们建议您使用Android企业模式.
4.
在政策页面上,配置以下设置:a)为策略输入一个名称.
将为每个平台创建一个该名称的策略.
b)选择该策略管理的区域.
如果不选中某个复选框,将跳过相应的向导页面.
您可以稍后配置跳过的区域(以及其他设置).
我们建议您至少选择密码要求和限制.
5.
在密码页面上,配置设备密码的要求.
6.
在限制页面上,配置应用于设备的限制,如关闭相机或其他可能存在安全风险的设备功能.
7.
在Wi-Fi页面上,配置与您的公司Wi-Fi网络的连接.
如果您的Wi-Fi网络使用WPA/WPA2PSK以外的安全类型,您可以稍后更改该设置.
8.
在电子邮件页面上,配置与您的公司MicrosoftExchange电子邮件服务器的连接.
占位符%_USERNAME_%和%_EMAILADDRESS_%将被分配给设备的用户的用户名和电子邮件地址代替.
9.
单击完成.
向导将为您选择的每个平台创建一个策略.
要查看策略,请单击侧边菜单栏中的配置文件,策略,然后单击设备平台.
要修改管理的区域,请单击策略的名称,然后单击添加配置.
如果选择Android企业模式,您必须先为您的组织设置Android企业,然后才能注册设备.
请参阅SophosMobile管理员帮助.
22版权所有SophosLimitedSophosMobile14为Android设备创建任务捆绑包1.
在侧边的菜单栏中,单击配置下的任务捆绑包Android.
2.
在任务捆绑包页面上,单击创建任务捆绑包.
将显示编辑任务捆绑包页面.
3.
在相应字段中输入新的任务捆绑包的名称,并选择性地输入说明.
当您每次保存任务捆绑包时,版本将自动递增.
4.
可选:选中对合规性操作可选,以便在设备违反合规性规则时将任务捆绑包传送到设备上.
请参阅合规性策略(第19页).
注释编辑现有的任务捆绑包并且该任务捆绑包已用于合规性操作时,此选项将禁用.
5.
单击创建任务,选择注册,然后输入任务的名称.
单击应用,创建任务.
在此处输入的名称将在处理该任务时显示在自助服务门户中.
6.
再次单击创建任务,并选择安装配置文件或分配政策.
为任务提供一个有意义的名称,如安装密码策略配置文件,选中已经创建的配置文件.
单击应用,创建任务.
7.
如果已经为Exchange、VPN或Wi-Fi设置配置了配置文件,请对每个配置文件重复前一步骤.
8.
可选:在任务捆绑包中添加其他任务.
提示可以使用任务列表右侧的排序箭头,更改任务的安装顺序.
9.
将所有需要的任务添加到任务捆绑包后,单击编辑任务捆绑包页面上的保存.
任务捆绑包可以进行传输.
它将显示在任务捆绑包页面上.
版权所有SophosLimited23SophosMobile15为iOS设备创建任务捆绑包1.
在侧边的菜单栏中,单击配置下的任务捆绑包>iOS.
2.
在任务捆绑包页面上,单击创建任务捆绑包.
将显示编辑任务捆绑包页面.
3.
在相应字段中输入新的任务捆绑包的名称,并选择性地输入说明.
当您每次保存任务捆绑包时,版本将自动递增.
4.
可选:选中对合规性操作可选,以便在设备违反合规性规则时将任务捆绑包传送到设备上.
请参阅合规性策略(第19页).
注释编辑现有的任务捆绑包并且该任务捆绑包已用于合规性操作时,此选项将禁用.
5.
可选:如果选择忽略应用安装失败,即使在应用安装失败时也可以继续处理任务捆绑包.
如果任务捆绑包不包含安装应用任务,此选项将禁用.
6.
单击创建任务,选择注册,然后输入任务的名称.
单击应用,创建任务.
在此处输入的名称将在处理该任务时显示在自助服务门户中.
7.
再次单击创建任务,并选择安装配置文件或分配政策.
为任务提供一个有意义的名称,如安装密码策略配置文件,选中已经创建的配置文件.
单击应用,创建任务.
8.
如果已经为Exchange、VPN或Wi-Fi设置配置了配置文件,请对每个配置文件重复前一步骤.
9.
可选:在任务捆绑包中添加其他任务.
提示可以使用任务列表右侧的排序箭头,更改任务的安装顺序.
10.
将所有需要的任务添加到任务捆绑包后,单击编辑任务捆绑包页面上的保存.
任务捆绑包可以进行传输.
它将显示在任务捆绑包页面上.
