▼
Scroll to page 2
of
31
Sophos Mobile Guide d’installation Version du produit : 9.5 Table des matières À propos de ce guide.............................................................................................................................. 1 À propos de Sophos Mobile.................................................................................................................... 2 Licences Sophos Mobile.......................................................................................................................... 3 Licences d’essai............................................................................................................................ 3 Mise à niveau des licences d’essai vers des licences complètes................................................ 3 Mise à jour des licences............................................................................................................... 3 Installation de Sophos Mobile..................................................................................................................4 Conditions préalables à l’installation............................................................................................. 4 Conditions requises pour l'environnement système......................................................................5 Demande d’un certificat SSL/TLS.................................................................................................6 Installation et configuration du serveur Sophos Mobile................................................................ 7 Configuration du serveur Web Sophos Mobile............................................................................. 9 Changement de langue de connexion à SQL............................................................................ 10 Proxy EAS autonome.............................................................................................................................11 Scénarios d’utilisation du proxy EAS.......................................................................................... 12 Téléchargement du programme d’installation du serveur proxy EAS......................................... 13 Installation d’un proxy EAS autonome........................................................................................13 Installation du contrôle d’accès à la messagerie avec PowerShell.............................................16 Équilibrage de charge et haute disponibilité..........................................................................................19 Conditions requises..................................................................................................................... 19 Configuration des nœuds du cluster...........................................................................................20 Configuration de l’équilibrage de charge avec Sophos UTM......................................................22 Mise à jour de Sophos Mobile...............................................................................................................24 Mise à jour du serveur Sophos Mobile.......................................................................................24 Tâches postérieurs à la mise à jour........................................................................................... 24 Mise à jour du cluster de serveurs............................................................................................. 24 Mise à jour du proxy EAS autonome..........................................................................................25 Référence technique.............................................................................................................................. 26 Fonctions du serveur Sophos Mobile......................................................................................... 26 Interfaces Web de Sophos Mobile..............................................................................................26 Support technique.................................................................................................................................. 28 Mentions légales.................................................................................................................................... 