Sophos Mobile Manuel utilisateur

Sophos Mobile
Guide d’installation
Version du produit : 8.6
Table des matières
À propos de ce guide.............................................................................................................................. 1
À propos de Sophos Mobile.................................................................................................................... 2
Licences Sophos Mobile.......................................................................................................................... 3
Licences d’essai............................................................................................................................ 3
Mise à niveau des licences d’essai vers des licences complètes................................................ 3
Mise à jour des licences............................................................................................................... 3
Installation de Sophos Mobile..................................................................................................................4
Conditions préalables à l’installation............................................................................................. 4
Conditions requises pour l'environnement système......................................................................4
Demande d’un certificat SSL/TLS.................................................................................................5
Installation et configuration du serveur Sophos Mobile................................................................ 6
Configuration du serveur Web Sophos Mobile............................................................................. 9
Changement de langue de connexion à SQL.............................................................................. 9
Proxy EAS autonome.............................................................................................................................10
Cas de figure d’utilisation du proxy EAS autonome................................................................... 11
Téléchargement du programme d’installation du serveur proxy EAS......................................... 12
Installation d’un proxy EAS autonome........................................................................................12
Installation du contrôle d’accès à la messagerie avec PowerShell.............................................15
Équilibrage de charge et haute disponibilité..........................................................................................19
Conditions requises..................................................................................................................... 19
Configuration des nœuds du cluster...........................................................................................20
Configuration de l’équilibrage de charge avec Sophos UTM......................................................22
Mise à jour de Sophos Mobile...............................................................................................................24
Mise à jour du serveur Sophos Mobile.......................................................................................24
Tâches postérieurs à la mise à jour........................................................................................... 24
Mise à jour du cluster de serveurs............................................................................................. 25
Mise à jour du proxy EAS autonome..........................................................................................25
Référence technique.............................................................................................................................. 26
Fonctions du serveur Sophos Mobile......................................................................................... 26
Interfaces Web de Sophos Mobile..............................................................................................26
Support technique.................................................................................................................................. 28
Mentions légales.................................................................................................................................... 29
(2018/10/02)
Sophos Mobile
1 À propos de ce guide
Ce guide vous explique comment installer et configurer la version 8.6 de Sophos Mobile. Il décrit
également la mise à jour d’une installation déjà existante de Sophos Mobile.
Sauf mention contraire, toutes les procédures doivent être effectuées en tant qu’administrateur de
Microsoft Windows Server ou en tant qu’utilisateur du groupe adéquat.
Copyright © 2018 Sophos Limited
1
Sophos Mobile
2 À propos de Sophos Mobile
Sophos Mobile
Sophos Mobile est la solution EMM des entreprises qui souhaitent consacrer moins de temps et
d’énergie à la gestion et à la protection des appareils mobiles. Gérez les appareils mobiles avec
Sophos Central, l’interface administrateur Web unifiée et facile à utiliser, en parallèle des produits
de sécurité Sophos pour les terminaux, les réseaux et les serveurs. Les apps de conteneurs
sécurisés et la compatibilité avec les conteneurs natifs dans iOS, Android pour les entreprises et
Samsung Knox garantissent la séparation des données professionnelles sensibles et des données
personnelles sur l’appareil mobile.
Dotée d’une protection solide des données, d’une sécurité complète, d’un bon rapport qualité/prix
et d’options flexibles de gestion, Sophos Mobile est la solution idéale d’administration des appareils
mobiles en milieu professionnel. En effet, elle permet de maintenir la productivité de vos utilisateurs,
assure la sécurité de vos données professionnelles et la confidentialité des données personnelles.
Sophos Mobile Security
Sophos Mobile Security protège vos appareils Android sans affecter leurs performances ni
l’autonomie de la batterie. La technologie antimalware de pointe de Sophos permet à Sophos
Mobile Security d’offrir un niveau de protection antimalware et antivirus reconnu et plébiscité. L’app
offre également la détection des applications potentiellement indésirables (PUA), des conseillers
confidentialité et sécurité, la protection contre la perte et le vol des données, la protection du Web, et
bien plus encore.
Sophos Secure Workspace
Sophos Secure Workspace est une app de gestion du contenu mobile en conteneur pour iOS
et Android. Elle permet de protéger, de gérer et de distribuer les documents professionnels et le
contenu web en toute sécurité. Modifiez des documents Office dans le conteneur pour garantir la
protection du contenu chiffré. La technologie anti-phishing protège les utilisateurs contre les liens
malveillants présents dans les documents et tout autre contenu.
Lorsqu’elle est gérée par Sophos Mobile, les administrateurs peuvent facilement restreindre l’accès
au contenu en fonction des règles de conformité définies pour l’appareil. Lorsqu’elle est utilisée
avec Sophos SafeGuard Encryption, l’app Sophos Secure Workspace permet d’échanger en toute
sécurité et en toute transparence des fichiers chiffrés (stockés localement ou sur le Cloud) entre les
utilisateurs de systèmes Windows, macOS, iOS et Android.
Sophos Secure Email
Sophos Secure Email est une app de conteneur de messagerie complète et sécurisée pour Android
et iOS. Elle vous permet d’isoler les emails, les agendas et les contacts professionnels des données
privées sur un appareil mobile géré par Sophos Mobile. Toutes les informations de l’entreprise sont
protégées par le chiffrement AES-256 et l’accès peut facilement être révoqué à l’aide de règles de
conformité définies pour l’appareil. Sophos Secure Email permet également au service informatique
de fournir la même messagerie professionnelle sécurisée sur différents appareils et systèmes
d’exploitation.
2
Copyright © 2018 Sophos Limited
Sophos Mobile
3 Licences Sophos Mobile
Sophos Mobile offre deux types de licences :
•
Licence Mobile Standard :
•
Licence Mobile Advanced
La licence Mobile Advanced vous permet d’administrer les apps Sophos Mobile Security, Sophos
Secure Workspace et Sophos Secure Email.
En tant que super administrateur, vous pouvez activer les licences achetées dans le client super
administrateur et assigner le nombre requis d’utilisateurs sous licence à chaque client individuel.
3.1 Licences d’essai
Sophos offre un essai gratuit de Sophos Mobile. Vous pouvez vous inscrire à cet essai sur le site
Web de Sophos : http://www.sophos.com/fr-fr/products/free-trials/mobile-control.aspx.
Une licence d’essai vous permet d’administrer jusqu’à cinq utilisateurs pendant 30 jours.
Pour configurer Sophos Mobile, vous allez avoir besoin de l’adresse électronique que vous avez
utilisée pour vous inscrire pour télécharger le programme d’installation.
3.2 Mise à niveau des licences d’essai vers des
licences complètes
Pour mettre à niveau vos licences d’essai vers des licences complètes, il vous suffit simplement de
saisir la clé de licence complète dans Sophos Mobile. Retrouvez plus de renseignements dans le
Manuel d’administration de Sophos Mobile.
3.3 Mise à jour des licences
Pour mettre à jour vos licences, veuillez activer la nouvelle clé de licence dans Sophos Mobile.
Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile
(anglais).
Copyright © 2018 Sophos Limited
3
Sophos Mobile
4 Installation de Sophos Mobile
Cette section décrit la procédure d’installation d’un nouveau serveur Sophos Mobile. Retrouvez plus
de renseignements sur la mise à jour d’une installation déjà existante à la section Mise à jour de
Sophos Mobile (page 24).
4.1 Conditions préalables à l’installation
Veuillez vérifier les conditions préalables à l’installation du serveur Sophos Mobile :
•
Vous avez lu le Guide de déploiement du serveur Sophos Mobile (anglais). Ce document
contient des exemples d’architecture pour l’intégration du serveur Sophos Mobile à
l’infrastructure de votre entreprise, des conseils sur les dimensions (tailles) à respecter et une
liste des ports et protocoles réseau requis.
•
Vous avez lu les Notes de publication de Sophos Mobile 8.6 (anglais) et vérifié que l’ordinateur
qui héberge le serveur Sophos Mobile (ordinateur serveur), les appareils à administrer et tous les
autres composants nécessaires sont compatibles avec Sophos Mobile.
•
Vous avez un certificat SSL/TLS pour le serveur Sophos Mobile. Retrouvez plus de
renseignements à la section Demande d’un certificat SSL/TLS (page 5).
•
Aucun serveur Web IIS (Internet Information Services) ou aucune autre application utilisant les
ports 80 ou 443 n’est installé sur l’ordinateur serveur.
•
Le nom DNS de l’ordinateur serveur peut être résolu sur Internet.
•
Il y a un ou plusieurs groupes LDAP contenant les utilisateurs autorisés à servir du Portail libreservice, si vos comptes d’utilisateur sont stockés dans l’annuaire LDAP.
Conditions préalables à respecter si vous voulez administrer la base de données Sophos Mobile
avec un serveur de base de données existant :
•
Microsoft SQL Server ou Microsoft SQL Server Express :
— L’authentification Windows ou SQL Server est utilisée.