24版权所有SophosLimitedSophosMobile16配置自助服务门户设置1.
在侧边的菜单栏中,单击设置下的安装>自助服务门户.
2.
单击注册文本,然后添加使用条款文本和注册后文本.
将这些文本分配给自助服务门户配置后,它们将分别在注册前后显示.
3.
在自助服务门户配置页面上,单击添加创建配置.
4.
配置以下设置:选项描述名称配置的名称.
在自助服务门户中,用户通过这个名称选择配置.
用户组单击添加,然后输入用户组.
配置将应用于该组的所有成员.
最大设备数目用户可以在自助服务门户中注册的最大设备数目.
操作单击显示,然后选择用户可以在自助服务门户中执行的管理操作.
5.
单击添加>Android.
6.
在配置平台设置对话框中,配置以下设置:选项描述显示名称平台设置的名称.
在自助服务门户中,用户通过这个名称选择注册类型.
描述平台设置的描述.
此描述将显示在自助服务门户中的名称旁边.
所有者使用此配置注册的设备的所有者模式(公司或个人).
设备组向其添加设备的设备组.
注册包选择您创建的Android任务捆绑包.
使用条款要在注册之前在自助服务门户中显示的文本.
将此字段留空将不显示文本.
用户必须同意该文本,才能继续注册.
注册后文本要在注册之后在自助服务门户中显示的文本.
将此字段留空将不显示文本.
7.
单击应用,将平台设置添加到自助服务门户配置.
8.
单击添加>iOS,然后重复对Android执行的配置步骤.
9.
在编辑自助服务门户配置页面上,单击保存.
版权所有SophosLimited25SophosMobile始终会有一个Default配置.
此配置的优先级最低,因此只有在没有其他配置与用户匹配时才会使用.
26版权所有SophosLimitedSophosMobile17配置用户管理SophosMobile提供了两种不同的方法管理SophosMobileAdmin和自助服务门户的用户帐户:使用内部用户管理,可通过在SophosMobileAdmin中手动添加用户或通过从CSV文件导入用户的形式创建用户.
使用外部用户管理,可以连接到现有的LDAP目录,并将设备分配至基于目录成员的组或配置文件.
注释设备分配给用户后,将不能更改用户管理方法.
对于外部用户管理,LDAPS(在SSL/TLS之上使用LDAP)环境必须可用.
SophosMobile使用默认的LDAPS端口636连接到LDAP服务器.
要选择用户管理方法:1.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击用户设置选项卡.
2.
为SophosMobileAdmin和自助服务门户(SSP)的用户帐户选择数据源:选择内部目录可使用内部用户管理.
选择外部LDAP目录可使用外部用户管理或结合使用内部用户管理.
3.
如果选择外部LDAP目录,请单击配置外部LDAP并指定服务器详细信息.
请参阅配置外部目录连接(第30页).
4.
单击保存.
注释保存设置后,只有选中的用户管理方法会显示在用户设置选项卡上.
要在以后更改选项,请选择并保存无.
没有可用的SSP、用户特定配置文件或LDAP管理员可以使所有选项再次可用.
版权所有SophosLimited27SophosMobile18使用内部用户管理18.
1创建自助服务门户测试用户要通过自助服务门户对设置进行测试,请为您自己创建一个自助服务门户用户帐户.
将使用此帐户登录自助服务门户,并测试设备注册.
要为自助服务门户创建测试用户帐户:1.
在侧边的菜单栏中,单击管理下的人员.
2.
单击创建用户.
3.
配置所需的帐户详细信息.
确保选中发送注册邮件.
4.
单击保存.
用户将添加到自助服务门户用户列表中,并向您在帐户详细信息中指定的电子邮件地址发送注册电子邮件.
18.
2通过自助服务门户测试设备注册我们建议您在向用户推出自助服务门户前,通过自助服务门户对设备注册进行测试.
用您在创建自助服务门户测试用户(第28页)中为自己创建的测试用户帐户登录自助服务门户,并对您要通过SophosMobile进行管理的所有平台执行注册测试.
18.
3将用户导入SophosMobile通过自助服务门户对设备注册进行测试后,可以将用户列表导入SophosMobile.
用户导入只与内部用户管理相关.
对于外部用户管理,分配给某些LDAP组的所有用户都可以登录到系统.
您可以通过从CSV文件导入的方式添加新的自助服务门户用户.
CSV文件必须符合以下要求:第一行作为标题,不导入.
值必须用分号分隔,而不是逗号.
所有行必须具有正确的分号字符数,即便您省略了可选值.
文件扩展名必须是.
csv.
为确保非英文字符正确导入,文件必须为UTF-8编码.
