Sophos Mobile Manuel utilisateur
Ci-dessous, vous trouverez de brèves informations pour 8 Mobile Device Management. Gérez et protégez les appareils mobiles avec une interface unifiée. Apps de conteneurs sécurisés et compatibilité avec iOS, Android pour les entreprises et Samsung Knox assurent la séparation des données professionnelles et personnelles.
PDF
Télécharger
Document
Sophos Mobile Guide d’installation Version du produit : 8 Table des matières À propos de ce guide..............................................................................................................................................1 À propos de Sophos Mobile.................................................................................................................................. 2 Licences Sophos Mobile........................................................................................................................................ 3 Licences d’essai....................................................................................................................................................3 Mise à niveau des licences d’essai vers des licences complètes......................................................... 3 Mise à jour des licences.....................................................................................................................................3 Installation de Sophos Mobile.............................................................................................................................. 4 Conseils utiles pour le déploiement...............................................................................................................4 Conditions requises pour l’environnement système................................................................................ 4 Demande d’un certificat SSL/TLS pour Sophos Mobile.......................................................................... 5 Installation et configuration du serveur Sophos Mobile.......................................................................... 6 Changement de langue de connexion à SQL.............................................................................................. 9 Proxy EAS autonome........................................................................................................................................... 10 Cas de figure d’utilisation du proxy EAS autonome................................................................................11 Téléchargement du programme d’installation du serveur proxy EAS...............................................12 Installation d’un proxy EAS autonome........................................................................................................12 Installation du contrôle d’accès à la messagerie avec PowerShell................................................... 15 Équilibrage de charge et haute disponibilité..................................................................................................19 Conditions requises...........................................................................................................................................19 Configuration des nœuds du cluster...........................................................................................................20 Configuration de l’équilibrage de charge avec Sophos UTM................................................................22 Mise à jour de Sophos Mobile............................................................................................................................ 24 Mise à jour du serveur Sophos Mobile........................................................................................................ 24 Tâches postérieurs à la mise à jour.............................................................................................................24 Mise à jour du cluster de serveurs............................................................................................................... 25 Mise à jour du proxy EAS autonome............................................................................................................25 Référence technique............................................................................................................................................26 Fonctions du serveur Sophos Mobile.......................................................................................................... 26 Interfaces Web de Sophos Mobile................................................................................................................26 Support technique................................................................................................................................................28 Mentions légales................................................................................................................................................... 29 (2018/01/17) Sophos Mobile 1 À propos de ce guide Ce guide vous explique comment installer et configurer la version 8 de Sophos Mobile. Il décrit également la mise à jour d’une installation déjà existante de Sophos Mobile. Sauf mention contraire, toutes les procédures doivent être effectuées en tant qu’administrateur de Microsoft Windows Server ou en tant qu’utilisateur du groupe adéquat. Copyright © 2018 Sophos Limited 1 Sophos Mobile 2 À propos de Sophos Mobile Sophos Mobile Sophos Mobile est la solution EMM des entreprises qui souhaitent consacrer moins de temps et d’énergie à la gestion et à la protection des appareils mobiles. Gérez les appareils mobiles avec Sophos Central, l’interface administrateur Web unifiée et facile à utiliser, en parallèle des produits de sécurité Sophos pour les terminaux, les réseaux et les serveurs. Les apps de conteneurs sécurisés et la compatibilité avec les conteneurs natifs dans iOS, Android pour les entreprises et Samsung Knox garantissent la séparation des données professionnelles sensibles et des données personnelles sur l’appareil mobile. Dotée d’une protection solide des données, d’une sécurité complète, d’un bon rapport qualité/prix et d’options flexibles de gestion, Sophos Mobile est la solution idéale d’administration des appareils mobiles en milieu professionnel. En effet, elle permet de maintenir la productivité de vos utilisateurs, assure la sécurité de vos données professionnelles et la confidentialité des données personnelles. Sophos Mobile Security Sophos Mobile Security protège vos appareils Android sans affecter leurs performances ni l’autonomie de la batterie. La technologie antimalware de pointe de Sophos permet à Sophos Mobile Security d’offrir un niveau de protection antimalware et antivirus reconnu et plébiscité. L’app offre également la détection des applications potentiellement indésirables (PUA), des conseillers confidentialité et sécurité, la protection contre la perte et le vol des données, la protection du Web, et bien plus encore. Sophos Secure Workspace Sophos Secure Workspace est une app de gestion du contenu mobile en conteneur pour iOS et Android. Elle permet de protéger, de gérer et de distribuer les documents professionnels et le contenu web en toute sécurité. Modifiez des documents Office dans le conteneur pour garantir la protection du contenu chiffré. La technologie anti-phishing protège les utilisateurs contre les liens malveillants présents dans les documents et tout autre contenu. Lorsqu’elle est gérée par Sophos Mobile, les administrateurs peuvent facilement restreindre l’accès au contenu en fonction des règles de conformité définies pour l’appareil. Lorsqu’elle est utilisée avec Sophos SafeGuard Encryption, l’app Sophos Secure Workspace permet d’échanger en toute sécurité et en toute transparence des fichiers chiffrés (stockés localement ou sur le Cloud) entre les utilisateurs de systèmes Windows, macOS, iOS et Android. Sophos Secure Email Sophos Secure Email est une app de conteneur de messagerie complète et sécurisée pour Android et iOS. Elle vous permet d’isoler les emails, les agendas et les contacts professionnels des données privées sur un appareil mobile géré par Sophos Mobile. Toutes les informations de l’entreprise sont protégées par le chiffrement AES-256 et l’accès peut facilement être révoqué à l’aide de règles de conformité définies pour l’appareil. Sophos Secure Email permet également au service informatique de fournir la même messagerie professionnelle sécurisée sur différents appareils et systèmes d’exploitation. 2 Copyright © 2018 Sophos Limited Sophos Mobile 3 Licences Sophos Mobile Sophos Mobile offre deux types de licences : • • Licence Mobile Standard : Licence Mobile Advanced La licence Mobile Advanced vous permet d’administrer les apps Sophos Mobile Security, Sophos Secure Workspace et Sophos Secure Email. En tant que super administrateur, vous pouvez activer les licences achetées dans le client super administrateur et assigner le nombre requis d’utilisateurs sous licence à chaque client individuel. 