— TCP/IP est activé.
— Le service Explorateur SQL Server est activé.
— La langue du compte utilisé pour la connexion à SQL est définie sur Anglais.
•
Microsoft SQL Server Express :
— Les outils d’administration de SQL sont installés.
4.2 Conditions requises pour l'environnement
système
Le programme d’installation de Sophos Mobile procède à une série de tests pour vérifier que votre
environnement système remplit toutes les conditions requises à l’installation de Sophos Mobile.
Ces conditions sont :
•
4
Vous êtes administrateur de l’ordinateur.
Copyright © 2018 Sophos Limited
Sophos Mobile
•
Le système d’exploitation de l’ordinateur est compatible avec Sophos Mobile.
•
L’ordinateur est équipé d’au moins un adaptateur réseau.
•
L’ordinateur dispose d’au moins 4 Go de mémoire RAM.
•
Le serveur Web Microsoft Internet Information Services (IIS) est désactivé sur l’ordinateur.
•
Les ports HTTP/S suivants sont disponibles sur l’ordinateur : 80, 443, 8080, 8181
•
L’ordinateur peut se connecter au service APNs (Apple Push Notification service).
•
L’ordinateur peut se connecter au service Google Firebase Cloud Messaging (FCM).
•
L’ordinateur peut se connecter aux service reCAPTCHA de Google.
•
L’ordinateur peut se connecter au service Windows Push Notification.
•
L’ordinateur peut se connecter aux service Sophos.
•
Facultatif : l'ordinateur peut se connecter au service Web du Programme d'achat en volume
d'Apple (VPP).
•
Facultatif : l'ordinateur peut se connecter au service Web du Programme d’inscription d'appareils
Apple (DEP).
•
Facultatif : l'ordinateur peut se connecter au service Web Apple iTunes.
•
Facultatif : l'ordinateur peut se connecter au service Web Contournement du verrouillage
d'activation Apple.
•
Facultatif : l’ordinateur peut se connecter au service Web de Google pour Android pour les
entreprises.
•
Facultatif : l’ordinateur peut se connecter aux services Web de Microsoft pour la protection de l’app
Intune.
4.3 Demande d’un certificat SSL/TLS
Votre produit Sophos inclut un assistant « SSL Certificate Wizard » vous permettant de demander
votre certificat SSL/TLS pour le proxy EAS de Sophos Mobile. Exécutez l’assistant à partir du
dossier %MDM_HOME%\tools\Wizard ou téléchargez-le à sur www.sophos.com/mysophos.
Remarque
Si vous utilisez un certificat autosigné ou un certificat émis par votre propre autorité de certification,
les restrictions suivantes s’appliquent :
•
Vous devez installer manuellement le certificat autosigné ou le certificat de votre autorité de
certification sur vos appareils avant de les inscrire à Sophos Mobile. Si vous n’effectuez pas
cette opération, l’app Sophos Mobile Control ne fera pas confiance à votre serveur et refusera
de se connecter. Les certificats émis par une autorité de certification mondialement reconnue
ne nécessitent pas d’installation manuelle.
•
Vous ne pouvez pas installer les apps Android à partir de fichiers APK hébergés sur le serveur
Sophos Mobile.
•
Vous ne pouvez pas utiliser l’inscription Zero-touch d’Android ou Samsung Knox Mobile
Enrollment.
Pour demander votre certificat SSL/TLS :
•
Démarrez l’assistant SSL Certificate Wizard en cliquant deux fois sur le fichier Sophos Mobile SSL
Certificate Wizard.exe.
Copyright © 2018 Sophos Limited
5
Sophos Mobile
Un assistant vous guide tout au long de l’installation. Saisissez les informations requises en
prenant en compte les instructions suivantes :
a) Sur la page Upload CSR, vous pouvez cliquer sur le bouton Open CSR pour ouvrir le fichier
CSR si votre éditeur de certificat prend en charge la fonction copier/coller.
b) Sur la page Import Certificate Files, saisissez le certificat de l’autorité de certification téléchargé
sur la page Upload CSR dans le champ Select CA certificate file.
c) L’emplacement du certificat est affiché sur la page Certificate created. Veuillez indiquer cet
emplacement lorsque vous installez Sophos Mobile.
Remarque
Veuillez créer une sauvegarde du dossier contenant les fichiers de certificat.
4.4 Installation et configuration du serveur Sophos
Mobile
Conditions préalables :
•
Si vous prévoyez de connecter Sophos Mobile à une base de données déjà existante, assurezvous que les codes d’accès de connexion à la base de données sont disponibles avant de
commencer l’installation. Assurez-vous également d’avoir les autorisations adéquates pour
créer de nouvelles banques de données, des nouveaux comptes d’utilisateur et de nouveaux
enregistrements de données.
•
Si la base de données n’est pas locale, vous allez devoir accéder au port TCP 1433 (pour
Microsoft SQL Server) ou 3306 (pour MySQL). Par ailleurs, vous devez disposer d’un compte
administrateur que le serveur Sophos Mobile va utiliser pour se connecter à la base de données.
1. Exécutez le programme d’installation de Sophos Mobile en tant qu’administrateur et lisez et
acceptez le contrat de licence (License Agreement).
2. Sur la page System Property Checks, cliquez sur Check pour vérifier que votre environnement
système remplit toutes les conditions requises à l’installation de Sophos Mobile. Retrouvez plus de
renseignements à la section Conditions requises pour l'environnement système (page 4).
Vous pouvez cliquer sur Report pour créer un rapport de résultats.
3. Sur la page Choose Install Location, sélectionnez le dossier de destination du serveur Sophos
Mobile.
4. Sur la page Database Type Selection, sélectionnez le type de base de données que vous voulez
utiliser :
•
Install and use Microsoft SQL Server Express: installe SQL Server 2016 Express et le
configure pour une utilisation avec Sophos Mobile.
•
Use existing Microsoft SQL Server installation: utilise votre installation déjà existante de
Microsoft SQL Server et crée une nouvelle base de données pour Sophos Mobile.
•
Use existing MySQL installation: utilise votre installation déjà existante de MySQL et crée une
nouvelle base de données pour Sophos Mobile.
5. Sur la page Database Settings, saisissez les codes d’accès de connexion pour la base de
données.
6
Copyright © 2018 Sophos Limited
Sophos Mobile
Remarque
Si vous sélectionnez l’option Use SQL Server Authentification, assurez-vous que la langue
de connexion à SQL est définie sur Anglais. Retrouvez plus de renseignements à la section
Changement de langue de connexion à SQL (page 9).
6. Sur la page Database Selection, cliquez sur Create a new database named et saisissez un nom
pour la base de données à créer (par exemple ; SMCDB).
7. La page Database Configuration affiche des messages de progression de la création de la base de
données.
Lorsque la base de données a été créée avec succès et que des données y ont été enregistrées,
cliquez sur Next pour continuer.
8. Si vous avez sélectionné l’authentification Windows pour l’accès à la base de données, la page
Set service credentials vous permet de définir le compte Windows sous lequel le service Sophos
Mobile va s’exécuter.
Vous pouvez utiliser le compte Système local ou un compte d’utilisateur. Dans le dernier cas,
saisissez le compte d’utilisateur au format <nom ordinateur>\<nom utilisateur> ou
<domaine>\<nom utilisateur>.
Le programme d’installation va assigner les droits d’accès à la base de données à ce compte.
Remarque
Pour des raisons de sécurité, nous vous conseillons d’exécuter le service Sophos Mobile
en tant qu’utilisateur avec droits d’accès limités. Le compte d’utilisateur doit disposer des
propriétés suivantes :
•
Le compte d’utilisateur est un compte Windows local sur l’ordinateur sur lequel Sophos
Mobile est installé.
•
L’utilisateur n’appartient à aucun groupe, même pas à un groupe d’utilisateurs.
•
L’utilisateur peut accéder à votre base de données SQL avec les droits de modification
nécessaires. Pour une base de données MS-SQL, ceci signifie que l’utilisateur doit être
membre des rôles db_datareader et db_datawriter.
9. Sur la page Configure super admin account, configurez les informations du compte pour
l’administrateur.
Le rôle principal du super administrateur est de gérer les clients. Ce rôle ne doit pas être utilisé
pour les opérations d’administration usuelles des appareils. Le super administrateur se connecte
au client super administrateur et peut, par exemple, prédéfinir les paramètres pour les nouveaux
clients et déployer ces paramètres et configurations aux clients existants. Retrouvez plus de
renseignements dans le Guide du super administrateur de Sophos Mobile (anglais).
Remarque
Les codes d’accès du super administrateur sont requis pour la première connexion à Sophos
Mobile Admin. Suite à l’installation, d’autres super administrateurs peuvent être ajoutés à
Sophos Mobile Admin.