29 (2019/11/05) Sophos Mobile 1 À propos de ce guide Ce guide vous explique comment installer et configurer Sophos Mobile 9,5. Il décrit également la mise à jour d’une installation déjà existante de Sophos Mobile. Sauf mention contraire, toutes les procédures doivent être effectuées en tant qu’administrateur de Microsoft Windows Server ou en tant qu’utilisateur du groupe adéquat. Copyright © Sophos Limited 1 Sophos Mobile 2 À propos de Sophos Mobile Sophos Mobile Sophos Mobile est la solution EMM des entreprises qui souhaitent consacrer moins de temps et d’énergie à la gestion et à la protection des appareils mobiles. Gérez les appareils mobiles avec Sophos Central, l’interface administrateur Web unifiée et facile à utiliser, en parallèle des produits de sécurité Sophos pour les terminaux, les réseaux et les serveurs. Les applis de conteneurs sécurisés et la compatibilité avec les conteneurs natifs dans iOS, Android Enterprise et Samsung Knox garantissent la séparation des données professionnelles sensibles et des données personnelles sur l’appareil mobile. Dotée d’une protection solide des données, d’une sécurité complète, d’un bon rapport qualité/prix et d’options flexibles de gestion, Sophos Mobile est la solution idéale d’administration des appareils mobiles en milieu professionnel. En effet, elle permet de maintenir la productivité de vos utilisateurs, assure la sécurité de vos données professionnelles et la confidentialité des données personnelles. Sophos Intercept X for Mobile Sophos Intercept X for Mobile protège vos appareils Android et iOS sans affecter leurs performances ni l’autonomie de la batterie. La technologie antimalware de pointe de Sophos permet à Sophos Intercept X for Mobile d’offrir un niveau de protection antimalware et antivirus reconnu et plébiscité. L’appli offre également la détection des applications potentiellement indésirables (PUA), des conseillers confidentialité et sécurité, la protection contre la perte et le vol des données, la protection du Web, et bien plus encore. Sophos Secure Workspace Sophos Secure Workspace est une appli de gestion du contenu mobile en conteneur pour iOS et Android. Elle permet de protéger, de gérer et de distribuer les documents professionnels et le contenu web en toute sécurité. Modifiez des documents Office dans le conteneur pour garantir la protection du contenu chiffré. La technologie anti-phishing protège les utilisateurs contre les liens malveillants présents dans les documents et tout autre contenu. Lorsqu’elle est gérée par Sophos Mobile, les administrateurs peuvent facilement restreindre l’accès au contenu en fonction des règles de conformité définies pour l’appareil. Lorsqu’elle est utilisée avec Sophos SafeGuard Encryption, l’appli Sophos Secure Workspace permet d’échanger en toute sécurité et en toute transparence des fichiers chiffrés (stockés localement ou sur le Cloud) entre les utilisateurs de systèmes Windows, macOS, iOS et Android. Sophos Secure Email Sophos Secure Email est une appli de conteneur de messagerie complète et sécurisée pour Android et iOS. Elle vous permet d’isoler les emails, les agendas et les contacts professionnels des données privées sur un appareil mobile géré par Sophos Mobile. Toutes les informations de l’entreprise sont protégées par le chiffrement AES-256 et l’accès peut facilement être révoqué à l’aide de règles de conformité définies pour l’appareil. Sophos Secure Email permet également au service informatique de fournir la même messagerie professionnelle sécurisée sur différents appareils et systèmes d’exploitation. 2 Copyright © Sophos Limited Sophos Mobile 3 Licences Sophos Mobile Sophos Mobile offre deux types de licences : • Licence Mobile Standard : • Licence Mobile Advanced Avec une licence de type Mobile Advanced, vous pouvez gérer Sophos Intercept X for Mobile, Sophos Secure Workspace et Sophos Secure Email. En tant que super administrateur, vous pouvez activer les licences achetées dans le client super administrateur et assigner le nombre requis d’utilisateurs sous licence à chaque client individuel. 3.1 Licences d’essai Sophos offre un essai gratuit de Sophos Mobile. Vous pouvez vous inscrire à cet essai sur le site Web de Sophos : http://www.sophos.com/fr-fr/products/free-trials/mobile-control.aspx. Une licence d’essai vous permet d’administrer jusqu’à cinq utilisateurs pendant 30 jours. Pour configurer Sophos Mobile, vous allez avoir besoin de l’adresse électronique que vous avez utilisée pour vous inscrire pour télécharger le programme d’installation. 3.2 Mise à niveau des licences d’essai vers des licences complètes Pour mettre à niveau vos licences d’essai vers des licences complètes, il vous suffit simplement de saisir la clé de licence complète dans Sophos Mobile. Retrouvez plus de renseignements dans le Manuel d’administration de Sophos Mobile. 