3.1 Licences d’essai Sophos offre un essai gratuit de Sophos Mobile. Vous pouvez vous inscrire à cet essai sur le site Web de Sophos : http://www.sophos.com/fr-fr/products/free-trials/mobile-control.aspx. Une licence d’essai vous permet d’administrer jusqu’à cinq utilisateurs pendant 30 jours. Pour configurer Sophos Mobile, vous allez avoir besoin de l’adresse électronique que vous avez utilisée pour vous inscrire pour télécharger le programme d’installation. 3.2 Mise à niveau des licences d’essai vers des licences complètes Pour mettre à niveau vos licences d’essai vers des licences complètes, il vous suffit simplement de saisir la clé de licence complète dans Sophos Mobile. Retrouvez plus de renseignements dans le Manuel d’administration de Sophos Mobile. 3.3 Mise à jour des licences Pour mettre à jour vos licences, veuillez activer la nouvelle clé de licence dans Sophos Mobile. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Copyright © 2018 Sophos Limited 3 Sophos Mobile 4 Installation de Sophos Mobile Les étapes de configuration principales de Sophos Mobile consistent à : • • Demander un certificat SSL/TLS. Retrouvez plus de renseignements à la section Demande d’un certificat SSL/TLS pour Sophos Mobile (page 5). Exécuter le programme d’installation de Sophos Mobile. Retrouvez plus de renseignements à la section Installation et configuration du serveur Sophos Mobile (page 6). Suite à l’installation, vous allez devoir effectuer quelques étapes de configuration initiale : • • • Se connecter à Sophos Mobile Admin pour la première fois afin de démarrer l’assistant de configuration. Pour les iPhones, iPads et les Macs, vous devez obtenir un certificat du service Apple Push Notification. Vous avez également la possibilité de configurer un proxy EAS autonome pour le filtrage de la messagerie qui offrent les avantages ci-dessous par rapport au proxy EAS interne installé automatiquement avec Sophos Mobile : — Compatible avec l’authentification du certificat client. — Compatible avec le client IBM Notes Traveler pour les appareils non iOS. — Compatible avec de nombreux serveurs Exchange et IBM Notes Traveler. Retrouvez plus de renseignements sur les tâches de configuration dans le Guide de démarrage de Sophos Mobile. 4.1 Conseils utiles pour le déploiement Nous vous conseillons de lire le Guide de déploiement du serveur Sophos Mobile (anglais) avant d’installer et de déployer le serveur Sophos Mobile. Ce guide vous fournit des conseils sur les aspects suivants à prendre en compte lors de l’installation du serveur Sophos Mobile : • • • • Exemples d’architecture pour l’intégration du serveur Sophos Mobile à l’infrastructure de votre entreprise. Exemples d’architecture pour l’intégration du proxy EAS autonome à l’infrastructure de votre entreprise. Conseils sur les dimensions (tailles) à respecter en matière de matériel (par exemple ; taille du CPU et de la mémoire) et de logiciel (par exemple ; la base de données et la virtualisation). Détails sur la communication (ports, protocoles, destinations) des connexions entrantes et sortantes obligatoires. 4.2 Conditions requises pour l’environnement système Le programme d’installation de Sophos Mobile procède à une série de tests pour vérifier que votre environnement système remplit toutes les conditions requises à l’installation de Sophos Mobile. Ces conditions sont : • 4 Vous êtes administrateur de l’ordinateur. Copyright © 2018 Sophos Limited Sophos Mobile • Le système d’exploitation de l’ordinateur est compatible avec Sophos Mobile. Les systèmes d’exploitation pris en charge sont les éditions 64 bits de : — — — — • • • • • • • • • • • • • • Windows Server 2008 R2 SP1 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 (avec les Service Pack supplémentaires si disponibles) L’ordinateur est équipé d’au moins un adaptateur réseau. L’ordinateur dispose d’au moins 4 Go de mémoire RAM. Le serveur Web Microsoft Internet Information Services (IIS) est désactivé sur l’ordinateur. Les ports HTTP/S suivants sont disponibles sur l’ordinateur : 80, 443, 8080, 8181 L’ordinateur peut se connecter au service APNs (Apple Push Notification service). L’ordinateur peut se connecter au service Google Cloud Messaging (GCM). L’ordinateur peut se connecter aux service reCAPTCHA de Google. L’ordinateur peut se connecter au service Windows Push Notification. L’ordinateur peut se connecter aux service Sophos. Facultatif : l’ordinateur peut se connecter au service Web du Programme d’achat en volume d’Apple (VPP). Facultatif : l’ordinateur peut se connecter au service Web du Programme d’inscription d’appareils Apple (DEP). Facultatif : l’ordinateur peut se connecter au service Web Apple iTunes. Facultatif : l’ordinateur peut se connecter au service Web Contournement du verrouillage d’activation Apple. Facultatif : l’ordinateur peut se connecter au service Web de Google pour Android pour les entreprises. 4.3 Demande d’un certificat SSL/TLS pour Sophos Mobile Pour pouvoir configurer Sophos Mobile, vous devez disposer d’un certificat de serveur Web SSL. Au cours du processus de configuration, vous pouvez soit choisir de créer un certificat auto-signé, soit d’utiliser un PKCS #12 avec un certificat, une clé privée et une chaîne de certificat. Retrouvez plus de renseignements à la section Installation et configuration du serveur Sophos Mobile (page 6). Votre produit Sophos inclut un assistant « SSL Certificate Wizard » vous permettant de demander votre certificat SSL/TLS pour le proxy EAS de Sophos Mobile. Exécutez l’assistant à partir du dossier %MDM_HOME%\tools\Wizard ou téléchargez-le à sur www.sophos.com/mysophos. Remarque Si vous utilisez un certificat auto-signé ou un certificat émis par votre propre autorité de certification (CA), veuillez installer manuellement ce certificat auto-signé ou le certificat de votre autorité de certification sur vos appareils avant de les inscrire à Sophos Mobile. Si vous n’effectuez pas cette opération, l’app Sophos Mobile Control ne fera pas confiance à votre serveur et refusera de se connecter. Les certificats émis par une autorité de certification mondialement reconnue ne nécessitent pas d’installation manuelle. Copyright © 2018 Sophos Limited 5 Sophos Mobile Remarque Vous ne pouvez pas installer les apps Android à partir de fichiers APK hébergés sur le serveur Sophos Mobile si vous utilisez un certificat auto-signé ou un certificat émis par votre propre autorité de certification. Pour demander votre certificat SSL : • Démarrez l’assistant SSL Certificate Wizard en cliquant deux fois sur le fichier Sophos Mobile SSL Certificate Wizard.exe. Un assistant vous guide tout au long de l’installation. Saisissez les informations requises en prenant en compte les instructions suivantes : a) Sur la page Upload CSR, vous pouvez cliquer sur le bouton Open CSR pour ouvrir le fichier CSR si votre éditeur de certificat prend en charge la fonction copier/coller. b) Sur la page Import Certificate Files, saisissez le certificat de l’autorité de certification téléchargé sur la page Upload CSR dans le champ Select CA certificate file. c) L’emplacement du certificat est affiché sur la page Certificate created. Veuillez indiquer cet emplacement lorsque vous installez Sophos Mobile. Retrouvez plus de renseignements à la section Installation et configuration du serveur Sophos Mobile (page 6). Remarque Veuillez créer une sauvegarde du dossier contenant les fichiers de certificat. 4.4 Installation et configuration du serveur Sophos Mobile • • Si vous prévoyez de connecter Sophos Mobile à une base de données déjà existante, assurezvous que les codes d’accès de connexion à la base de données sont disponibles avant de commencer l’installation. Assurez-vous également d’avoir les autorisations adéquates pour créer de nouvelles banques de données, des nouveaux comptes d’utilisateur et de nouveaux enregistrements de données. Si la base de données n’est pas locale, vous allez devoir accéder au port TCP 1433 (pour Microsoft SQL Server) ou 3306 (pour MySQL). Par ailleurs, vous devez disposer d’un compte administrateur que le serveur Sophos Mobile va utiliser pour se connecter à la base de données. 1. Exécutez le programme d’installation de Sophos Mobile en tant qu’administrateur et lisez et acceptez le contrat de licence (License Agreement). 2. Sur la page System Property Checks, cliquez sur Check pour vérifier que votre environnement système remplit toutes les conditions requises à l’installation de Sophos Mobile. Retrouvez plus de renseignements à la section Conditions requises pour l’environnement système (page 4). Vous pouvez cliquer sur Report pour créer un rapport de résultats. 