10. Sur la page Configure external server name, saisissez un nom de serveur Sophos Mobile (par
exemple smc.monentreprise.fr).
Copyright © 2018 Sophos Limited
7
Sophos Mobile
Remarque
Le nom du serveur doit pouvoir être résolu par les appareils administrés.
11. Sur la page Configure server certificate, importez un certificat pour bénéficier de l’accès sécurisé
(HTTPS) au serveur Web.
•
Si vous avez un certificat approuvé, cliquez sur Import a certificate from a trusted issuer et
sélectionnez l’une des options suivantes dans la liste déroulante :
•
Si vous n’avez pas encore de certificat approuvé, sélectionnez Create self-signed certificate.
Remarque
Votre produit Sophos inclut l’assistant « SSL Certificate Wizard » vous permettant de
demander votre certificat SSL/TLS pour Sophos Mobile. Retrouvez plus de renseignements à
la section Demande d’un certificat SSL/TLS (page 5).
12. Sur la page suivante, saisissez les informations sur le certificat selon le type de certificat que vous
avez sélectionné.
Remarque
Pour un certificat auto-signé, vous devez indiquer un serveur qui est accessible à partir des
appareils administrés.
13. Sur la page Server Information, vérifiez les informations du serveur et cliquez sur Next pour
confirmer le serveur et la procédure de configuration.
14. Lorsque l’installation est terminée, la boîte de dialogue Sophos Mobile Control - Installation finished
s’affiche. Assurez-vous que la case Start Sophos Mobile server now est sélectionnée et cliquez sur
Finishpour démarrer le service Sophos Mobile pour la première fois.
Remarque
L’interface Web Sophos Mobile sera disponible quelques minutes après le démarrage du
service.
Suite à l’installation, vous allez devoir effectuer quelques étapes de configuration initiale :
8
•
Configurez le serveur Web Sophos Mobile pour qu’il accepte uniquement les requêtes envoyées
à votre nom de domaine. Retrouvez plus de renseignements à la section Configuration du serveur
Web Sophos Mobile (page 9).
•
Connectez-vous à Sophos Mobile Admin pour la première fois afin de démarrer l’assistant
Premières étapes. Retrouvez plus de renseignements dans le Guide de démarrage de Sophos
Mobile.
•
Pour les appareils iOS, vous devez obtenir un certificat du service Apple Push Notification.
Retrouvez plus de renseignements dans le Guide de démarrage de Sophos Mobile.
•
Vous avez également la possibilité de configurer un proxy EAS autonome pour le filtrage de la
messagerie. Retrouvez plus de renseignements à la section Proxy EAS autonome (page 10).
Copyright © 2018 Sophos Limited
Sophos Mobile
4.5 Configuration du serveur Web Sophos Mobile
Sophos Mobile inclut un composant de serveur Web permettant de fournir le contenu de Sophos
Mobile Admin et des applications Web du Portail libre-service. Vous pouvez configurer le serveur Web
en fonction de votre environnement.
Les requêtes envoyées à un serveur Web incluent le champ « Host » dans l’en-tête de la requête
indiquant l’application Web qui va traiter la requête. Un cybercriminel peut potentiellement manipuler
la valeur du champ « Host » afin de créer un comportement inattendu.
Suite à l’installation, le composant du serveur Web de Sophos Mobile ne vérifie pas la valeur du
champ « Host ». Nous vous conseillons de configurer le serveur Web afin qu’il accepte uniquement
les requêtes envoyées à votre nom de domaine.
1. Sur l’ordinateur sur lequel vous avez installé le serveur Sophos Mobile, exécutez le script
%MDM_HOME%\tools\HostValidationUndertowFilter\addModule.bat
Remplacez %MDM_HOME% par votre dossier d’installation Sophos Mobile.
2. Ouvrez le fichier %MDM_HOME%\wildfly\standalone\configuration\smc-config.xml
dans un éditeur de texte et recherchez la section suivante :
<filter name="hostheadervalidation" ...>
<param name="allowedHosts" value="localhost"/>
</filter>
3. Après localhost, ajoutez votre nom de domaine pour Sophos Mobile Admin et pour le Portail
libre-service.
Par exemple, si votre nom de domaine est smc.exemple.com, modifiez le ligne comme suit :
<param name="allowedHosts" value="localhost,smc.exemple.com"/>
Si votre serveur Sophos Mobile est accessible sous plusieurs noms de domaine, saisissez tous
les noms en les séparant par des virgules.
4. Enregistrez le fichier smc-config.xml
5. Redémarrez le service Sophos Mobile.
4.6 Changement de langue de connexion à SQL
Si vous avez configuré le serveur Sophos Mobile pour utiliser l’authentification SQL Server pour
vous connecter à la base de données, la langue de connexion à SQL doit être l’anglais. En cas
contraire, une erreur survient au démarrage du service Sophos Mobile.
Cette rubrique décrit la manière de changer la langue de connexion à SQL sur l’anglais.
1. Arrêtez le service Sophos Mobile.
2. Ouvrez SQL Server Management Studio sur le serveur et sélectionnez Sécurité > Connexions.
3. Sur la page Général des Propriétés de la connexion, définissez la Langue par défaut sur l’anglais,
puis cliquez sur OK pour enregistrer vos modifications.
4. Redémarrez le service Sophos Mobile.
Copyright © 2018 Sophos Limited
9
Sophos Mobile
5 Proxy EAS autonome
Vous pouvez configurer un proxy EAS pour contrôler l’accès de vos appareils administrés à un
serveur de messagerie. Le trafic de messagerie de vos appareils administrés est acheminé par le
biais de ce proxy. Vous pouvez bloquer l’accès de ces appareils à la messagerie si, par exemple, un
appareil enfreint une règle de conformité.
Les appareils doivent être configurés pour utiliser le proxy EAS en tant que serveur de messagerie
pour les emails entrants et sortants. Le proxy EAS transfère uniquement le trafic vers le serveur
de messagerie si l’appareil est déclaré dans Sophos Mobile et qu’il respecte les stratégies mises
en place. Un plus haut niveau de sécurité est ainsi garanti car il n’est pas nécessaire d’accéder au
serveur de messagerie via Internet et que seuls les appareils sont autorisés (s’ils sont configurés
correctement, par exemple en respectant les consignes en matière de code secret) à y accéder.
Vous pouvez également configurer le proxy EAS pour bloquer l’accès à des appareils spécifiques.
Il existe deux types de proxy EAS :
•
Le proxy EAS interne qui est installé automatiquement avec Sophos Mobile. Il est compatible
avec le trafic ActiveSync utilisé par Microsoft Exchange ou IBM Notes Traveler pour iOS et avec
les appareils Samsung Knox.
•
Un proxy EAS autonome qui peut être téléchargé et installé séparément. Il communique avec le
serveur Sophos Mobile par le biais d’une interface Web HTTPS.
Remarque
Pour des raisons de performances, nous vous conseillons d’utiliser le serveur proxy EAS
autonome plutôt que la version interne lorsque vous devez administrer le trafic de messagerie de
plus de 500 appareils client.
Remarque
Le protocole ActiveSync n’est pas pris en charge par macOS. Vous ne pouvez donc pas utiliser le
proxy interne ou autonome pour filtrer le trafic de messagerie provenant des Macs.
Fonctions
Le proxy EAS autonome comprend plus de fonctions que la version interne :
10
•
Compatible avec IBM Notes Traveler sur les appareils non iOS (par exemple, Android). Le client
Traveler sur ces appareils utilise un protocole (qui n’est pas ActiveSync) qui n’est pas compatible
avec le proxy EAS interne.
•
Compatible avec de nombreux serveurs de messagerie Microsoft Exchange ou IBM Notes
Traveler. Vous pouvez configurer une instance du proxy EAS par serveur de messagerie.
•
Compatible avec l’équilibrage de charge. Vous pouvez configurer plusieurs instances de serveurs
proxy EAS autonomes sur plusieurs ordinateurs, puis utiliser un mécanisme d’équilibre de charge
pour distribuer les demandes du client sur ceux-ci.
•
Compatible avec l’authentification du certificat client. Vous pouvez sélectionner un certificat à partir
d’une autorité de certification (AC) depuis laquelle les certificats client doivent provenir.
•
Compatible avec le contrôle d’accès à la messagerie avec PowerShell. Dans ce cas de figure, le
service du proxy EAS communique avec le serveur de messagerie par le biais de PowerShell afin
de contrôler l’accès à la messagerie de vos appareils administrés. Le trafic de messagerie transite
Copyright © 2018 Sophos Limited
Sophos Mobile
directement des appareils vers le serveur de messagerie et n’est pas acheminé par un proxy.
Retrouvez plus de renseignements à la section Installation du contrôle d’accès à la messagerie
avec PowerShell (page 15).