3.3 Mise à jour des licences Pour mettre à jour vos licences, veuillez activer la nouvelle clé de licence dans Sophos Mobile Admin. Copyright © Sophos Limited 3 Sophos Mobile 4 Installation de Sophos Mobile Cette section décrit la procédure d’installation d’un nouveau serveur Sophos Mobile. Retrouvez plus de renseignements sur la mise à jour d’une installation déjà existante à la section Mise à jour de Sophos Mobile (page 24). 4.1 Conditions préalables à l’installation Veuillez vérifier les conditions préalables à l’installation du serveur Sophos Mobile : • Vous avez lu le Guide de déploiement du serveur Sophos Mobile (anglais). Ce document contient des exemples d’architecture pour l’intégration du serveur Sophos Mobile à l’infrastructure de votre entreprise, des conseils sur les dimensions (tailles) à respecter et une liste des ports et protocoles réseau requis. • Vous avez lu les Notes de publication de Sophos Mobile 9.5 (anglais) et vérifié que l’ordinateur qui héberge le serveur Sophos Mobile (ordinateur serveur), les appareils à administrer et tous les autres composants nécessaires sont compatibles avec Sophos Mobile. • Vous avez un certificat SSL/TLS pour le serveur Sophos Mobile. Retrouvez plus de renseignements à la section Demande d’un certificat SSL/TLS (page 6). • Aucun serveur Web IIS (Internet Information Services) ou aucune autre application utilisant les ports 80 ou 443 n’est installé sur l’ordinateur serveur. • Le nom DNS de l’ordinateur serveur peut être résolu sur Internet. • Il y a un ou plusieurs groupes LDAP contenant les utilisateurs autorisés à servir du Portail libreservice, si vos comptes d’utilisateur sont stockés dans l’annuaire LDAP. Conditions préalables à respecter si vous voulez administrer la base de données Sophos Mobile avec un serveur de base de données existant : • Microsoft SQL Server ou Microsoft SQL Server Express : — L’authentification Windows ou SQL Server est utilisée. — TCP/IP est activé. — Le service Explorateur SQL Server est activé. — La langue du compte utilisé pour la connexion à SQL est définie sur Anglais. • Microsoft SQL Server Express : — Les outils d’administration de SQL sont installés. 4 Copyright © Sophos Limited Sophos Mobile 4.2 Conditions requises pour l'environnement système Le programme d’installation de Sophos Mobile effectue une série de tests pour vérifier que votre environnement système remplit toutes les conditions requises à l’installation de Sophos Mobile. Conditions obligatoires Le programme d’installation Sophos Mobile démarre uniquement si les conditions suivantes sont remplies : • Vous êtes connecté à l’ordinateur avec un compte administrateur local. • Le système d’exploitation de l’ordinateur est compatible avec Sophos Mobile. • L’ordinateur est équipé d’au moins un adaptateur réseau. • L’ordinateur dispose d’au moins 4 Go de mémoire RAM. • Le serveur Web Microsoft Internet Information Services (IIS) est désactivé sur l’ordinateur. • Les ports HTTP/S 80, 443 et 818 sont disponibles sur l’ordinateur. • L’ordinateur peut se connecter aux services Web suivants : — Service Apple Push Notification (APNs) — Google Firebase Cloud Messaging (FCM) — Google reCAPTCHA — Windows Push Notification Services (WNS) — Services Sophos Conditions facultatives Certaines fonctions de Sophos Mobile ne sont disponibles que si votre ordinateur peut se connecter aux services Web suivants : • Programme d’achat en volume d’Apple • Apple iTunes • Contournement du verrouillage d’activation Apple • Programme d’inscription d’appareils Apple (DEP) • Google Android Enterprise • Microsoft Azure • TeamViewer Copyright © Sophos Limited 5 Sophos Mobile 4.3 Demande d’un certificat SSL/TLS Votre produit Sophos inclut l’assistant « SSL Certificate Wizard » vous permettant de demander votre certificat SSL/TLS pour le proxy EAS de Sophos Mobile. Exécutez l’assistant à partir du dossier %MDM_HOME%\tools\Wizard ou téléchargez-le à sur www.sophos.com/mysophos. Remarque Si vous utilisez un certificat autosigné ou un certificat émis par votre propre autorité de certification, les restrictions suivantes s’appliquent : • Vous devez installer manuellement le certificat autosigné ou le certificat de votre autorité de certification sur vos appareils avant de les inscrire à Sophos Mobile. Si vous n’effectuez pas cette opération, l’appli Sophos Mobile Control ne fera pas confiance à votre serveur et refusera de se connecter. Les certificats émis par une autorité de certification mondialement reconnue ne nécessitent pas