3. Sur la page Choose Install Location, sélectionnez le dossier de destination du serveur Sophos Mobile. 4. Sur la page Database Type Selection, sélectionnez le type de base de données que vous voulez utiliser : • 6 Install and use Microsoft SQL Server Express: installe SQL Server 2016 Express et le configure pour une utilisation avec Sophos Mobile. Copyright © 2018 Sophos Limited Sophos Mobile Use existing Microsoft SQL Server installation: utilise votre installation déjà existante de Microsoft SQL Server et crée une nouvelle base de données pour Sophos Mobile. • Use existing MySQL installation: utilise votre installation déjà existante de MySQL et crée une nouvelle base de données pour Sophos Mobile. 5. Sur la page Database Settings, saisissez les codes d’accès de connexion pour la base de données. • Remarque Si vous sélectionnez l’option Use SQL Server Authentification, assurez-vous que la langue de connexion à SQL est définie sur Anglais. Retrouvez plus de renseignements à la section Changement de langue de connexion à SQL (page 9). 6. Sur la page Database Selection, cliquez sur Create a new database named et saisissez un nom pour la base de données à créer (par exemple ; SMCDB). 7. La page Database Configuration affiche des messages de progression de la création de la base de données. Lorsque la base de données a été créée avec succès et que des données y ont été enregistrées, cliquez sur Next pour continuer. 8. Si vous avez sélectionné l’authentification Windows pour l’accès à la base de données, la page Set service credentials vous permet de définir le compte Windows sous lequel le service Sophos Mobile va s’exécuter. Vous pouvez utiliser le compte Système local ou un compte d’utilisateur. Dans le dernier cas, indiquez le compte d’utilisateur au format <nom ordinateur>\<nom utilisateur> ou <domaine>\<nom utilisateur>. Le programme d’installation va assigner les droits d’accès à la base de données à ce compte. Remarque Pour des raisons de sécurité, nous vous conseillons d’exécuter le service Sophos Mobile en tant qu’utilisateur avec droits d’accès limités. Le compte d’utilisateur doit disposer des propriétés suivantes : • Le compte d’utilisateur est un compte Windows local sur l’ordinateur sur lequel Sophos Mobile est installé. • L’utilisateur n’appartient à aucun groupe, même pas à un groupe d’utilisateurs. • L’utilisateur peut accéder à votre base de données SQL avec les droits de modification nécessaires. Pour une base de données MS-SQL, ceci signifie que l’utilisateur doit être membre des rôles db_datareader et db_datawriter. 9. Sur la page Configure super admin account, configurez les informations du compte pour l’administrateur. Le rôle principal du super administrateur est de gérer les clients. Ce rôle ne doit pas être utilisé pour les opérations d’administration usuelles des appareils. Dans Sophos Mobile, les clients sont les locataires qui administrent les appareils de leurs utilisateurs. Le super administrateur se connecte au client super administrateur et peut, par exemple, prédéfinir les paramètres pour les nouveaux clients et déployer ces paramètres et configurations aux clients existants. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Copyright © 2018 Sophos Limited 7 Sophos Mobile Remarque Les codes d’accès du super administrateur sont requis pour la première connexion à la console Sophos Mobile Admin. Suite à l’installation, d’autres super administrateurs peuvent être ajoutés dans la console Sophos Mobile Admin. 10. Sur la page Configure external server name, saisissez un nom de serveur Sophos Mobile (par exemple smc.monentreprise.fr). Remarque Le nom du serveur doit pouvoir être résolu par les appareils administrés. 11. Sur la page Configure server certificate, importez un certificat pour bénéficier de l’accès sécurisé (HTTPS) au serveur Web. • • Si vous avez un certificat approuvé, cliquez sur Import a certificate from a trusted issuer et sélectionnez l’une des options suivantes dans la liste déroulante : Si vous n’avez pas encore de certificat approuvé, sélectionnez Create self-signed certificate. Remarque Si vous utilisez un certificat auto-signé ou un certificat émis par votre propre autorité de certification (CA), veuillez installer manuellement ce certificat auto-signé ou le certificat de votre autorité de certification sur vos appareils avant de les inscrire à Sophos Mobile. Si vous n’effectuez pas cette opération, l’app Sophos Mobile Control ne fera pas confiance à votre serveur et refusera de se connecter. Les certificats émis par une autorité de certification mondialement reconnue ne nécessitent pas d’installation manuelle. Remarque Vous ne pouvez pas installer les apps Android à partir de fichiers APK hébergés sur le serveur Sophos Mobile si vous utilisez un certificat auto-signé ou un certificat émis par votre propre autorité de certification. Remarque Votre produit Sophos inclut l’assistant « SSL Certificate Wizard » vous permettant de demander votre certificat SSL/TLS pour Sophos Mobile. Retrouvez plus de renseignements à la section Demande d’un certificat SSL/TLS pour Sophos Mobile (page 5). 12. Sur la page suivante, saisissez les informations sur le certificat selon le type de certificat que vous avez sélectionné. 8 Copyright © 2018 Sophos Limited Sophos Mobile Remarque Pour un certificat auto-signé, vous devez indiquer un serveur qui est accessible à partir des appareils administrés. 13. Sur la page Server Information, vérifiez les informations du serveur et cliquez sur Next pour confirmer le serveur et la procédure de configuration. 14. Lorsque l’installation est terminée, la boîte de dialogue Sophos Mobile Control - Installation finished s’affiche. Assurez-vous que la case Start Sophos Mobile server now est sélectionnée et cliquez sur Finishpour démarrer le service Sophos Mobile pour la première fois. Remarque L’interface Web Sophos Mobile sera disponible quelques minutes après le démarrage du service. Suite à l’installation, vous allez devoir effectuer quelques étapes de configuration initiale : • • • Se connecter à Sophos Mobile Admin pour la première fois afin de démarrer l’assistant de configuration. Retrouvez plus de renseignements dans le Guide de démarrage de Sophos Mobile. Pour les appareils iOS, vous devez obtenir un certificat du service Apple Push Notification. Retrouvez plus de renseignements dans le Guide de démarrage de Sophos Mobile. Vous avez également la possibilité de configurer un proxy EAS autonome pour le filtrage de la messagerie. Retrouvez plus de renseignements à la section Proxy EAS autonome (page 10). 4.5 Changement de langue de connexion à SQL Si vous avez configuré le serveur Sophos Mobile pour utiliser l’authentification SQL Server pour vous connecter à la base de données, la langue de connexion à SQL doit être l’anglais. En cas contraire, une erreur survient au démarrage du service Sophos Mobile. Cette rubrique décrit la manière de changer la langue de connexion à SQL sur l’anglais. 1. Arrêtez le service Sophos Mobile. 2. Ouvrez SQL Server Management Studio sur le serveur et sélectionnez Sécurité > Connexions. 3. Sur la page Général des Propriétés de la connexion, définissez la Langue par défaut sur l’anglais, puis cliquez sur OK pour enregistrer vos modifications. 4. Redémarrez le service Sophos Mobile. Copyright © 2018 Sophos Limited 9 Sophos Mobile 5 Proxy EAS autonome Vous pouvez configurer un proxy EAS pour contrôler l’accès de vos appareils administrés à un serveur de messagerie. Le trafic de messagerie de vos appareils administrés est acheminé par le biais de ce proxy. Vous pouvez bloquer l’accès de ces appareils à la messagerie si, par exemple, un appareil enfreint une règle de conformité. Les appareils doivent être configurés pour utiliser le proxy EAS en tant que serveur de messagerie pour les emails entrants et sortants. Le proxy EAS transfère uniquement le trafic vers le serveur de messagerie si l’appareil est déclaré dans Sophos Mobile et qu’il respecte les stratégies mises en place. Un plus haut niveau de sécurité est ainsi garanti car il n’est pas nécessaire d’accéder au serveur de messagerie via Internet et que seuls les appareils sont autorisés (s’ils sont configurés correctement, par exemple en respectant les consignes en matière de code secret) à y accéder. Vous pouvez également configurer le proxy EAS pour bloquer l’accès à des appareils spécifiques. Il existe deux types de proxy EAS : • • Le proxy EAS interne qui est installé automatiquement avec Sophos Mobile. Il est compatible avec le trafic ActiveSync utilisé par Microsoft Exchange ou IBM Notes Traveler pour iOS et avec les appareils Samsung Knox. Un proxy EAS autonome qui peut être téléchargé et installé séparément. Il communique avec le serveur Sophos Mobile par le biais d’une interface Web HTTPS. Remarque Pour des raisons de performances, nous vous conseillons d’utiliser le serveur proxy EAS autonome