提示在导入用户页面上,单击CSV示例下载示例文件.
要从CSV文件导入用户:1.
在侧边的菜单栏中,单击管理下的人员.
28版权所有SophosLimitedSophosMobile2.
单击导入用户.
3.
在导入用户页面上,选择发送注册邮件.
4.
单击上传文件,然后浏览并找到准备好的CSV文件.
将从文件中读入记录,并显示出来.
5.
如果数据的格式不正确或不一致,整个文件都不能导入.
如果出现这种情况,请按相应记录旁边显示的错误消息对CSV文件的内容进行相应的修改,然后再次上传.
6.
单击完成以创建用户帐户.
用户将导入,并显示在人员页面上.
他们将收到电子邮件,其中包括他们的自助服务门户登录凭据.
版权所有SophosLimited29SophosMobile19使用外部用户管理19.
1配置外部目录连接要在外部LDAP用户目录中管理SophosMobileAdmin用户帐户和自助服务门户,您必须配置与LDAP服务器的连接.
SophosMobile可以连接到以下LDAP服务器:ActiveDirectoryGoogleCloudDirectoryIBMDominoNetIQeDirectoryRedHatDirectoryServerZimbra有关支持的版本,请参阅SophosMobile9发行说明.
注释LDAP目录和SophosMobile之间没有同步.
SophosMobile将只访问LDAP目录以查找用户信息.
对LDAP用户帐户的更改将不会在SophosMobile数据库中进行,反之亦然.
1.
在侧边的菜单栏中,单击设置下,单击安装>Sophos设置然后单击用户设置选项卡.
2.
选择外部LDAP目录.
3.
单击配置外部LDAP.
配置取决于LDAP服务器类型.
以下说明适用于ActiveDirectory.
4.
在服务器详细信息页面上,配置以下设置:a)在LDAP类型字段中,选择连接类型:b)在主要URL字段中,输入主目录服务器的IP地址或名称.
选择SSL/TLS通过SSL或TLS(取决于服务器支持的类型)保护服务器连接.
c)可选:在适用URL字段中,输入主服务器不可用时SophosMobile用作回退的目录服务器的IP地址或名称.
d)在用户和密码字段中,输入SophosMobile用于进行LDAP服务器身份验证的凭据.
使用以下任一格式:\@.
注释出于安全考虑,我们建议您选择没有目录写入权限的帐户.
5.
在搜索库页面上,输入搜索基对象的distinguishedname(DN).
搜索基对象用于定义目录中的位置,LDAP搜索将从这里开始.
6.
在搜索字段页面上,配置目录服务(包含SophosMobile使用的用户属性)的属性.
30版权所有SophosLimitedSophosMobile从列表中选择属性名称或手动输入.
对ActiveDirectory使用以下映射:SophosMobile中的属性ActiveDirectory中的属性用户名sAMAccountName名givenName姓sn电子邮件mail7.
在SSP配置页面上,指定允许登录到自助服务门户的用户.
使用以下任一选项,在LDAP目录组字段中输入相关信息:如果输入的组名已经定义在目录服务器中,将允许该组的所有成员登录自助服务门户.
输入组名后,单击测试组,将组名解析为可分辨名称(DN).
如果将该字段保留为空,将不允许该目录服务器的用户登录自助服务门户.
如果要对SophosMobileAdmin启用外部用户管理,但不对自助服务门户启用,则可使用此选项.
注释在这里指定的组与在自助服务门户页面的组设置选项卡中定义的用户组不相关.
使用这些设置,可以为每个用户组定义任务捆绑包、SophosMobile组成员身份和可用的设备平台.
有关自助服务门户组设置的详细信息,请参阅SophosMobile管理员帮助.
8.
单击应用.
9.
在用户设置选项卡上,单击保存.
相关信息如何连接SophosMobile8.
0服务器和AzureActiveDirectory(Sophos知识库文章128081)使用SecureLDAP将SophosMobile连接到GoogleCloudIdentity/GoogleCloudDirectory(Sophos知识库文章132870)19.
2为LDAP用户测试设备注册我们建议您在向用户推出自助服务门户使用之前,通过自助服务门户对设备注册进行测试.
使用您的LDAP凭据登录到自助服务门户,并在要通过SophosMobile管理的所有平台上执行注册测试.
版权所有SophosLimited31SophosMobile20使用添加设备向导使用添加设备向导很容易注册新设备.
它提供了可以合并以下任务的工作流:将新设备添加到SophosMobile.
可选:将用户分配到设备.
注册设备.
可选:将任务捆绑包传输到设备.