d’installation manuelle. • Vous ne pouvez pas installer les applis Android à partir de fichiers APK hébergés sur le serveur Sophos Mobile. • Vous ne pouvez pas utiliser l’inscription Zero-touch d’Android ou Samsung Knox Mobile Enrollment. • Si vous utilisez un certificat autosigné qui n’a pas été créé par l’Assistant de configuration ou l’Assistant de certificat SSL de Sophos Mobile, consultez l’article d’Apple sur les « Exigences relatives aux certificats de confiance sous iOS 13 et MacOS 10.15 ». Pour demander votre certificat SSL/TLS : • Exécutez le fichier Sophos Mobile SSL Certificate Wizard.exe pour lancer l’assistant « SSL Certificate Wizard ». Un assistant vous guide tout au long de l’installation. Saisissez les informations requises en prenant en compte les instructions suivantes : a) Sur la page Upload CSR, vous pouvez cliquer sur le bouton Open CSR pour ouvrir le fichier CSR si votre éditeur de certificat prend en charge la fonction copier/coller. b) Sur la page Import Certificate Files, saisissez le certificat de l’autorité de certification téléchargé sur la page Upload CSR dans le champ Select CA certificate file. c) L’emplacement du certificat est affiché sur la page Certificate created. Veuillez indiquer cet emplacement lorsque vous installez Sophos Mobile. Remarque Veuillez créer une sauvegarde du dossier contenant les fichiers de certificat. Information associée Configuration requise pour les certificats de confiance dans iOS 13 et macOS 10.15 (lien externe) 6 Copyright © Sophos Limited Sophos Mobile 4.4 Installation et configuration du serveur Sophos Mobile Conditions préalables : • Si vous prévoyez de connecter Sophos Mobile à une base de données déjà existante, assurezvous que les codes d’accès de connexion à la base de données sont disponibles avant de commencer l’installation. Assurez-vous également d’avoir les autorisations adéquates pour créer de nouvelles banques de données, des nouveaux comptes d’utilisateur et de nouveaux enregistrements de données. • Si la base de données n’est pas locale, vous allez devoir accéder au port TCP 1433 (pour Microsoft SQL Server) ou 3306 (pour MySQL). Par ailleurs, vous devez disposer d’un compte administrateur que le serveur Sophos Mobile va utiliser pour se connecter à la base de données. 1. Connectez-vous à Windows avec un compte d’utilisateur disposant des droits d’administrateur local. 2. Démarrez le programme d’installation de Sophos Mobile. 3. Sur la page System Property Checks, cliquez sur Check pour vérifier que votre environnement système remplit toutes les conditions requises à l’installation de Sophos Mobile. Retrouvez plus de renseignements à la section Conditions requises pour l'environnement système (page 5). Vous pouvez cliquer sur Report pour créer un rapport de résultats. 4. Sur la page Choose Install Location, sélectionnez le dossier de destination du serveur Sophos Mobile. 5. Sur la page Database Type Selection, sélectionnez le type de base de données que vous voulez utiliser : • Install and use Microsoft SQL Server Express: installe SQL Server 2016 Express et le configure pour une utilisation avec Sophos Mobile. • Use existing Microsoft SQL Server installation: utilise votre installation déjà existante de Microsoft SQL Server et crée une nouvelle base de données pour Sophos Mobile. • Use existing MySQL installation: utilise votre installation déjà existante de MySQL et crée une nouvelle base de données pour Sophos Mobile. 6. Sur la page Database Settings, saisissez les codes d’accès de connexion pour la base de données. Remarque Si vous sélectionnez l’option Use SQL Server Authentification, assurez-vous que la langue de connexion à SQL est définie sur Anglais. Retrouvez plus de renseignements à la section Changement de langue de connexion à SQL (page 10). 7. Sur la page Database Selection, cliquez sur Create a new database named et saisissez un nom pour la base de données à créer (par exemple ; SMCDB). 8. La page Database Configuration affiche des messages de progression de la création de la base de données. Lorsque la base de données a été créée avec succès et que des données y ont été enregistrées, cliquez sur Next pour continuer. 