plutôt que la version interne lorsque vous devez administrer le trafic de messagerie de plus de 500 appareils client. Remarque Le protocole ActiveSync n’est pas pris en charge par macOS. Vous ne pouvez donc pas utiliser le proxy interne ou autonome pour filtrer le trafic de messagerie provenant des Macs. Fonctions Le proxy EAS autonome comprend plus de fonctions que la version interne : • • • • • 10 Compatible avec IBM Notes Traveler sur les appareils non iOS (par exemple, Android). Le client Traveler sur ces appareils utilise un protocole (qui n’est pas ActiveSync) qui n’est pas compatible avec le proxy EAS interne. Compatible avec de nombreux serveurs de messagerie Microsoft Exchange ou IBM Notes Traveler. Vous pouvez configurer une instance du proxy EAS par serveur de messagerie. Compatible avec l’équilibrage de charge. Vous pouvez configurer plusieurs instances de serveurs proxy EAS autonomes sur plusieurs ordinateurs, puis utiliser un mécanisme d’équilibre de charge pour distribuer les demandes du client sur ceux-ci. Compatible avec l’authentification du certificat client. Vous pouvez sélectionner un certificat à partir d’une autorité de certification (AC) depuis laquelle les certificats client doivent provenir. Compatible avec le contrôle d’accès à la messagerie avec PowerShell. Dans ce cas de figure, le service du proxy EAS communique avec le serveur de messagerie par le biais de PowerShell afin de contrôler l’accès à la messagerie de vos appareils administrés. Le trafic de messagerie Copyright © 2018 Sophos Limited Sophos Mobile transite directement des appareils vers le serveur de messagerie et n’est pas acheminé par un proxy. Retrouvez plus de renseignements à la section Installation du contrôle d’accès à la messagerie avec PowerShell (page 15). Remarque Pour les appareils non iOS, les fonctionnalités de filtrage du proxy EAS autonome sont limitées en raison des caractéristiques spécifiques du protocole IBM Notes Traveler. Les clients Traveler sur les appareils non iOS n’envoient pas l’identifiant de l’appareil à chaque demande. Les demandes effectuées sans identifiant d’appareil sont toujours transférées au serveur Traveler. Toutefois, le proxy EAS n’est pas en mesure de vérifier si l’appareil est autorisé. 5.1 Cas de figure d’utilisation du proxy EAS autonome Remarque En plus des instructions de cette section, le Guide de déploiement du serveur Sophos Mobile (anglais) contient des diagrammes représentant l’intégration du proxy EAS autonome à l’infrastructure de votre entreprise. Nous vous conseillons de lire ces informations avant d’installer et de déployer le proxy EAS autonome. Un serveur proxy EAS autonome doit être utilisé dans les cas de figure suivants. Vous utilisez IBM Notes Traveler (anciennement IBM Lotus Notes Traveler) pour les appareils non iOS. Le proxy EAS interne ne convient pas à ce cas de figure car il n’est pas compatible avec le protocole ActiveSync utilisé par Microsoft Exchange et IBM Notes Traveler sur les appareils iOS. IBM Notes Traveler pour les appareils non iOS (par exemple, Android) utilise un protocole différent qui est compatible avec le proxy EAS autonome. Pour les appareils non iOS, il est nécessaire d’utiliser le logiciel client Traveler. Ce logiciel est disponible sur <serveur-traveler>/servlet/traveler ou sur le système de fichiers Traveler. Les fonctions Installer l’app et Désinstaller l’app de Sophos Mobile peuvent être utilisées pour installer et désinstaller le logiciel client Traveler. La configuration doit être effectuée manuellement. Vous voulez prendre en charge plusieurs serveurs backend Le proxy EAS autonome vous permet de configurer plusieurs instances des systèmes de messagerie backend. Chaque instance nécessite un port TCP entrant. Chaque port se connecte à un backend différent. Vous avez besoin d’une URL par instance de proxy EAS. Copyright © 2018 Sophos Limited 11 Sophos Mobile Vous voulez configurer l’équilibrage de charge pour EAS Vous pouvez configurer plusieurs instances de serveurs proxy EAS autonomes sur plusieurs ordinateurs, puis utiliser un mécanisme d’équilibre de charge pour distribuer les demandes du client sur ceux-ci. Dans ce cas de figure, utilisez un mécanisme d’équilibre de charge déjà existant pour HTTP. Vous voulez utiliser l’authentification par certificat client Dans ce cas de figure, une infrastructure de clés publiques (PKI) doit être utilisée et la partie publique du certificat de l’autorité de certification doit être définie dans le proxy EAS. Vous devez administrer plus de 500 appareils. Pour des raisons de performances, nous vous conseillons d’utiliser le serveur proxy EAS autonome plutôt que la version interne lorsque vous devez administrer le trafic de messagerie de plus de 500 appareils client. 5.2 Téléchargement du programme d’installation du serveur proxy EAS 1. Connectez-vous à Sophos Mobile Admin en tant que super administrateur. 2. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système, puis sur l’onglet Proxy EAS. 3. Sous Externe, cliquez sur le lien pour télécharger le programme d’installation du proxy EAS. Le fichier du programme d’installation est enregistré localement sur votre ordinateur. 5.3 Installation d’un proxy EAS autonome Condition préalable : • • • Sophos Mobile a été installé et configuré. Tous les serveurs de messagerie nécessaires sont accessibles. Le programme d’installation du proxy EAS ne configurera pas les connexions aux serveurs qui ne sont pas disponibles. Vous êtes un administrateur sur l’ordinateur sur lequel vous installez le proxy EAS. Remarque Le Guide de déploiement du serveur Sophos Mobile (anglais) contient des schémas d’intégration du proxy EAS autonome à l’infrastructure de votre entreprise. Nous vous conseillons de lire ces informations avant d’installer et de déployer le proxy EAS autonome. 1. Exécutez Sophos Mobile EAS Proxy Setup.exe pour démarrer l’assistant Sophos Mobile EAS Proxy - Setup Wizard. 12 Copyright © 2018 Sophos Limited Sophos Mobile 2. Sur la page Choose Install Location, sélectionnez le dossier de destination et cliquez sur Install pour commencer l’installation. Une fois l’installation terminée, l’assistant Sophos Mobile EAS Proxy - Configuration Wizard démarre automatiquement et vous guide tout au long des étapes de configuration. 3. Dans la boîte de dialogue Sophos Mobile server configuration, saisissez l’URL du serveur SMC auquel va se connecter le proxy EAS. Veuillez également sélectionner Use SSL for incoming connections (Clients to EAS Proxy) pour sécuriser la communication entre les clients et le proxy EAS. Vous avez également la possibilité de sélectionner Use client certificates for authentication si vous voulez que les clients utilisent un certificat en plus des codes d’accès du proxy EAS pour l’authentification. La sécurité de la connexion bénéficiera ainsi d’un niveau supplémentaire de sécurité. Sélectionnez Allow all certificates si votre serveur Sophos Mobile présente différents certificats au proxy EAS. Par exemple, s’il y a plusieurs instances du serveur sur un équilibreur de charge et que chacune de ces instances utilise un certificat différent. Lorsque cette option est sélectionnée, le proxy EAS accepte tous les certificats provenant du serveur Sophos Mobile. Important L’option Allow all certificates réduit le niveau de sécurité de la communication avec le serveur. Aussi, nous vous conseillons vivement de la sélectionner uniquement si elle est requise par votre environnement réseau. 4. Si vous avez sélectionné Use SSL for incoming connections (Clients to EAS Proxy) à l’étape précédente, la page Configure server certificate s’ouvre. Cette page vous permet de créer ou d’importer un certificat pour bénéficier de l’accès sécurisé (HTTPS) au proxy EAS. Remarque Votre produit Sophos inclut l’assistant « SSL Certificate Wizard » vous permettant de demander votre certificat SSL/TLS pour le proxy EAS de Sophos Mobile. Retrouvez plus de renseignements à la section Demande d’un certificat SSL/TLS pour Sophos Mobile (page 5). • • Si vous n’avez pas encore de certificat approuvé, sélectionnez Create self-signed certificate. Si vous avez un certificat approuvé, cliquez sur Import a certificate from a trusted issuer et sélectionnez l’une des options suivantes dans la liste : — PKCS12 with certificate, private key and certificate chain (intermediate and CA) — Separate files for certificate, private key, intermediate and CA certificate 5. Sur la page suivante, saisissez les informations sur le certificat selon le type de certificat que vous avez sélectionné. Remarque Pour un certificat auto-signé, vous devez indiquer un serveur qui est accessible à partir des appareils client. 