•
Le proxy EAS mémorise l’état de l’appareil pendant 24 heures. Si le serveur Sophos Mobile est
hors connexion, par exemple lors d’une mise à jour, le trafic de messagerie est filtré selon le
dernier état connu de l’appareil. Après 24 heures, tout le trafic de messagerie est bloqué.
Remarque
Pour les appareils non iOS, les fonctionnalités de filtrage du proxy EAS autonome sont limitées en
raison des caractéristiques spécifiques du protocole IBM Notes Traveler. Les clients Traveler sur
les appareils non iOS n’envoient pas l’identifiant de l’appareil à chaque demande. Les demandes
effectuées sans identifiant d’appareil sont toujours transférées au serveur Traveler. Toutefois, le
proxy EAS n’est pas en mesure de vérifier si l’appareil est autorisé.
5.1 Cas de figure d’utilisation du proxy EAS
autonome
Remarque
En plus des instructions de cette section, le Guide de déploiement du serveur Sophos Mobile
(anglais) contient des diagrammes représentant l’intégration du proxy EAS autonome à
l’infrastructure de votre entreprise. Nous vous conseillons de lire ces informations avant d’installer
et de déployer le proxy EAS autonome.
Un serveur proxy EAS autonome doit être utilisé dans les cas de figure suivants.
Vous utilisez IBM Notes Traveler (anciennement IBM Lotus Notes
Traveler) pour les appareils non iOS.
Le proxy EAS interne ne convient pas à ce cas de figure car il n’est pas compatible avec le protocole
ActiveSync utilisé par Microsoft Exchange et IBM Notes Traveler sur les appareils iOS. IBM Notes
Traveler pour les appareils non iOS (par exemple, Android) utilise un protocole différent qui est
compatible avec le proxy EAS autonome.
Pour les appareils non iOS, il est nécessaire d’utiliser le logiciel client Traveler. Ce logiciel est
disponible sur <serveur-traveler>/servlet/traveler ou sur le système de fichiers Traveler.
Les fonctions Installer l’app et Désinstaller l’app de Sophos Mobile peuvent être utilisées pour
installer et désinstaller le logiciel client Traveler. La configuration doit être effectuée manuellement.
Vous voulez prendre en charge plusieurs serveurs backend
Le proxy EAS autonome vous permet de configurer plusieurs instances des systèmes de
messagerie backend. Chaque instance nécessite un port TCP entrant. Chaque port se connecte à
un backend différent. Vous avez besoin d’une URL par instance de proxy EAS.
Copyright © 2018 Sophos Limited
11
Sophos Mobile
Vous voulez configurer l’équilibrage de charge pour EAS
Vous pouvez configurer plusieurs instances de serveurs proxy EAS autonomes sur plusieurs
ordinateurs, puis utiliser un mécanisme d’équilibre de charge pour distribuer les demandes du client
sur ceux-ci.
Dans ce cas de figure, utilisez un mécanisme d’équilibre de charge déjà existant pour HTTP.
Vous voulez utiliser l’authentification par certificat client
Dans ce cas de figure, une infrastructure de clés publiques (PKI) doit être utilisée et la partie
publique du certificat de l’autorité de certification doit être définie dans le proxy EAS.
Vous devez administrer plus de 500 appareils.
Pour des raisons de performances, nous vous conseillons d’utiliser le serveur proxy EAS autonome
plutôt que la version interne lorsque vous devez administrer le trafic de messagerie de plus de 500
appareils client.
5.2 Téléchargement du programme d’installation du
serveur proxy EAS
1. Connectez-vous à Sophos Mobile Admin en tant que super administrateur.
2. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système,
puis sur l’onglet Proxy EAS.
3. Sous Externe, cliquez sur le lien pour télécharger le programme d’installation du proxy EAS.
Le fichier du programme d’installation est enregistré localement sur votre ordinateur.
5.3 Installation d’un proxy EAS autonome
Conditions préalables :
•
Sophos Mobile a été installé et configuré.
•
Tous les serveurs de messagerie nécessaires sont accessibles. Le programme d’installation du
proxy EAS ne configurera pas les connexions aux serveurs qui ne sont pas disponibles.
•
Vous êtes un administrateur sur l’ordinateur sur lequel vous installez le proxy EAS.
Remarque
Le Guide de déploiement du serveur Sophos Mobile (anglais) contient des schémas d’intégration
du proxy EAS autonome à l’infrastructure de votre entreprise. Nous vous conseillons de lire ces
informations avant d’installer et de déployer le proxy EAS autonome.
1. Exécutez Sophos Mobile EAS Proxy Setup.exe pour démarrer l’assistant Sophos Mobile
EAS Proxy - Setup Wizard.
12
Copyright © 2018 Sophos Limited
Sophos Mobile
2. Sur la page Choose Install Location, sélectionnez le dossier de destination et cliquez sur Install
pour commencer l’installation.
Une fois l’installation terminée, l’assistant Sophos Mobile EAS Proxy - Configuration Wizard
démarre automatiquement et vous guide tout au long des étapes de configuration.
3. Dans la boîte de dialogue Sophos Mobile server configuration, saisissez l’URL du serveur SMC
auquel va se connecter le proxy EAS.
Veuillez également sélectionner Use SSL for incoming connections (Clients to EAS Proxy) pour
sécuriser la communication entre les clients et le proxy EAS.
Vous avez également la possibilité de sélectionner Use client certificates for authentication si
vous voulez que les clients utilisent un certificat en plus des codes d’accès du proxy EAS pour
l’authentification. La sécurité de la connexion bénéficiera ainsi d’un niveau supplémentaire de
sécurité.
Sélectionnez Allow all certificates si votre serveur Sophos Mobile présente différents certificats
au proxy EAS. Par exemple, s’il y a plusieurs instances du serveur sur un équilibreur de
charge et que chacune de ces instances utilise un certificat différent. Lorsque cette option est
sélectionnée, le proxy EAS accepte tous les certificats provenant du serveur Sophos Mobile.
Important
L’option Allow all certificates réduit le niveau de sécurité de la communication avec le serveur.
Aussi, nous vous conseillons vivement de la sélectionner uniquement si elle est requise par
votre environnement réseau.
4. Si vous avez sélectionné Use SSL for incoming connections (Clients to EAS Proxy) à l’étape
précédente, la page Configure server certificate s’ouvre. Cette page vous permet de créer ou
d’importer un certificat pour bénéficier de l’accès sécurisé (HTTPS) au proxy EAS.
Remarque
Votre produit Sophos inclut l’assistant « SSL Certificate Wizard » vous permettant de
demander votre certificat SSL/TLS pour le proxy EAS de Sophos Mobile. Retrouvez plus de
renseignements à la section Demande d’un certificat SSL/TLS (page 5).
•
Si vous n’avez pas encore de certificat approuvé, sélectionnez Create self-signed certificate.
•
Si vous avez un certificat approuvé, cliquez sur Import a certificate from a trusted issuer et
sélectionnez l’une des options suivantes dans la liste :
— PKCS12 with certificate, private key and certificate chain (intermediate and CA)
— Separate files for certificate, private key, intermediate and CA certificate
5. Sur la page suivante, saisissez les informations sur le certificat selon le type de certificat que vous
avez sélectionné.
Remarque
Pour un certificat auto-signé, vous devez indiquer un serveur qui est accessible à partir des
appareils client.
6. Si vous avez sélectionné Use client certificates for authentication à l’étape précédente, la page
SMC client authentication configuration s’ouvre. Sur cette page, vous pouvez sélectionner un
certificat à partir d’une autorité de certification (AC) depuis laquelle les certificats client doivent
provenir.
Lorsqu’un client essaye de se connecter, le proxy EAS vérifie si le certificat client provient de
l’autorité de certification que vous avez indiquée ici.
Copyright © 2018 Sophos Limited
13
Sophos Mobile
7. Sur la page EAS Proxy instance setup, configurez une ou plusieurs instances proxy EAS.
•
Instance type: sélectionnez EAS proxy.
•
Instance name: un nom pour identifier l’instance.
•
Server port : le port du proxy EAS pour le trafic de messagerie entrant. Si vous avez configuré
plusieurs instances de proxy, chacune d’entre elles doit impérativement utiliser un port
différent.
•
Require client certificate authentication: les clients de messagerie doivent s’authentifier lors de
la connexion au proxy EAS.
•
ActiveSync server: le nom ou l’adresse IP de l’instance du serveur Exchange ActiveSync
auquel l’instance du proxy va se connecter.
•
SSL : la communication entre l’instance du proxy et le serveur Exchange ActiveSync est
sécurisée par SSL ou TLS (selon la compatibilité du serveur).
•
Allow EWS subscription requests from Secure Email: sélectionnez cette option pour permettre
à l’app Sophos Secure Email sur iOS de s’abonner aux notifications push via les services
Web Exchange. Les notifications push informent l’appareil de la présence de messages pour
Sophos Secure Email.