9. Si vous avez sélectionné l’authentification Windows pour l’accès à la base de données, la page Set service credentials vous permet de définir le compte Windows sous lequel le service Sophos Mobile va s’exécuter. Copyright © Sophos Limited 7 Sophos Mobile Vous pouvez utiliser le compte Système local ou un compte d’utilisateur. Dans le dernier cas, saisissez le compte d’utilisateur au format <nom ordinateur>\<nom utilisateur> ou <domaine>\<nom utilisateur>. Le programme d’installation va assigner les droits d’accès à la base de données à ce compte. Remarque Pour des raisons de sécurité, nous vous conseillons d’exécuter le service Sophos Mobile en tant qu’utilisateur avec droits d’accès limités. Le compte d’utilisateur doit disposer des propriétés suivantes : • Le compte d’utilisateur est un compte Windows local sur l’ordinateur sur lequel Sophos Mobile est installé. • L’utilisateur n’appartient à aucun groupe, même pas à un groupe d’utilisateurs. • L’utilisateur peut accéder à votre base de données SQL avec les droits de modification nécessaires. Pour une base de données MS-SQL, ceci signifie que l’utilisateur doit être membre des rôles db_datareader et db_datawriter. 10. Sur la page Configure super admin account, configurez les informations du compte pour l’administrateur. Le rôle principal du super administrateur est de gérer les clients. Ce rôle ne doit pas être utilisé pour les opérations d’administration usuelles des appareils. Le super administrateur se connecte au client super administrateur et peut, par exemple, prédéfinir les paramètres pour les nouveaux clients et déployer ces paramètres et configurations aux clients existants. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Remarque Les codes d’accès du super administrateur sont requis pour la première connexion à Sophos Mobile Admin. Suite à l’installation, d’autres super administrateurs peuvent être ajoutés à Sophos Mobile Admin. 11. Sur la page Configure external server name, saisissez un nom de serveur Sophos Mobile (par exemple smc.monentreprise.fr). Remarque Le nom du serveur doit pouvoir être résolu par les appareils administrés. 12. Sur la page Configure server certificate, importez un certificat pour bénéficier de l’accès sécurisé (HTTPS) au serveur Web. • Si vous avez un certificat approuvé, cliquez sur Import a certificate from a trusted issuer et sélectionnez l’une des options suivantes dans la liste déroulante : • Si vous n’avez pas encore de certificat approuvé, sélectionnez Create self-signed certificate. Remarque Votre produit Sophos inclut l’assistant « SSL Certificate Wizard » vous permettant de demander votre certificat SSL/TLS pour Sophos Mobile. Retrouvez plus de renseignements à la section Demande d’un certificat SSL/TLS (page 6). 13. Sur la page suivante, saisissez les informations sur le certificat selon le type de certificat que vous avez sélectionné. 8 Copyright © Sophos Limited Sophos Mobile Remarque Pour un certificat auto-signé, vous devez indiquer un serveur qui est accessible à partir des appareils administrés. 14. Sur la page Server Information, vérifiez les informations du serveur et cliquez sur Next pour confirmer le serveur et la procédure de configuration. 15. Lorsque l’installation est terminée, la boîte de dialogue Sophos Mobile Control - Installation finished s’affiche. Assurez-vous que la case Start Sophos Mobile server now est sélectionnée et cliquez sur Finishpour démarrer le service Sophos Mobile pour la première fois. Remarque L’interface Web Sophos Mobile sera disponible quelques minutes après le démarrage du service. Suite à l’installation, vous allez devoir effectuer quelques étapes de configuration initiale : • Configurez le serveur Web Sophos Mobile pour qu’il accepte uniquement les requêtes envoyées à votre nom de domaine. Retrouvez plus de renseignements à la section Configuration du serveur Web Sophos Mobile (page 9). • Connectez-vous à Sophos Mobile Admin pour la première fois afin de démarrer l’assistant Premières étapes. Retrouvez plus de renseignements dans le Guide de démarrage de Sophos Mobile. • Pour les iPhones, iPads et les Macs, vous devez obtenir un certificat du service Apple Push Notification. Retrouvez plus de renseignements dans le Guide de démarrage de Sophos Mobile. • Vous avez également la possibilité de configurer un proxy EAS autonome pour le filtrage de la messagerie. Retrouvez plus de renseignements à la section Proxy EAS autonome (page 11). 4.5 Configuration du serveur Web Sophos Mobile Sophos Mobile inclut un composant de serveur Web permettant de fournir le contenu de Sophos Mobile Admin et des applications Web du Portail libre-service. Vous pouvez configurer le serveur Web en fonction de votre environnement. Les requêtes HTTP envoyées à un serveur Web incluent le champ « Host » dans l’en-tête de la requête indiquant l’application Web qui va traiter la requête. Un cybercriminel peut potentiellement manipuler la valeur du champ « Host » afin de créer un comportement inattendu. Suite à l’installation, le composant du serveur Web de Sophos Mobile ne vérifie pas la valeur du champ « Host ». Nous vous conseillons de configurer le serveur Web afin qu’il accepte uniquement les requêtes envoyées à votre nom de domaine. 