6. Si vous avez sélectionné Use client certificates for authentication à l’étape précédente, la page SMC client authentication configuration s’ouvre. Sur cette page, vous pouvez sélectionner un Copyright © 2018 Sophos Limited 13 Sophos Mobile 7. certificat à partir d’une autorité de certification (AC) depuis laquelle les certificats client doivent provenir. Lorsqu’un client essaye de se connecter, le proxy EAS vérifie si le certificat client provient de l’autorité de certification que vous avez indiquée ici. Sur la page EAS Proxy instance setup, configurez une ou plusieurs instances proxy EAS. • • • • • • • Instance type: sélectionnez EAS proxy. Instance name: un nom pour identifier l’instance. Server port : le port du proxy EAS pour le trafic de messagerie entrant. Si vous avez configuré plusieurs instances de proxy, chacune d’entre elles doit impérativement utiliser un port différent. Require client certificate authentication: les clients de messagerie doivent s’authentifier lors de la connexion au proxy EAS. ActiveSync server: le nom ou l’adresse IP de l’instance du serveur Exchange ActiveSync auquel l’instance du proxy va se connecter. SSL : la communication entre l’instance du proxy et le serveur Exchange ActiveSync est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Allow EWS subscription requests from Secure Email: sélectionnez cette option pour permettre à l’app Sophos Secure Email sur iOS de s’abonner aux notifications push via les services Web Exchange. Les notifications push informent l’appareil de la présence de messages pour Sophos Secure Email. Remarque Par défaut et pour des raisons de sécurité, le proxy EAS bloque toutes les demandes au serveur Exchange de l’interface du service web Exchange. Si vous sélectionnez cette case, les demandes d’abonnement sont autorisées. Toutes les autres demandes sont bloquées. Enable Traveler client access : sélectionnez uniquement cette case pour autoriser l’accès au client IBM Notes Traveler sur les appareils non iOS. 8. Après avoir saisi les informations sur l’instance, cliquez sur Add pour ajouter l’instance à la liste Instances. Pour chaque instance de proxy, le programme d’installation va créer un certificat que vous devrez télécharger sur le serveur Sophos Mobile. Après avoir cliqué sur Add, une fenêtre s’ouvre et affiche un message d’instructions de téléchargement du certificat. 9. Dans la fenêtre du message, cliquez sur OK. Une boîte de dialogue va s’ouvrir et afficher le dossier dans lequel le certificat a été créé. • Remarque Vous pouvez également ouvrir la boîte de dialogue en sélectionnant l’instance adéquate et en cliquant sur le lien Export config and upload to Sophos Mobile server de la page EAS Proxy instance setup. 10. Notez le nom du dossier du certificat. Vous allez avoir besoin de cette information lorsque vous allez téléchargé le certificat dans Sophos Mobile. 11. Facultatif : Cliquez de nouveau sur Add pour configure des instances supplémentaires du proxy EAS. 12. Lorsque vous avez configuré toutes les instances du proxy EAS requises, cliquez sur Next. 14 Copyright © 2018 Sophos Limited Sophos Mobile Les ports du serveur que vous avez saisis seront testés et les règles entrantes du pare-feu Windows seront configurées. 13. Sur la page Allowed mail user agents, vous pouvez indiquer les agents utilisateurs de la messagerie (applications clientes de messagerie) qui sont autorisés à se connecter au proxy EAS. Si un client se connecte au proxy EAS à l’aide d’une application de messagerie qui n’a pas été indiquée, la demande sera rejetée. Sélectionnez Allow all mail user agents pour définir aucune restriction. Sélectionnez Only allow the specified mail user agents puis sélectionnez un agent utilisateur de la messagerie dans la liste. Cliquez sur Add pour ajouter l’entrée à la liste des agents autorisés. Répétez cette opération pour tous les agents utilisateurs de la messagerie autorisés à se connecter au proxy EAS. 14. Sur la page Sophos Mobile EAS Proxy - Configuration Wizard finished, cliquez sur Finish pour fermer l’assistant de configuration et retourner dans l’assistant d’installation. 15. Dans l’assistant d’installation, assurez-vous que la case Start Sophos Mobile EAS Proxy server now est sélectionnée et cliquez sur Finish pour terminer la configuration et démarrer le proxy EAS de Sophos Mobile pour la première fois. Pour terminer la configuration du proxy EAS, téléchargez les certificats qui ont été créés pour chaque instance du proxy dans Sophos Mobile : 16. Connectez-vous à Sophos Mobile Admin en tant que super administrateur. 17. Sous Externe, cliquez sur Télécharger un fichier. Téléchargez le certificat créé par l’assistant d’installation pour la connexion PowerShell. Si vous avez créé plusieurs instances, répétez cette opération pour tous les certificats d’instance. 18. Cliquez sur Enregistrer. 19. Dans Windows, ouvrez la boîte de dialogue Services et redémarrez le service EASProxy. • • Cette opération termine l’installation initiale du proxy EAS autonome. Remarque Chaque jour, les entrées de journal du proxy EAS sont déplacées dans un nouveau fichier en utilisant le format EASProxy.log.aaaa-mm-jj. Ces fichiers journaux quotidiens ne sont pas supprimés automatiquement et peuvent entraîner des problèmes d’espace disque au bout d’un certain temps. Nous vous conseillons dont de mettre en place un processus qui déplacera les fichiers journaux vers un emplacement de sauvegarde. 5.4 Installation du contrôle d’accès à la messagerie avec PowerShell Vous pouvez établir une connexion PowerShell à un serveur Exchange ou Office 365. Ceci signifie que le service du proxy EAS communique avec le serveur de messagerie par le biais de PowerShell afin de contrôler l’accès à la messagerie de vos appareils administrés. Le trafic de messagerie est directement acheminé des appareils vers le serveur de messagerie. Il n’est pas acheminé par le biais d’un proxy. Copyright © 2018 Sophos Limited 15 Sophos Mobile Remarque Retrouvez un diagramme de la communication PowerShell dans le Guide de déploiement du serveur Sophos Mobile (anglais). Remarque Le protocole ActiveSync n’est pas pris en charge par macOS. Vous ne pouvez donc pas utiliser PowerShell pour contrôler l’accès à la messagerie des Macs. Le recours à PowerShell présente les avantages suivants : • • Les appareils communiquent directement avec le serveur Exchange. Vous n’avez pas besoin d’ouvrir un port sur votre serveur pour le trafic de messagerie entrant à partir de vos appareils administrés. Les serveurs de messagerie compatibles sont : • • • Exchange Server 2013 Exchange Server 2016 Office 365 avec un plan Exchange Online Pour créer une communication PowerShell : 1. Configurez PowerShell. 2. Créez un compte de service sur le serveur Exchange ou dans Office 365. Ce compte est utilisé par Sophos Mobile pour exécuter les commandes PowerShell. 3. Créez une ou plusieurs instances de connexion PowerShell vers Exchange ou Office 365. 4. Téléchargez des certificats de l’instance dans Sophos Mobile. Configuration de PowerShell 1. Sur l’ordinateur sur lequel vous allez installer le proxy EAS, ouvrez Windows PowerShell en tant qu’administrateur et saisissez : PS C:\Windows\system32> Set-ExecutionPolicy RemoteSigned Remarque Si PowerShell n’est pas disponible, veuillez l’installer conformément aux instructions de l’article de Microsoft Installation de Windows PowerShell (lien externe). 2. Si vous voulez connecter un serveur Exchange local, ouvrez Windows PowerShell en tant qu’administrateur sur cet ordinateur et saisissez la même commande qu’auparavant : PS C:\Windows\system32> Set-ExecutionPolicy RemoteSigned Remarque Cette étape n’est pas nécessaire sur Office 365. Création d’un compte de service 3. Connectez-vous à la console d’administration adéquate. 16 Copyright © 2018 Sophos Limited Sophos Mobile • Pour Exchange Server 2010 SP2 : Console de gestion Exchange • Pour Exchange Server 2013/2016 : Centre d’administration Exchange • Pour Office 365 : Centre d’administration Office 365 4. Créez un compte de service. Ce compte est utilisé en tant que compte de service par Sophos Mobile pour exécuter les commandes PowerShell. • • Utilisez un nom d’utilisateur tel que smc_powershell pour identifier le but du compte. Désactivez le paramètre pour vous assurer que l’utilisateur change son mot de passe à sa prochaine connexion. • Retirez toute licence Office 365 qui était automatiquement assignée au nouveau compte. Les comptes de service ne nécessite pas de licence. 