Remarque
— Par défaut et pour des raisons de sécurité, le proxy EAS bloque toutes les demandes
au serveur Exchange de l’interface du service web Exchange. Si vous sélectionnez
cette case, les demandes d’abonnement sont autorisées. Toutes les autres demandes
sont bloquées.
— Retrouvez plus de renseignements sur la configuration d’EWS pour votre serveur
Exchange dans l’article 127137 de la base de connaissances Sophos.
•
Enable Traveler client access : sélectionnez uniquement cette case pour autoriser l’accès au
client IBM Notes Traveler sur les appareils non iOS.
8. Après avoir saisi les informations sur l’instance, cliquez sur Add pour ajouter l’instance à la liste
Instances.
Pour chaque instance de proxy, le programme d’installation va créer un certificat que vous devrez
télécharger sur le serveur Sophos Mobile. Après avoir cliqué sur Add, une fenêtre s’ouvre et affiche
un message d’instructions de téléchargement du certificat.
9. Dans la fenêtre du message, cliquez sur OK.
Une boîte de dialogue va s’ouvrir et afficher le dossier dans lequel le certificat a été créé.
Remarque
Vous pouvez également ouvrir la boîte de dialogue en sélectionnant l’instance adéquate et en
cliquant sur le lien Export config and upload to Sophos Mobile server de la page EAS Proxy
instance setup.
10. Notez le nom du dossier du certificat. Vous allez avoir besoin de cette information lorsque vous
allez téléchargé le certificat dans Sophos Mobile.
11. Facultatif : Cliquez de nouveau sur Add pour configure des instances supplémentaires du proxy
EAS.
12. Lorsque vous avez configuré toutes les instances du proxy EAS requises, cliquez sur Next.
Les ports du serveur que vous avez saisis seront testés et les règles entrantes du pare-feu
Windows seront configurées.
14
Copyright © 2018 Sophos Limited
Sophos Mobile
13. Sur la page Allowed mail user agents, vous pouvez indiquer les agents utilisateurs de la
messagerie (applications clientes de messagerie) qui sont autorisés à se connecter au proxy EAS.
Si un client se connecte au proxy EAS à l’aide d’une application de messagerie qui n’a pas été
indiquée, la demande sera rejetée.
•
Sélectionnez Allow all mail user agents pour définir aucune restriction.
•
Sélectionnez Only allow the specified mail user agents puis sélectionnez un agent utilisateur
de la messagerie dans la liste. Cliquez sur Add pour ajouter l’entrée à la liste des agents
autorisés. Répétez cette opération pour tous les agents utilisateurs de la messagerie autorisés
à se connecter au proxy EAS.
14. Sur la page Sophos Mobile EAS Proxy - Configuration Wizard finished, cliquez sur Finish pour
fermer l’assistant de configuration et retourner dans l’assistant d’installation.
15. Dans l’assistant d’installation, assurez-vous que la case Start Sophos Mobile EAS Proxy server
now est sélectionnée et cliquez sur Finish pour terminer la configuration et démarrer le proxy EAS
de Sophos Mobile pour la première fois.
Pour terminer la configuration du proxy EAS, téléchargez les certificats qui ont été créés pour chaque
instance du proxy dans Sophos Mobile :
16. Connectez-vous à Sophos Mobile Admin en tant que super administrateur.
17. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système
puis sur l’onglet Proxy EAS.
18. Sous Externe, cliquez sur Télécharger un fichier. Téléchargez le certificat créé par l’assistant
d’installation pour la connexion PowerShell.
Si vous avez créé plusieurs instances, répétez cette opération pour tous les certificats d’instance.
19. Cliquez sur Enregistrer.
20. Dans Windows, ouvrez la boîte de dialogue Services et redémarrez le service EASProxy.
21. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système
puis sur l’onglet Proxy EAS.
22. Sous Externe, cliquez sur Télécharger un fichier. Téléchargez le certificat créé par l’assistant
d’installation pour la connexion PowerShell.
Si vous avez créé plusieurs instances, répétez cette opération pour tous les certificats d’instance.
23. Cliquez sur Enregistrer.
24. Dans Windows, ouvrez la boîte de dialogue Services et redémarrez le service EASProxy.
Cette opération termine l’installation initiale du proxy EAS autonome.
Remarque
Chaque jour, les entrées de journal du proxy EAS sont déplacées dans un nouveau fichier en
utilisant le format EASProxy.log.aaaa-mm-jj. Ces fichiers journaux quotidiens ne sont pas
supprimés automatiquement et peuvent entraîner des problèmes d’espace disque au bout d’un
certain temps. Nous vous conseillons dont de mettre en place un processus qui déplacera les
fichiers journaux vers un emplacement de sauvegarde.
5.4 Installation du contrôle d’accès à la messagerie
avec PowerShell
Vous pouvez établir une connexion PowerShell à un serveur Exchange ou Office 365. Ceci signifie
que le service du proxy EAS communique avec le serveur de messagerie par le biais de PowerShell
afin de contrôler l’accès à la messagerie de vos appareils administrés. Le trafic de messagerie est
Copyright © 2018 Sophos Limited
15
Sophos Mobile
directement acheminé des appareils vers le serveur de messagerie. Il n’est pas acheminé par le
biais d’un proxy.
Remarque
Retrouvez un diagramme de la communication PowerShell dans le Guide de déploiement du
serveur Sophos Mobile (anglais).
Remarque
Le protocole ActiveSync n’est pas pris en charge par macOS. Vous ne pouvez donc pas utiliser
PowerShell pour contrôler l’accès à la messagerie des Macs.
Le recours à PowerShell présente les avantages suivants :
•
Les appareils communiquent directement avec le serveur Exchange.
•
Vous n’avez pas besoin d’ouvrir un port sur votre serveur pour le trafic de messagerie entrant à
partir de vos appareils administrés.
Les serveurs de messagerie compatibles sont :
•
Exchange Server 2013
•
Exchange Server 2016
•
Office 365 avec un plan Exchange Online
Pour créer une communication PowerShell :
1. Configurez PowerShell.
2. Créez un compte de service sur le serveur Exchange ou dans Office 365. Ce compte est utilisé par
Sophos Mobile pour exécuter les commandes PowerShell.
3. Créez une ou plusieurs instances de connexion PowerShell vers Exchange ou Office 365.
4. Téléchargez des certificats de l’instance dans Sophos Mobile.
Configuration de PowerShell
1. Sur l’ordinateur sur lequel vous allez installer le proxy EAS, ouvrez Windows PowerShell en tant
qu’administrateur et saisissez :
PS C:\Windows\system32> Set-ExecutionPolicy RemoteSigned
Remarque
Si PowerShell n’est pas disponible, veuillez l’installer conformément aux instructions de
l’article de Microsoft Installation de Windows PowerShell (lien externe).
2. Si vous voulez connecter un serveur Exchange local, ouvrez Windows PowerShell en tant
qu’administrateur sur cet ordinateur et saisissez la même commande qu’auparavant :
PS C:\Windows\system32> Set-ExecutionPolicy RemoteSigned
Remarque
Cette étape n’est pas nécessaire sur Office 365.
Création d’un compte de service
16
Copyright © 2018 Sophos Limited
Sophos Mobile
3. Connectez-vous à la console d’administration adéquate.
•
Pour Exchange Server 2013/2016 : Centre d’administration Exchange
• Pour Office 365 : Centre d’administration Office 365
4. Créez un compte de service. Ce compte est utilisé en tant que compte de service par Sophos
Mobile pour exécuter les commandes PowerShell.
•
Utilisez un nom d’utilisateur tel que smc_powershell pour identifier le but du compte.
•
Désactivez le paramètre pour vous assurer que l’utilisateur change son mot de passe à sa
prochaine connexion.
•
Retirez toute licence Office 365 qui était automatiquement assignée au nouveau compte. Les
comptes de service ne nécessite pas de licence.
5. Créez un nouveau groupe de rôles et assignez lui les autorisations adéquates.
•
Utilisez un nom de groupe de rôles tel que smc_powershell.
•
Ajoutez les rôles Mail Recipients et Organization Client Access.
• Ajoutez le compte de service en tant que membre.
Création des connexions PowerShell
6. Utilisez l’assistant d’installation de la même manière que pour installer un proxy EAS autonome.
Sur la page de l’assistant EAS Proxy instance setup, configurez les paramètres suivants :
•
Instance type: Sélectionnez PowerShell Exchange/Office 365.
•
Instance name: un nom pour identifier l’instance.
•
Exchange server: le nom ou l’adresse IP du serveur Exchange (pour une installation locale du
serveur Exchange) ou outlook.office365.com (pour Office 365). N’incluez pas de préfixe
https:// ou de suffixe /powershell. Ceux-ci seront ajoutés automatiquement.
•
Allow all certificates: le certificat que le serveur Exchange produit n’est pas vérifié. Utilisez ceci
si, par exemple, vous avez un certificat auto-signé installé sur votre serveur Exchange. L’option
Allow all certificates réduit le niveau de sécurité de la communication avec le serveur. Aussi,
nous vous conseillons vivement de la sélectionner uniquement si elle est requise par votre
environnement réseau.