1. Sur l’ordinateur sur lequel vous avez installé le serveur Sophos Mobile, exécutez le script %MDM_HOME%\tools\HostValidationUndertowFilter\addModule.bat Remplacez %MDM_HOME% par votre dossier d’installation Sophos Mobile. 2. Ouvrez le fichier %MDM_HOME%\wildfly\standalone\configuration\smc-config.xml dans un éditeur de texte et recherchez la section suivante : <filter name="hostheadervalidation" ...> <param name="allowedHosts" value="localhost"/> </filter> Copyright © Sophos Limited 9 Sophos Mobile 3. Après localhost, ajoutez votre nom de domaine pour Sophos Mobile Admin et pour le Portail libre-service. Par exemple, si votre nom de domaine est smc.exemple.com, modifiez le ligne comme suit : <param name="allowedHosts" value="localhost,smc.exemple.com"/> Si votre serveur Sophos Mobile est accessible sous plusieurs noms de domaine, saisissez tous les noms en les séparant par des virgules. 4. Enregistrez le fichier smc-config.xml 5. Redémarrez le service Sophos Mobile. 4.6 Changement de langue de connexion à SQL Si vous avez configuré le serveur Sophos Mobile pour utiliser l’authentification SQL Server pour vous connecter à la base de données, la langue de connexion à SQL doit être l’anglais. En cas contraire, une erreur survient au démarrage du service Sophos Mobile. Cette rubrique décrit la manière de changer la langue de connexion à SQL sur l’anglais. 1. Arrêtez le service Sophos Mobile. 2. Ouvrez SQL Server Management Studio sur le serveur et sélectionnez Sécurité > Connexions. 3. Sur la page Général des Propriétés de la connexion, définissez la Langue par défaut sur l’anglais, puis cliquez sur OK pour enregistrer vos modifications. 4. Redémarrez le service Sophos Mobile. 10 Copyright © Sophos Limited Sophos Mobile 5 Proxy EAS autonome Vous pouvez configurer un proxy EAS pour contrôler l’accès de vos appareils administrés à un serveur de messagerie. Le trafic de messagerie de vos appareils administrés est acheminé par le biais de ce proxy. Vous pouvez bloquer l’accès de ces appareils à la messagerie si, par exemple, un appareil enfreint une règle de conformité. Les appareils doivent être configurés pour utiliser le proxy EAS en tant que serveur de messagerie pour les emails entrants et sortants. Le proxy EAS transfère uniquement le trafic vers le serveur de messagerie si l’appareil est déclaré dans Sophos Mobile et qu’il respecte les stratégies mises en place. Un plus haut niveau de sécurité est ainsi garanti car il n’est pas nécessaire d’accéder au serveur de messagerie via Internet et que seuls les appareils sont autorisés (s’ils sont configurés correctement, par exemple en respectant les consignes en matière de code secret) à y accéder. Vous pouvez également configurer le proxy EAS pour bloquer l’accès à des appareils spécifiques. Il existe deux types de proxy EAS : • Le proxy EAS interne qui est installé automatiquement avec Sophos Mobile. Il est compatible avec le trafic ActiveSync utilisé par Microsoft Exchange ou IBM Notes Traveler pour iOS et avec les appareils Samsung Knox. • Un proxy EAS autonome qui peut être téléchargé et installé séparément. Il communique avec le serveur Sophos Mobile par le biais d’une interface Web HTTPS. Remarque Pour des raisons de performances, nous vous conseillons d’utiliser le serveur proxy EAS autonome plutôt que la version interne lorsque vous devez administrer le trafic de messagerie de plus de 500 appareils client. Remarque Le protocole ActiveSync n’est pas pris en charge par macOS. Vous ne pouvez donc pas utiliser le proxy interne ou autonome pour filtrer le trafic de messagerie provenant des Macs. Fonctions Le proxy EAS autonome comprend plus de fonctions que la version interne : • Compatible avec IBM Notes Traveler sur les appareils non iOS (par exemple, Android). Le client Traveler sur ces appareils utilise un protocole (qui n’est pas ActiveSync) qui n’est pas compatible avec le proxy EAS interne. • Compatible avec de nombreux serveurs de messagerie Microsoft Exchange ou IBM Notes Traveler. Vous pouvez configurer une instance du proxy EAS par serveur de messagerie. • Compatible avec l’équilibrage de charge. Vous pouvez configurer plusieurs instances de serveurs proxy EAS autonomes sur plusieurs ordinateurs, puis utiliser un mécanisme d’équilibre de