5. Créez un nouveau groupe de rôles et assignez lui les autorisations adéquates. • Utilisez un nom de groupe de rôles tel que smc_powershell. • Ajoutez les rôles Mail Recipients et Organization Client Access. • Ajoutez le compte de service en tant que membre. Création des connexions PowerShell 6. Utilisez l’assistant d’installation de la même manière que pour installer un proxy EAS autonome. À l’étape de l’assistant EAS Proxy instance setup, configurez les paramètres suivantes : • • • • • Instance type: Sélectionnez PowerShell Exchange/Office 365. Instance name: un nom pour identifier l’instance. Exchange server: le nom ou l’adresse IP du serveur Exchange (pour une installation locale du serveur Exchange) ou outlook.office365.com (pour Office 365). N’incluez pas de préfixe https:// ou de suffixe /powershell. Ceux-ci seront ajoutés automatiquement. Allow all certificates: le certificat que le serveur Exchange produit n’est pas vérifié. Utilisez ceci si, par exemple, vous avez un certificat auto-signé installé sur votre serveur Exchange. L’option Allow all certificates réduit le niveau de sécurité de la communication avec le serveur. Aussi, nous vous conseillons vivement de la sélectionner uniquement si elle est requise par votre environnement réseau. Allow EWS subscription requests from Secure Email: sélectionnez cette option pour permettre à l’app Sophos Secure Email sur iOS de s’abonner aux notifications push via les services Web Exchange. Les notifications push informent l’appareil de la présence de messages pour Sophos Secure Email. Remarque Par défaut et pour des raisons de sécurité, le proxy EAS bloque toutes les demandes au serveur Exchange de l’interface du service web Exchange. Si vous sélectionnez cette case, les demandes d’abonnement sont autorisées. Toutes les autres demandes sont bloquées. Service account: le nom du compte d’utilisateur que vous avez créé dans la console d’administration Exchange ou Office 365. • Password: le mot de passe du compte d’utilisateur. 7. Cliquez sur Add pour ajouter l’instance à la liste Instances. 8. Facultatif : répétez les étapes précédentes pour établir des connexions PowerShell sur d’autres serveurs Exchange ou Office 365. 9. Effectuez toutes les étapes de l’assistant d’installation comme indiqué à la section Installation d’un proxy EAS autonome (page 12). Téléchargement des certificats • Copyright © 2018 Sophos Limited 17 Sophos Mobile 10. Connectez-vous à Sophos Mobile Admin en tant que super administrateur. 11. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système puis sur l’onglet Proxy EAS. 12. Facultatif : Sous Général, sélectionnez Restreindre à Sophos Secure Email pour limiter l’accès à la messagerie à l’app Sophos Secure Email disponible pour Android et iOS. Cette opération empêche à d’autres apps de messagerie de se connecter à votre serveur de messagerie. 13. Sous Externe, cliquez sur Télécharger un fichier. Téléchargez le certificat créé par l’assistant d’installation pour la connexion PowerShell. Si vous avez créé plusieurs instances, répétez cette opération pour tous les certificats d’instance. 14. Cliquez sur Enregistrer. 15. Dans Windows, ouvrez la boîte de dialogue Services et redémarrez le service EASProxy. Cette opération conclut la création des connexions PowerShell. Le trafic de messagerie entre un appareil administré et les serveurs Exchange ou Office 365 est bloqué si l’appareil enfreint une règle de conformité. Vous pouvez bloquer un appareil individuel en paramétrant le mode d’accès à la messagerie pour cet appareil sur Deny. Remarque Selon la configuration de votre serveur Exchange, les appareils reçoivent une notification lorsque leur accès à la messagerie est bloqué. 18 Copyright © 2018 Sophos Limited Sophos Mobile 6 Équilibrage de charge et haute disponibilité Sophos Mobile permet de configurer un environnement en haute disponibilité. Ceci permet d’assurer que le service SMC reste accessible en externe et que les tâches peuvent continuer à être traitées même en cas d’échec d’un nœud du serveur Sophos Mobile. Pour cela, il est indispensable de disposer de l’équilibrage de charge qui permet de distribuer des sessions client et navigateur à l’aide d’un tourniquet (round robin) DNS. Retrouvez ci-dessous une description sur la création d’un cluster pour Sophos Mobile et sur la configuration d’un équilibre de charge avec Sophos UTM. 6.1 Conditions requises • • • • Un serveur Windows séparé pour chaque nœud Sophos Mobile. Tous les nœuds doivent être sur le même réseau. Un serveur de base de données ou cluster Microsoft SQL ou MySQL. Sophos UTM ou Apache Reverse Proxy (mod_proxy) pour l’équilibrage de charge. Le mécanisme d’équilibrage de charge doit prendre en charge les cookies permanents et les certificats officiels de serveur Web SSL/TLS. Remarque Retrouvez plus de renseignements sur les conditions d’installation dans les Notes de publication de Sophos Mobile 8 (anglais) et dans la Liste des conditions préalables à l’installation (anglais). Architecture Retrouvez un exemple de cluster Sophos Mobile à trois nœuds dans le Guide de déploiement du serveur Sophos Mobile (anglais). Pour la communication multidiffusion entre chaque nœud Sophos Mobile, il est également possible d’utiliser un réseau séparé. L’interface réseau à utiliser peut être sélectionnée pendant la configuration du cluster conformément aux instructions de la section Configuration du premier nœud (page 20). Il peut également s’agir d’un réseau local virtuel (VLAN). Remarque Si vous voulez utiliser un second cluster Sophos Mobile à des fins de test, vous allez avoir besoin d’un réseau séparé. Ports et protocoles Le tableau ci-dessous vous indique les ports et protocoles requis pour la communication entre chaque nœud d’un cluster de serveurs Sophos Mobile. Copyright © 2018 Sophos Limited 19 Sophos Mobile Protocole Port Destination TCP 7600, 8181, 57600 <Entrant> TCP 7600, 8181, 57600 <Sortant> UDP 45700 <Entrant> Certificats du serveur Lorsque vous installez Sophos Mobile, vous configurez un certificat de serveur Web SSL/TLS qui permet à l’app Sophos Mobile Control d’établir une connexion sécurisée au serveur Sophos Mobile. Nous vous conseillons d’utiliser un certificat émis par une autorité de certification mondialement reconnue. Dans un environnement en cluster avec plusieurs nœuds de serveur Sophos Mobile sur un équilibreur de charge, cette solution ne sera probablement très pratique. Veuillez plutôt utiliser un certificat auto-signé. Sophos Mobile est compatible avec les certificats auto-signés. Toutefois les restrictions suivantes s’appliquent : • • Si vous utilisez un certificat auto-signé ou un certificat émis par votre propre autorité de certification (CA), veuillez installer manuellement ce certificat auto-signé ou le certificat de votre autorité de certification sur vos appareils avant de les inscrire à Sophos Mobile. Si vous n’effectuez pas cette opération, l’app Sophos Mobile Control ne fera pas confiance à votre serveur et refusera de se connecter. Les certificats émis par une autorité de certification mondialement reconnue ne nécessitent pas d’installation manuelle. Vous ne pouvez pas installer les apps Android à partir de fichiers APK hébergés sur le serveur Sophos Mobile si vous utilisez un certificat auto-signé ou un certificat émis par votre propre autorité de certification. 6.2 Configuration des nœuds du cluster Pour créer un environnement en cluster, installez d’abord le premier nœud comme indiqué à la section Installation et configuration du serveur Sophos Mobile (page 6). La mise en clusters sera activée à l’aide de l’assistant de configuration (Configuration Wizard). Pour tous les autres nœuds, la base de données créée au cours de l’installation du premier nœud doit être sélectionnée et la mise en clusters doit être activée. Remarque Il est également possible de configurer un serveur SMC déjà existant pour la mise en clusters et d’étendre l’environnement en ajoutant des nœuds supplémentaires. 6.2.1 Configuration du premier nœud 1. Installez Sophos Mobile comme décrit à la section Installation et configuration du serveur Sophos Mobile (page 6) et écrivez le nom de la base de données que vous avez créé. Indiquez cette base de données lors de l’installation d’autres nœuds. 2. À la fin de l’installation, dessélectionnez l’option Start Sophos Mobile server now dans la boîte de dialogue Sophos Mobile - Installation finished. 20 Copyright © 2018 Sophos Limited Sophos Mobile Remarque Si le service Sophos Mobile a déjà été démarré, il sera automatiquement arrêté et redémarré au cours de l’étape de configuration décrite plus tard dans cette section. Vous avez également la possibilité d’arrêter le service à partir du menu de l’icône de la zone de notification du système Sophos Mobile. 3. Sur le serveur, cliquez sur Start, allez dans Sophos Mobile et cliquez sur SMC Configuration Wizard. 4. La page Welcome de l’assistant Sophos Mobile Configuration Wizard s’ouvre. Cliquez sur Next. 5. Sur la page Database Selection, sélectionnez Skip database configuration et cliquez sur Next. 6. Sur la page Choose configuration steps, sélectionnez Configure cluster support et cliquez sur Next. 7. Sur la page Cluster Configuration, utilisez la liste déroulante des interfaces réseau disponibles et sélectionnez l’interface qui sera utilisée pour la communication en multidiffusion entre le nœud du serveur que vous voulez configurer et les autres nœuds. 