•
Allow EWS subscription requests from Secure Email: sélectionnez cette option pour permettre
à l’app Sophos Secure Email sur iOS de s’abonner aux notifications push via les services
Web Exchange. Les notifications push informent l’appareil de la présence de messages pour
Sophos Secure Email.
Remarque
— Par défaut et pour des raisons de sécurité, le proxy EAS bloque toutes les demandes
au serveur Exchange de l’interface du service web Exchange. Si vous sélectionnez
cette case, les demandes d’abonnement sont autorisées. Toutes les autres demandes
sont bloquées.
— Retrouvez plus de renseignements sur la configuration d’EWS pour votre serveur
Exchange dans l’article 127137 de la base de connaissances Sophos.
•
Service account: le nom du compte d’utilisateur que vous avez créé dans la console
d’administration Exchange ou Office 365.
• Password: le mot de passe du compte d’utilisateur.
7. Cliquez sur Add pour ajouter l’instance à la liste Instances.
8. Facultatif : répétez les étapes précédentes pour établir des connexions PowerShell sur d’autres
serveurs Exchange ou Office 365.
Copyright © 2018 Sophos Limited
17
Sophos Mobile
9. Effectuez toutes les étapes de l’assistant d’installation comme indiqué à la section Installation d’un
proxy EAS autonome (page 12).
Téléchargement des certificats
10. Connectez-vous à Sophos Mobile Admin en tant que super administrateur.
11. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système
puis sur l’onglet Proxy EAS.
12. Facultatif : Sous Général, sélectionnez Restreindre à Sophos Secure Email pour limiter l’accès à la
messagerie à l’app Sophos Secure Email disponible pour Android et iOS.
Cette opération empêche à d’autres apps de messagerie de se connecter à votre serveur de
messagerie.
13. Sous Externe, cliquez sur Télécharger un fichier. Téléchargez le certificat créé par l’assistant
d’installation pour la connexion PowerShell.
Si vous avez créé plusieurs instances, répétez cette opération pour tous les certificats d’instance.
14. Cliquez sur Enregistrer.
15. Dans Windows, ouvrez la boîte de dialogue Services et redémarrez le service EASProxy.
Cette opération conclut la création des connexions PowerShell. Le trafic de messagerie entre un
appareil administré et les serveurs Exchange ou Office 365 est bloqué si l’appareil enfreint une règle
de conformité. Vous pouvez bloquer un appareil individuel en paramétrant le mode d’accès à la
messagerie pour cet appareil sur Deny.
Remarque
Selon la configuration de votre serveur Exchange, les appareils reçoivent une notification lorsque
leur accès à la messagerie est bloqué.
18
Copyright © 2018 Sophos Limited
Sophos Mobile
6 Équilibrage de charge et haute
disponibilité
Sophos Mobile permet de configurer un environnement en haute disponibilité. Ceci permet d’assurer
que le service SMC reste accessible en externe et que les tâches peuvent continuer à être traitées
même en cas d’échec d’un nœud du serveur Sophos Mobile. Pour cela, il est indispensable de
disposer de l’équilibrage de charge qui permet de distribuer des sessions client et navigateur à l’aide
d’un tourniquet (round robin) DNS.
Retrouvez ci-dessous une description sur la création d’un cluster pour Sophos Mobile et sur la
configuration d’un équilibre de charge avec Sophos UTM.
6.1 Conditions requises
•
Un serveur Windows séparé pour chaque nœud Sophos Mobile.
•
Tous les nœuds doivent être sur le même réseau.
•
Un serveur de base de données ou cluster Microsoft SQL ou MySQL.
•
Sophos UTM ou Apache Reverse Proxy (mod_proxy) pour l’équilibrage de charge. Le
mécanisme d’équilibrage de charge doit prendre en charge les cookies permanents et les
certificats officiels de serveur Web SSL/TLS.
Remarque
Retrouvez plus de renseignements sur les conditions d’installation dans les Notes de publication
de Sophos Mobile 8.6 (anglais).
Architecture
Retrouvez un exemple de cluster Sophos Mobile à trois nœuds dans le Guide de déploiement du
serveur Sophos Mobile (anglais).
Pour la communication multidiffusion entre chaque nœud Sophos Mobile, il est également
possible d’utiliser un réseau séparé. L’interface réseau à utiliser peut être sélectionnée pendant la
configuration du cluster conformément aux instructions de la section Configuration du premier nœud
(page 21). Il peut également s’agir d’un réseau local virtuel (VLAN).
Remarque
Si vous voulez utiliser un second cluster Sophos Mobile à des fins de test, vous allez avoir
besoin d’un réseau séparé.
Ports et protocoles
Le tableau ci-dessous vous indique les ports et protocoles requis pour la communication entre
chaque nœud d’un cluster de serveurs Sophos Mobile.
Copyright © 2018 Sophos Limited
19
Sophos Mobile
Protocole
Port
Destination
TCP
7600, 8181, 57600
<Entrant>
TCP
7600, 8181, 57600
<Sortant>
UDP
45700
<Entrant>
Certificats du serveur
Lorsque vous installez Sophos Mobile, vous configurez un certificat de serveur Web SSL/TLS qui
permet à l’app Sophos Mobile Control d’établir une connexion sécurisée au serveur Sophos Mobile.
Nous vous conseillons d’utiliser un certificat émis par une autorité de certification mondialement
reconnue. Dans un environnement en cluster avec plusieurs nœuds de serveur Sophos Mobile sur
un équilibreur de charge, cette solution ne sera probablement très pratique. Veuillez plutôt utiliser un
certificat auto-signé.
Remarque
Si vous utilisez un certificat autosigné ou un certificat émis par votre propre autorité de certification,
les restrictions suivantes s’appliquent :
•
Vous devez installer manuellement le certificat autosigné ou le certificat de votre autorité de
certification sur vos appareils avant de les inscrire à Sophos Mobile. Si vous n’effectuez pas
cette opération, l’app Sophos Mobile Control ne fera pas confiance à votre serveur et refusera
de se connecter. Les certificats émis par une autorité de certification mondialement reconnue
ne nécessitent pas d’installation manuelle.
•
Vous ne pouvez pas installer les apps Android à partir de fichiers APK hébergés sur le serveur
Sophos Mobile.
•
Vous ne pouvez pas utiliser l’inscription Zero-touch d’Android ou Samsung Knox Mobile
Enrollment.
6.2 Configuration des nœuds du cluster
Pour créer un environnement en cluster, installez d’abord le premier nœud comme indiqué à la
section Installation et configuration du serveur Sophos Mobile (page 6). La mise en clusters sera
activée à l’aide de l’assistant de configuration (Configuration Wizard).
Pour tous les autres nœuds, la base de données créée au cours de l’installation du premier nœud
doit être sélectionnée et la mise en clusters doit être activée.
Remarque
Il est également possible de configurer un serveur SMC déjà existant pour la mise en clusters et
d’étendre l’environnement en ajoutant des nœuds supplémentaires.
20
Copyright © 2018 Sophos Limited
Sophos Mobile
6.2.1 Configuration du premier nœud
1. Installez Sophos Mobile comme décrit à la section Installation et configuration du serveur Sophos
Mobile (page 6) et écrivez le nom de la base de données que vous avez créé. Indiquez cette base
de données lors de l’installation d’autres nœuds.
2. À la fin de l’installation, dessélectionnez l’option Start Sophos Mobile server now dans la boîte de
dialogue Sophos Mobile - Installation finished.
Remarque
Si le service Sophos Mobile a déjà été démarré, il sera automatiquement arrêté et redémarré
au cours de l’étape de configuration décrite plus tard dans cette section. Vous avez également
la possibilité d’arrêter le service à partir du menu de l’icône de la zone de notification du
système Sophos Mobile.
3. Sur le serveur, cliquez sur Start, allez dans Sophos Mobile et cliquez sur SMC Configuration
Wizard.
4. La page Welcome de l’assistant Sophos Mobile Configuration Wizard s’ouvre. Cliquez sur Next.
5. Sur la page Database Selection, sélectionnez Skip database configuration et cliquez sur Next.
6. Sur la page Choose configuration steps, sélectionnez Configure cluster support et cliquez sur Next.
7. Sur la page Cluster Configuration, utilisez la liste déroulante des interfaces réseau disponibles et
sélectionnez l’interface qui sera utilisée pour la communication en multidiffusion entre le nœud du
serveur que vous voulez configurer et les autres nœuds.
8. Cliquez sur les pages suivantes de l’assistant de configuration. Assurez-vous de cliquer sur Yes
lorsqu’il vous sera demandé si vous voulez démarrer le service SMC.
La configuration du premier nœud du serveur SMC est désormais terminée. Cliquez sur Finish
dans la boîte de dialogue Sophos Mobile - Configuration Wizard finished.