1.
在侧边的菜单栏中,单击管理下的设备,然后单击添加>添加设备向导.
提示另外,您可以通过单击添加设备小组件,从仪表板页面启动该向导.
2.
在用户页面上,输入搜索条件以查找将要分配该设备的用户,或选择跳过用户分配以注册尚未分配给用户的设备.
3.
在用户选择页面上,从匹配搜索条件的用户列表中选择所需的用户.
4.
在设备详细信息页面上,配置以下设置:选项说明平台设备平台.
名称SophosMobile管理的设备的唯一名称.
描述设备的可选描述.
电话号码可选的电话号码.
输入国际格式的号码,如+491701234567.
邮件地址用于接收注册说明的电子邮件地址.
如果为该客户配置了用户管理,则是分配给该设备的用户的电子邮件地址.
如果没有配置用户管理,请在此处输入电子邮件地址.
所有者选择设备所有者类型:企业或个人.
设备组选择设备将要分配到哪个设备组.
如果还没有创建设备组,可以选择始终可选的默认设备组.
5.
在注册类型页面上,选择是要注册设备还是只注册Sophos容器.
选择注册设备.
6.
选择为该设备平台配置的任务捆绑包.
7.
在注册页面上,按说明完成注册操作.
8.
注册成功完成后,单击完成.
注释完成所有选择后,可以关闭向导,不必等到完成按钮出现.
将在后台创建并处理注册任务.
32版权所有SophosLimitedSophosMobile21用语表专用设置配置文件您添加到自己开发的iOS应用的分发设置配置文件.
这样,您就可以在指定的设备上安装应用,而不必将其发布到AppStore.
注册使用SophosMobile进行设备注册.
企业应用商店托管在SophosMobile服务器上的应用存储库.
管理员可以使用SophosMobileAdmin,将应用程序添加到EnterpriseAppStore.
然后,用户可以使用SophosMobileControl应用,将这些应用安装在他们的设备上.
设置在设备上安装SophosMobileControl应用的过程.
自助服务门户Web界面,允许用户注册自己的设备并执行其他任务,无需联系支持人员.
MobileAdvanced许可证使用MobileAdvanced类型的许可证,您可以通过SophosMobile管理SophosMobileSecurity、SophosSecureWorkspace和SophosSecureEmail应用.
SMSecSophosMobileSecurity的缩写.
SophosMobile客户端安装在SophosMobile托管的设备上的SophosMobileControl应用.
SophosMobile控制台您用于管理设备的Web界面.
SophosMobileSecurity适用于Android设备的安全应用.
可以使用SophosMobile管理该应用程序,只要激活了MobileAdvanced类型的许可证.
SophosSecureEmail一款针对Android和iOS设备的应用,它为管理电子邮件、日历和联系人提供了安全的容器.
可以使用SophosMobile管理该应用程序,只要激活了MobileAdvanced类型的许可证.
SophosSecureWorkspace一款针对AppleiOS和Android设备的应用,它提供的安全工作区可用于浏览、管理、编辑、共享、加密和解密来自不同存储提供程序的文档或贵公司分发的文档.
可以使用SophosMobile管理该应用程序,只要激活了MobileAdvanced类型的许可证.
任务捆绑包您可以创建一个包,将多项任务捆绑在一项事务中.
可以捆绑所有必需的任务,让设备完全注册和运行.
TeamID每个iOS和macOS应用都有TeamID签名.
TeamID由Apple提供,对于特定的开发团队是唯一的.
版权所有SophosLimited33SophosMobile22技术支持可以通过以下任意方式获得Sophos产品的技术支持:访问community.
sophos.
com/中的Sophos社区,并搜索遇到相同问题的其他用户.
访问www.
sophos.
com/zh-cn/support.
aspx的Sophos技术支持知识库.
在www.
sophos.
com/zh-cn/support/documentation.
aspx中下载产品的技术文档.
访问https://secure2.
sophos.
com/zh-cn/support/contact-support/support-query.
aspx联系我们的技术支持团队.
34版权所有SophosLimitedSophosMobile23法律声明版权所有2019SophosLimited.
保留一切权利.
除非您拥有根据许可证条款可以复制本文档的许可证,或事先得到版权所有者的书面许可,不得以电子、机械、复印、记录或其他任何形式或方式,复制、在检索系统中存储或传输本出版物的任何部分.
Sophos,SophosAnti-Virus和SafeGuard都是SophosLimited,SophosGroup和UtimacoSafewareAG的注册商标.
所有其他产品和公司名称是其各自所有者的商标或注册商标.
版权所有SophosLimited35