8. Cliquez sur les pages suivantes de l’assistant de configuration. Assurez-vous de cliquer sur Yes lorsqu’il vous sera demandé si vous voulez démarrer le service SMC. La configuration du premier nœud du serveur SMC est désormais terminée. Cliquez sur Finish dans la boîte de dialogue Sophos Mobile - Configuration Wizard finished. 6.2.2 Configuration d’autres nœuds 1. Commencez l’installation de Sophos Mobile comme décrit à la section Installation et configuration du serveur Sophos Mobile (page 6). 2. Sur la page Database selection, sélectionnez la base de données que vous avez créée lors de l’installation du premier nœud et cliquez sur Next. La boîte de dialogue Database configuration apparaît. Elle affiche la progression de l’opération de configuration. 3. Sur la page Database configuration, patientez jusqu’à la fin de l’opération de configuration et cliquez sur Next. 4. Sur la page Choose configuration steps, sélectionnez Configure cluster support et cliquez sur Next. 5. Sur la page Configure server certificate, créez un certificat auto-signé comme indiqué à la section Installation et configuration du serveur Sophos Mobile (page 6) et cliquez sur Next. 6. Sur la page Cluster Configuration, utilisez la liste déroulante des interfaces réseau disponibles et sélectionnez l’interface du nœud de serveur Sophos Mobile que vous souhaitez configurer, puis cliquez sur Next. 7. Cliquez sur les pages suivantes de l’assistant de configuration. Sur la page Sophos Mobile Installation finished, sélectionnez Start Sophos Mobile server now pour démarrer le nœud du cluster que vous venez de configurer. La configuration du nœud SMC est désormais terminée. Si nécessaire, répétez cette procédure pour configurer d’autres nœuds. Copyright © 2018 Sophos Limited 21 Sophos Mobile 6.3 Configuration de l’équilibrage de charge avec Sophos UTM Cette rubrique décrit la manière de configurer Sophos UTM en tant que mécanisme d’équilibrage de charge pour un cluster de nœuds de serveur Sophos Mobile. Retrouvez plus de renseignements sur la configuration de Sophos UTM dans la documentation Sophos UTM. Remarque • Pour pouvoir utiliser Sophos UTM pour la mise en clusters, vous devez avoir une licence Sophos UTM avec un abonnement Sophos Webserver Protection. • Comme décrit plus tard dans cette section, vous devez indiquer le nom du certificat pour protéger la communication entre les appareils administrés et le serveur Web virtuel que vous avez configuré dans Sophos UTM. Pour plus de simplicité, nous vous conseillons d’utiliser le même certificat que celui que vous avez utilisé pour le serveur Sophos Mobile. Retrouvez plus de renseignements à la section Demande d’un certificat SSL/TLS pour Sophos Mobile (page 5). Si vous avez utilisé un certificat auto-signé, veuillez impérativement utiliser ce même certificat. 1. Connectez-vous à Sophos UTM WebAdmin. 2. À partir de la section Webserver Protection du menu WebAdmin, allez dans l’onglet Pare-feu d’application Web > Serveurs Web réels. 3. Cliquez sur Nouveau serveur Web réel pour créer un nœud SMC. 4. Sur la boîte de dialogue Ajouter un serveur Web réel, saisissez les paramètres suivants : a) Nom : saisissez un nom descriptif pour le serveur Web (par exemple nœud SMC). b) Hôte : sélectionnez ou ajoutez un hôte. Sélectionnez un hôte en cliquant sur le symbole du dossier situé à côté du champ Hôte. Faites glisser un hôte à partir de la liste des hôtes disponibles vers le champ Hôte. Retrouvez plus de renseignements sur l’ajout d’une définition sous la rubrique Définitions du réseau du Guide d’administration d’UTM. c) Type : sélectionnez Chiffré (HTTPS). Cliquez sur Enregistrer pour enregistrer la configuration. Répétez l’étape précédente pour chaque nœud de serveur Sophos Mobile. 5. À partir de la section Webserver Protection du menu WebAdmin, allez dans l’onglet Gestion des certificats > Certificats. 6. Cliquez sur Nouveau certificat pour charger un certificat de serveur Web SSL/TLS. 7. Sur la boîte de dialogue Ajouter un certificat, saisissez les paramètres suivants : a) Nom : saisissez un nom descriptif pour le certificat. b) Méthode : sélectionnez Charger. c) Type de fichier : sélectionnez PKCS#12(Cert+CA) d) Mot de passe : saisissez le mot de passe de votre fichier de certificat. e) Fichier : cliquez sur l’icône à côté du champ Fichier, sélectionnez le certificat à télécharger et cliquez sur Télécharger. Cliquez sur Enregistrer pour enregistrer la configuration. Le certificat est ajouté à la liste des Certificats. 22 Copyright © 2018 Sophos Limited Sophos Mobile 8. À partir de la section Webserver Protection du menu WebAdmin, allez dans l’onglet Pare-feu d’application Web > Serveurs Web virtuels. 9. Cliquez sur Nouveau serveur Web virtuel pour ajouter un serveur Web virtuel au cluster. 10. Dans la boîte de dialogue Ajouter un serveur Web virtuel, saisissez les paramètres suivants : a) Nom : saisissez un nom descriptif pour le serveur Web virtuel (par exemple Cluster SMC). b) Dans la liste Interface, sélectionnez l’interface WAN sur laquelle il sera possible d’avoir un accès externe au cluster. c) Type : sélectionnez Chiffré (HTTPS) et redirection. d) Dans la liste Certificat, sélectionnez le certificat du serveur Web que vous avez téléchargé précédemment. e) Domaines (uniquement avec le certificat générique, c’est-à-dire, un certificat de clé publique qui peut être utilisé sur divers sous-domaines) : saisissez les domaines pour lesquels le serveur Web est responsable, par exemple, achat.exemple.fr ou utilisez l’icône Action pour importer une liste de noms de domaine. Les domaines doivent être saisis en tant que nom de domaine complet (FQDN). Vous pouvez utiliser l’astérisque (*) en tant que caractère générique pour le préfixe du domaine, par exemple : *.mondomaine.fr. Les domaines avec caractères génériques sont considérés comme des paramètres de secours : le serveur Web virtuel avec l’entrée de domaine générique est uniquement utilisé lorsqu’aucun autre serveur Web virtuel avec un nom de domaine plus spécifique est configuré. Exemple : une demande client a.b.c va rechercher les résultats a.b.c avant *.b.c et avant *.c. f) Serveurs Web réels : sélectionnez les nœuds SMC que vous avez créés précédemment. Important Ne sélectionnez pas un profil de pare-feu. Cliquez sur Enregistrer pour enregistrer la configuration. Le certificat est ajouté à la liste des Serveurs Web virtuels. 11. Activez le serveur Web virtuel. Le nouveau serveur Web virtuel est désactivé par défaut. Cliquez sur le commutateur pour activer le serveur Web virtuel. La couleur du commutateur doit passer du gris (désactivé) au vert (activé). 12. Allez dans l’onglet Routage vers le site. 13. Dans la liste Serveurs Web virtuels, rendez-vous sur le serveur Web virtuel que vous avez ajouté et cliquez sur Modifier. 14. Dans la boîte de dialogue Modifier le chemin de routage vers le site qui s’ouvre, cliquez sur Avancés et sélectionnez Activer le cookie de session persistante. Cliquez sur Enregistrer pour enregistrer la configuration. Copyright © 2018 Sophos Limited 23 Sophos Mobile 7 Mise à jour de Sophos Mobile Les installations serveur de Sophos Mobile peuvent être mises à jour directement des versions 7 ou 7.1 à la version 8. Les versions plus anciennes doivent d’abord être mises à jour à la version 7. Retrouvez plus de renseignements dans la documentation de la version 7 de Sophos Mobile. 7.1 Mise à jour du serveur Sophos Mobile Pour mettre à jour votre installation serveur Sophos Mobile à la version 8, veuillez exécuter le programme d’installation de Sophos Mobile 8 et suivre les instructions. Le programme d’installation détecte automatiquement si une installation existante doit être mise à jour à la version 8. Une opération de vérification des propriétés du système sera effectuée avant que la mise à jour n’ait lieu. Si toutes les vérifications sont validées, vous pouvez poursuivre avec la mise à jour. La base de données et les fichiers seront automatiquement mis à jour sans intervention de l’utilisateur. Une fois la mise à jour terminée, le service Sophos Mobile sera redémarré. Remarque Si vous avez utilisé l’authentification Windows lors de la première installation du serveur Sophos Mobile, l’option Start Sophos Mobile server now sera grisée. Vous devez démarrer le service manuellement. 7.2 Tâches postérieurs à la mise à jour 7.2.1 Reconfiguration de l’inscription des ordinateurs Windows au Portail libre-service Si vous avez configuré l’inscription des ordinateurs Windows au Portail libre-service, veuillez ajuster la configuration après avoir mis à jour Sophos Mobile à la version 8. Dans Sophos Mobile 7.1, le package initial est une stratégie alors qu’il est une série de tâches dans Sophos Mobile 8. Dans Sophos Mobile Admin, veuillez effectuer les étapes suivantes : 1. Sous Séries de tâches > Windows, créez une nouvelle série de tâches contenant une tâche Inscrire et, facultativement, une ou plusieurs tâches Assigner une stratégie et/ou Installer l’app. Si nécessaire, créez des séries de tâches différentes pour les ordinateurs professionnels et personnels. 