6.2.2 Configuration d’autres nœuds
1. Commencez l’installation de Sophos Mobile comme décrit à la section Installation et configuration
du serveur Sophos Mobile (page 6).
2. Sur la page Database selection, sélectionnez la base de données que vous avez créée lors de
l’installation du premier nœud et cliquez sur Next.
La boîte de dialogue Database configuration apparaît. Elle affiche la progression de l’opération de
configuration.
3. Sur la page Database configuration, patientez jusqu’à la fin de l’opération de configuration et
cliquez sur Next.
4. Sur la page Choose configuration steps, sélectionnez Configure cluster support et cliquez sur Next.
5. Sur la page Configure server certificate, créez un certificat auto-signé comme indiqué à la section
Installation et configuration du serveur Sophos Mobile (page 6) et cliquez sur Next.
6. Sur la page Cluster Configuration, utilisez la liste déroulante des interfaces réseau disponibles et
sélectionnez l’interface du nœud de serveur Sophos Mobile que vous souhaitez configurer, puis
cliquez sur Next.
7. Cliquez sur les pages suivantes de l’assistant de configuration. Sur la page Sophos Mobile Installation finished, sélectionnez Start Sophos Mobile server now pour démarrer le nœud du
cluster que vous venez de configurer.
8. Si vous avez configuré le composant du serveur Web de Sophos Mobile sur le premier nœud pour
accepter uniquement les requêtes envoyées à votre nom de domaine, répétez cette opération pour
Copyright © 2018 Sophos Limited
21
Sophos Mobile
tous les autres nœuds. Retrouvez plus de renseignements à la section Configuration du serveur
Web Sophos Mobile (page 9).
Si nécessaire, répétez cette procédure pour configurer d’autres nœuds.
6.3 Configuration de l’équilibrage de charge avec
Sophos UTM
Cette rubrique décrit la manière de configurer Sophos UTM en tant que mécanisme d’équilibrage de
charge pour un cluster de nœuds de serveur Sophos Mobile. Retrouvez plus de renseignements sur
la configuration de Sophos UTM dans la documentation Sophos UTM.
Remarque
• Pour pouvoir utiliser Sophos UTM pour la mise en clusters, vous devez avoir une licence
Sophos UTM avec un abonnement Sophos Webserver Protection.
•
Comme décrit plus tard dans cette section, vous devez indiquer le nom du certificat pour
protéger la communication entre les appareils administrés et le serveur Web virtuel que vous
avez configuré dans Sophos UTM. Pour plus de simplicité, nous vous conseillons d’utiliser le
même certificat que celui que vous avez utilisé pour le serveur Sophos Mobile. Retrouvez plus
de renseignements à la section Demande d’un certificat SSL/TLS (page 5). Si vous avez utilisé
un certificat auto-signé, veuillez impérativement utiliser ce même certificat.
1. Connectez-vous à Sophos UTM WebAdmin.
2. À partir de la section Webserver Protection du menu WebAdmin, allez dans l’onglet Pare-feu
d’application Web > Serveurs Web réels.
3. Cliquez sur Nouveau serveur Web réel pour créer un nœud SMC.
4. Sur la boîte de dialogue Ajouter un serveur Web réel, saisissez les paramètres suivants :
a) Nom : saisissez un nom descriptif pour le serveur Web (par exemple nœud SMC).
b) Hôte : sélectionnez ou ajoutez un hôte. Sélectionnez un hôte en cliquant sur le symbole
du dossier situé à côté du champ Hôte. Faites glisser un hôte à partir de la liste des hôtes
disponibles vers le champ Hôte.
Retrouvez plus de renseignements sur l’ajout d’une définition sous la rubrique Définitions du
réseau du Guide d’administration d’UTM.
c) Type : sélectionnez Chiffré (HTTPS).
Cliquez sur Enregistrer pour enregistrer la configuration.
Répétez l’étape précédente pour chaque nœud de serveur Sophos Mobile.
5. À partir de la section Webserver Protection du menu WebAdmin, allez dans l’onglet Gestion des
certificats > Certificats.
6. Cliquez sur Nouveau certificat pour charger un certificat de serveur Web SSL/TLS.
7. Sur la boîte de dialogue Ajouter un certificat, saisissez les paramètres suivants :
a) Nom : saisissez un nom descriptif pour le certificat.
b) Méthode : sélectionnez Charger.
c) Type de fichier : sélectionnez PKCS#12(Cert+CA)
d) Mot de passe : saisissez le mot de passe de votre fichier de certificat.
e) Fichier : cliquez sur l’icône à côté du champ Fichier, sélectionnez le certificat à télécharger et
cliquez sur Télécharger.
22
Copyright © 2018 Sophos Limited
Sophos Mobile
Cliquez sur Enregistrer pour enregistrer la configuration. Le certificat est ajouté à la liste des
Certificats.
8. À partir de la section Webserver Protection du menu WebAdmin, allez dans l’onglet Pare-feu
d’application Web > Serveurs Web virtuels.
9. Cliquez sur Nouveau serveur Web virtuel pour ajouter un serveur Web virtuel au cluster.
10. Dans la boîte de dialogue Ajouter un serveur Web virtuel, saisissez les paramètres suivants :
a) Nom : saisissez un nom descriptif pour le serveur Web virtuel (par exemple Cluster SMC).
b) Dans la liste Interface, sélectionnez l’interface WAN sur laquelle il sera possible d’avoir un
accès externe au cluster.
c) Type : sélectionnez Chiffré (HTTPS) et redirection.
d) Dans la liste Certificat, sélectionnez le certificat du serveur Web que vous avez téléchargé
précédemment.
e) Domaines (uniquement avec le certificat générique, c’est-à-dire, un certificat de clé publique
qui peut être utilisé sur divers sous-domaines) : saisissez les domaines pour lesquels le
serveur Web est responsable, par exemple, achat.exemple.fr ou utilisez l’icône Action
pour importer une liste de noms de domaine.
Les domaines doivent être saisis en tant que nom de domaine complet (FQDN).
Vous pouvez utiliser l’astérisque (*) en tant que caractère générique pour le préfixe du
domaine, par exemple : *.mondomaine.fr. Les domaines avec caractères génériques
sont considérés comme des paramètres de secours : le serveur Web virtuel avec l’entrée de
domaine générique est uniquement utilisé lorsqu’aucun autre serveur Web virtuel avec un
nom de domaine plus spécifique est configuré.
Exemple : une demande client a.b.c va rechercher les résultats a.b.c avant *.b.c et
avant *.c.
f)
Serveurs Web réels : sélectionnez les nœuds SMC que vous avez créés précédemment.
Important
Ne sélectionnez pas un profil de pare-feu.
11.
12.
13.
14.
Cliquez sur Enregistrer pour enregistrer la configuration. Le certificat est ajouté à la liste des
Serveurs Web virtuels.
Activez le serveur Web virtuel.
Le nouveau serveur Web virtuel est désactivé par défaut. Cliquez sur le commutateur pour activer
le serveur Web virtuel. La couleur du commutateur doit passer du gris (désactivé) au vert (activé).
Allez dans l’onglet Routage vers le site.
Dans la liste Serveurs Web virtuels, rendez-vous sur le serveur Web virtuel que vous avez ajouté
et cliquez sur Modifier.
Dans la boîte de dialogue Modifier le chemin de routage vers le site qui s’ouvre, cliquez sur
Avancés et sélectionnez Activer le cookie de session persistante.
Cliquez sur Enregistrer pour enregistrer la configuration.
Copyright © 2018 Sophos Limited
23
Sophos Mobile
7 Mise à jour de Sophos Mobile
Les installations serveur de Sophos Mobile peuvent être mises à jour directement des versions 8,
8.1 ou 8.5 à la version 8.6.
Les versions plus anciennes doivent d’abord être mises à jour à la version 8. Retrouvez plus de
renseignements dans la documentation de la version 8 de Sophos Mobile.
7.1 Mise à jour du serveur Sophos Mobile
Pour mettre à jour votre installation serveur Sophos Mobile à la version 8.6, veuillez exécuter le
programme d’installation de Sophos Mobile 8.6 et suivre les instructions. Le programme d’installation
détecte automatiquement si une installation existante doit être mise à jour à la version 8.6.
Une opération de vérification des propriétés du système sera effectuée avant que la mise à jour n’ait
lieu. Si toutes les vérifications sont validées, vous pouvez poursuivre avec la mise à jour. La base de
données et les fichiers seront automatiquement mis à jour sans intervention de l’utilisateur. Une fois
la mise à jour terminée, le service Sophos Mobile sera redémarré.
Remarque
Si vous avez utilisé l’authentification Windows lors de la première installation du serveur Sophos
Mobile, l’option Start Sophos Mobile server now sera grisée. Vous devez démarrer le service
manuellement.