2. Sous Configuration > Portail libre-service > Paramètres de groupe, sélectionnez les séries de tâches indiquées comme packages initiaux pour la plate-forme Windows et cliquez sur la case à côté de Windows. Retrouvez plus de renseignements sur les séries de tâches et les paramètres du groupe du Portail libre-service dans le Manuel d’administration de Sophos Mobile. 24 Copyright © 2018 Sophos Limited Sophos Mobile 7.3 Mise à jour du cluster de serveurs Lors de la mise à jour d’un cluster de nœuds de serveurs Sophos Mobile, il est important que tous les nœuds soient toujours exécutés sur la même version et que la version du serveur corresponde à la version de la base de données. Procédez de la manière suivante : 1. Arrêtez tous les nœuds de serveur en arrêtant le service Sophos Mobile sur tous les ordinateurs concernés. 2. Mettez à jour le premier nœud comme indiqué à la section Mise à jour du serveur Sophos Mobile (page 24). Cette opération va également mettre à jour la base de données. 3. Démarrez le nœud du serveur mis à jour et assurez-vous que la mise à jour a réussie. 4. Mettez à jour les autres nœuds de serveur. Conseil Si vous utilisez le proxy EAS autonomes, vos appareils administrés ont accès à votre serveur de messagerie même en cas d’arrêt de tous les nœuds de serveur Sophos Mobile. En effet, le proxy EAS mémorise l’état de l’appareil pendant au moins 60 minutes lorsqu’il n’est pas connecté au serveur Sophos Mobile. 7.4 Mise à jour du proxy EAS autonome Pour mettre à jour votre proxy EAS autonome à la version 8, exécutez le programme d’installation du proxy EAS 8 et suivez les instructions. Le programme d’installation détecte automatiquement si une installation existante doit être mise à jour. Si vous utilisez un groupe (« cluster ») de nœuds de serveurs proxy EAS derrière un équilibreur de charge, procédez à la mise à jour de ces nœuds individuellement et dans l’ordre de votre choix. Conseil N’arrêtez pas tous les nœuds de serveurs proxy EAS en même temps. De cette manière, vous êtes sûr que la communication par email de vos appareils administrés ne sera pas interrompue pendant la mise à jour. Copyright © 2018 Sophos Limited 25 Sophos Mobile 8 Référence technique 8.1 Fonctions du serveur Sophos Mobile Le composant principal du produit Sophos Mobile est le serveur Sophos Mobile. Ses principales caractéristiques sont : • • • • • • • • • • Le serveur est connecté à Internet. Le serveur permet de configurer un environnement en haute disponibilité. L’administrateur contrôle le serveur à l’aide de l’interface Web. Les utilisateurs peuvent enregistrer leurs appareils à l’aide du Portail libre-service ou se voir confier un appareil qui a déjà été préparé par l’administrateur pour s’inscrire automatiquement. Les appareils administrés se synchronisent avec le serveur par HTTPS. Les clients iOS sont déclenchés par le serveur par APNs tandis que les clients Android le sont par GCM. Les appareils Windows utilisent le service de notification Windows (WNS pour Windows Notification Service). Vous pouvez utiliser un Microsoft SQL Server déjà existant ou une base de données MySQL pour stocker les appareils et les informations sur les applications. Vous avez également la possibilité de laisser le programme d’installation de Sophos Mobile créer une nouvelle base de données à l’aide de Microsoft SQL Server Express. La base de données peut être hébergée sur le même ordinateur ou séparément. Ceci permet d’utiliser des clusters de base de données. Le serveur est compatible avec les configurations mutualisées permettant de disposer de différents clients sur le même server. L’accès à la messagerie est possible par le biais d’un proxy EAS intégré ou autonome. La variante autonome nécessite l’accès HTTPS au serveur SMC. Le serveur Sophos Mobile a été développé pour Java EE (Enterprise Edition). Il s’installe et s’exécute sur le serveur d’applications WildFly qui a déjà fait ses preuves sur le marché et qui est conforme aux normes de l’industrie. Le serveur peut être installé sur des environnements virtuels. 8.2 Interfaces Web de Sophos Mobile 8.2.1 Interface d’administration de Sophos Mobile Sophos Mobile est administré à l’aide d’une interface Web sécurisée par un nom de connexion et par un mécanisme d’ouverture de session. Vous pouvez mettre en place des stratégies de mot de passe. Le contrôle d’accès permet d’accéder à différents rôles d’utilisateur. Ces rôles ont différentes séries de droits d’accès. Chaque utilisateur peut être assigné à un rôle exact. Retrouvez plus de renseignements dans le Manuel d’administration de Sophos Mobile. 26 Copyright © 2018 Sophos Limited Sophos Mobile 8.2.2 Interface super administrateur Le super administrateur est principalement utilisé pour créer et administrer des clients pour la gestion des mobiles. Le premier compte super administrateur est créé au cours de l’installation de Sophos Mobile. Retrouvez plus de renseignements à la section Installation et configuration du serveur Sophos Mobile (page 6). En tant que super administrateur, vous vous connectez au client super administrateur qui est également créé pendant l’installation de Sophos Mobile. Pour le client super administrateur, Sophos Mobile Admin affiche une vue personnalisée pour les tâches du super administrateur. 8.2.3 Portail libre-service Le Portail libre-service est sécurisé par un nom de connexion, un mécanisme d’ouverture de session et une stratégie de mot de passe. Le compte doit être configuré par l’administrateur Sophos Mobile et peut être associé à tout locataire. Le Portail libre-service permet aux utilisateurs d’enregistrer leurs appareils dans Sophos Mobile. Les utilisateurs sont également en mesure d’effectuer des tâches pour leurs appareils comme par exemple le verrouillage à distance ou la réinitialisation à distance. Les tâches qu’ils sont autorisés à effectuer varient selon le type de plate-forme et la configuration. En tant qu’administrateur, vous pouvez configurer les fonctions du Portail libre-service que vous voulez mettre à disposition des utilisateurs. Retrouvez plus de renseignements sur la configuration du Portail libre-service à l’intention des utilisateurs dans le Manuel d’administration de Sophos Mobile. Copyright © 2018 Sophos Limited 27 Sophos Mobile 9 Support technique Vous bénéficiez du support technique des produits Sophos de l’une des manières suivantes : • • • • 28 Rendez-vous sur le forum Sophos Community en anglais sur community.sophos.com/ et recherchez d’autres utilisateurs rencontrant le même problème que le vôtre. Rendez-vous sur la base de connaissances du support de Sophos sur www.sophos.com/fr-fr/ support.aspx. Téléchargez la documentation des produits sur www.sophos.com/fr-fr/support/ documentation.aspx. Ouvrez un incident support sur https://secure2.sophos.com/fr-fr/support/contact-support/ support-query.aspx. Copyright © 2018 Sophos Limited Sophos Mobile 10 Mentions légales Copyright © 2011-2018 Sophos Limited. Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise, sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie, enregistrement ou autre sauf si vous possédez une licence valide, auquel cas vous pouvez reproduire la documentation conformément aux termes de cette licence ou si vous avez le consentement préalable écrit du propriétaire du copyright. Sophos est une marque déposée de Sophos Limited et de Sophos Group. Tous les autres noms de produits et d’entreprises mentionnés dans ce document sont des marques ou des marques déposées de leurs propriétaires respectifs. Dernière mise à jour : 20171212 Copyright © 2018 Sophos Limited 29 ">
Lien public mis à jour
Le lien public vers votre chat a été mis à jour.
Caractéristiques clés
- Gestion unifiée via Sophos Central
- Conteneurs sécurisés pour la séparation des données
- Compatibilité avec iOS, Android pour les entreprises et Samsung Knox
- Protection des données complète
- Solution d'administration mobile flexible
Questions fréquemment posées
Sophos Mobile offre deux types de licences : Licence Mobile Standard et Licence Mobile Advanced.
Les systèmes d’exploitation pris en charge sont les éditions 64 bits de Windows Server 2008 R2 SP1, Windows Server 2012, Windows Server 2012 R2 et Windows Server 2016 (avec les Service Pack supplémentaires si disponibles).
Vous pouvez configurer un proxy EAS pour contrôler l’accès de vos appareils administrés à un serveur de messagerie. Le trafic de messagerie de vos appareils administrés est acheminé par le biais de ce proxy. Vous pouvez bloquer l’accès de ces appareils à la messagerie si, par exemple, un appareil enfreint une règle de conformité.