7.2 Tâches postérieurs à la mise à jour
7.2.1 Reconfiguration du serveur Web Sophos Mobile
Si vous avez configuré le composant du serveur Web de Sophos Mobile pour qu’il accepte
uniquement les requêtes envoyées à votre nom de domaine, veuillez répéter cette opération après
avoir mis à jour Sophos Mobile. Retrouvez plus de renseignements à la section Configuration du
serveur Web Sophos Mobile (page 9).
7.2.2 Reconfiguration de l’inscription des ordinateurs Windows
au Portail libre-service
Si vous avez configuré l’inscription des ordinateurs Windows au Portail libre-service, veuillez ajuster
la configuration après avoir mis à jour Sophos Mobile de la version 8 à la version 8.6. Dans Sophos
Mobile 8, le package initial est une stratégie alors qu’il est une série de tâches à partir de Sophos
Mobile 8.1.
Dans Sophos Mobile Admin, veuillez effectuer les étapes suivantes :
1. Sous Séries de tâches > Windows, créez une nouvelle série de tâches contenant une tâche
Inscrire et, facultativement, une ou plusieurs tâches Assigner une stratégie et/ou Installer l’app.
Si nécessaire, créez des séries de tâches différentes pour les ordinateurs professionnels et
personnels.
24
Copyright © 2018 Sophos Limited
Sophos Mobile
2. Sous Configuration > Portail libre-service > Paramètres de groupe, sélectionnez les séries de
tâches indiquées comme packages initiaux pour la plate-forme Windows et cliquez sur la case à
côté de Windows.
Retrouvez plus de renseignements sur les séries de tâches et les paramètres du groupe du Portail
libre-service dans le Manuel d’administration de Sophos Mobile.
7.3 Mise à jour du cluster de serveurs
Lors de la mise à jour d’un cluster de nœuds de serveurs Sophos Mobile, il est important que tous les
nœuds soient toujours exécutés sur la même version et que la version du serveur corresponde à la
version de la base de données. Procédez de la manière suivante :
1. Arrêtez tous les nœuds de serveur en arrêtant le service Sophos Mobile sur tous les ordinateurs
concernés.
2. Mettez à jour le premier nœud comme indiqué à la section Mise à jour du serveur Sophos Mobile
(page 24).
Cette opération va également mettre à jour la base de données.
3. Démarrez le nœud du serveur mis à jour et assurez-vous que la mise à jour a réussie.
4. Mettez à jour les autres nœuds de serveur.
Conseil
Si vous utilisez le proxy EAS autonomes, vos appareils administrés ont accès à votre serveur de
messagerie même en cas d’arrêt de tous les nœuds de serveur Sophos Mobile. En effet, le proxy
EAS mémorise l’état de l’appareil pendant au moins 60 minutes lorsqu’il n’est pas connecté au
serveur Sophos Mobile.
7.4 Mise à jour du proxy EAS autonome
Pour mettre à jour votre proxy EAS autonome, exécutez le programme d’installation du proxy EAS
et suivez les instructions. Le programme d’installation détecte automatiquement si une installation
existante doit être mise à jour.
Si vous utilisez un groupe (« cluster ») de nœuds de serveurs proxy EAS derrière un équilibreur de
charge, procédez à la mise à jour de ces nœuds individuellement et dans l’ordre de votre choix.
Conseil
N’arrêtez pas tous les nœuds de serveurs proxy EAS en même temps. De cette manière, vous
êtes sûr que la communication par email de vos appareils administrés ne sera pas interrompue
pendant la mise à jour.
Copyright © 2018 Sophos Limited
25
Sophos Mobile
8 Référence technique
8.1 Fonctions du serveur Sophos Mobile
Le composant principal du produit Sophos Mobile est le serveur Sophos Mobile. Ses principales
caractéristiques sont :
•
Le serveur est connecté à Internet.
•
Le serveur permet de configurer un environnement en haute disponibilité.
•
L'administrateur contrôle le serveur à l'aide de l'interface Web.
•
Les utilisateurs peuvent enregistrer leurs appareils à l’aide du Portail libre-service ou se voir confier
un appareil qui a déjà été préparé par l’administrateur pour s’inscrire automatiquement.
•
Les appareils administrés se synchronisent avec le serveur par HTTPS.
•
Vous pouvez utiliser un Microsoft SQL Server déjà existant ou une base de données MySQL pour
stocker les appareils et les informations sur les applications. Vous avez également la possibilité de
laisser le programme d’installation de Sophos Mobile créer une nouvelle base de données à l’aide
de Microsoft SQL Server Express.
•
La base de données peut être hébergée sur le même ordinateur ou séparément. Ceci permet
d'utiliser des clusters de base de données.
•
Le serveur est compatible avec les configurations mutualisées permettant de disposer de différents
clients sur le même server.
•
L'accès à la messagerie est possible par le biais d'un proxy EAS intégré ou autonome. La variante
autonome nécessite l’accès HTTPS au serveur SMC.
Le serveur Sophos Mobile a été développé pour Java EE (Enterprise Edition). Il s’installe et
s’exécute sur le serveur d’applications WildFly qui a déjà fait ses preuves sur le marché et qui est
conforme aux normes de l’industrie.
Le serveur peut être installé sur des environnements virtuels.
8.2 Interfaces Web de Sophos Mobile
8.2.1 Interface d’administration de Sophos Mobile
Sophos Mobile est administré à l’aide d’une interface Web sécurisée par un nom de connexion et
par un mécanisme d’ouverture de session. Vous pouvez mettre en place des stratégies de mot de
passe. Le contrôle d’accès permet d’accéder à différents rôles d’utilisateur. Ces rôles ont différentes
séries de droits d’accès. Chaque utilisateur peut être assigné à un rôle exact.
Retrouvez plus de renseignements dans le Manuel d’administration de Sophos Mobile.
26
Copyright © 2018 Sophos Limited
Sophos Mobile
8.2.2 Interface super administrateur
Le super administrateur est principalement utilisé pour créer et administrer des clients pour la
gestion des mobiles. Le premier compte super administrateur est créé au cours de l’installation
de Sophos Mobile. Retrouvez plus de renseignements à la section Installation et configuration du
serveur Sophos Mobile (page 6).
En tant que super administrateur, vous vous connectez au client super administrateur qui est
également créé pendant l’installation de Sophos Mobile. Pour le client super administrateur, Sophos
Mobile Admin affiche une vue personnalisée pour les tâches du super administrateur.
8.2.3 Portail libre-service
Le Portail libre-service est sécurisé par un nom de connexion, un mécanisme d’ouverture de session
et une stratégie de mot de passe. Le compte doit être configuré par l’administrateur Sophos Mobile
et peut être associé à tout locataire. Le Portail libre-service permet aux utilisateurs d’enregistrer leurs
appareils dans Sophos Mobile. Les utilisateurs sont également en mesure d’effectuer des tâches
pour leurs appareils comme par exemple le verrouillage à distance ou la réinitialisation à distance.
Les tâches qu’ils sont autorisés à effectuer varient selon le type de plate-forme et la configuration.
En tant qu’administrateur, vous pouvez configurer les fonctions du Portail libre-service que vous
voulez mettre à disposition des utilisateurs.
Retrouvez plus de renseignements sur la configuration du Portail libre-service à l’intention des
utilisateurs dans le Manuel d’administration de Sophos Mobile.
Copyright © 2018 Sophos Limited
27
Sophos Mobile
9 Support technique
Vous bénéficiez du support technique des produits Sophos de l’une des manières suivantes :
28
•
Rendez-vous sur le forum Sophos Community en anglais sur community.sophos.com/ et
recherchez d’autres utilisateurs rencontrant le même problème que le vôtre.
•
Rendez-vous sur la base de connaissances du support Sophos sur www.sophos.com/fr-fr/
support.aspx.
•
Téléchargez la documentation des produits sur www.sophos.com/fr-fr/support/documentation.aspx.
•
Ouvrez un incident support sur https://secure2.sophos.com/fr-fr/support/contact-support/supportquery.aspx.
Copyright © 2018 Sophos Limited
Sophos Mobile
10 Mentions légales
Copyright © 2018 Sophos Limited. Tous droits réservés. Aucune partie de cette publication ne peut
être reproduite, stockée dans un système de recherche documentaire ou transmise, sous quelque
forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie, enregistrement ou
autre sauf si vous possédez une licence valide, auquel cas vous pouvez reproduire la documentation
conformément aux termes de cette licence ou si vous avez le consentement préalable écrit du
propriétaire du copyright.
Sophos, Sophos Anti-Virus et SafeGuard sont des marques déposées de Sophos Limited, Sophos
Group et de Utimaco Safeware AG, partout où ceci est applicable. Tous les autres noms de produits
et d’entreprises mentionnés dans ce document sont des marques ou des marques déposées de
leurs propriétaires respectifs.
Copyright © 2018 Sophos Limited
29
">