charge pour distribuer les demandes du client sur ceux-ci. • Compatible avec l’authentification du certificat client. Vous pouvez sélectionner un certificat à partir d’une autorité de certification (AC) depuis laquelle les certificats client doivent provenir. • Compatible avec le contrôle d’accès à la messagerie avec PowerShell. Dans ce cas de figure, le service du proxy EAS communique avec le serveur de messagerie par le biais de PowerShell afin de contrôler l’accès à la messagerie de vos appareils administrés. Le trafic de messagerie transite Copyright © Sophos Limited 11 Sophos Mobile directement des appareils vers le serveur de messagerie et n’est pas acheminé par un proxy. Retrouvez plus de renseignements à la section Installation du contrôle d’accès à la messagerie avec PowerShell (page 16). • Le proxy EAS mémorise l’état de l’appareil pendant 24 heures. Si le serveur Sophos Mobile est hors connexion, par exemple lors d’une mise à jour, le trafic de messagerie est filtré selon le dernier état connu de l’appareil. Après 24 heures, tout le trafic de messagerie est bloqué. Remarque Pour les appareils non iOS, les fonctionnalités de filtrage du proxy EAS autonome sont limitées en raison des caractéristiques spécifiques du protocole IBM Notes Traveler. Les clients Traveler sur les appareils non iOS n’envoient pas l’identifiant de l’appareil à chaque demande. Les demandes effectuées sans identifiant d’appareil sont toujours transférées au serveur Traveler. Toutefois, le proxy EAS n’est pas en mesure de vérifier si l’appareil est autorisé. 5.1 Scénarios d’utilisation du proxy EAS Remarque En plus des instructions de cette section, le Guide de déploiement du serveur Sophos Mobile (anglais) contient des diagrammes représentant l’intégration du proxy EAS autonome à l’infrastructure de votre entreprise. Nous vous conseillons de lire ces informations avant d’installer et de déployer le proxy EAS autonome. Vous utilisez IBM Notes Traveler (anciennement IBM Lotus Notes Traveler) pour les appareils non iOS. Le proxy EAS interne ne convient pas à ce cas de figure car il n’est pas compatible avec le protocole ActiveSync utilisé par Microsoft Exchange et IBM Notes Traveler sur les appareils iOS. IBM Notes Traveler pour les appareils non iOS (par exemple, Android) utilise un protocole différent qui est compatible avec le proxy EAS autonome. Pour les appareils non iOS, il est nécessaire d’utiliser le logiciel client Traveler. Ce logiciel est disponible sur <serveur-traveler>/servlet/traveler ou sur le système de fichiers Traveler. Les fonctions Installer l’app et Désinstaller l’app de Sophos Mobile peuvent être utilisées pour installer et désinstaller le logiciel client Traveler. La configuration doit être effectuée manuellement. Vous voulez prendre en charge plusieurs serveurs backend Le proxy EAS autonome vous permet de configurer plusieurs instances des systèmes de messagerie backend. Chaque instance nécessite un port TCP entrant. Chaque port se connecte à un backend différent. Vous avez besoin d’une URL par instance de proxy EAS. Vous voulez configurer l’équilibrage de charge pour EAS Vous pouvez configurer plusieurs instances de serveurs proxy EAS autonomes sur plusieurs ordinateurs, puis utiliser un mécanisme d’équilibre de charge pour distribuer les demandes du client sur ceux-ci. Dans ce cas de figure, utilisez un mécanisme d’équilibre de charge déjà existant pour HTTP. 12 Copyright © Sophos Limited Sophos Mobile Vous voulez utiliser l’authentification par certificat client Dans ce cas de figure, une infrastructure de clés publiques (PKI) doit être utilisée et la partie publique du certificat de l’autorité de certification doit être définie dans le proxy EAS. Vous devez administrer plus de 500 appareils. Pour des raisons de performances, nous vous conseillons d’utiliser le serveur proxy EAS autonome plutôt que la version interne lorsque vous devez administrer le trafic de messagerie de plus de 500 appareils client. 5.2 Téléchargement du programme d’installation du serveur proxy EAS 1. Connectez-vous à Sophos Mobile Admin en tant que super administrateur. 2. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos puis sur l’onglet Proxy EAS. 3. Sous Externe, cliquez sur le lien pour télécharger le programme d’installation du proxy EAS. Le fichier du programme d’installation est enregistré localement sur votre ordinateur. 5.3 Installation d’un proxy EAS autonome Conditions préalables : • Vous avez installé et configuré Sophos Mobile. • Tous les serveurs de messagerie nécessaires sont accessibles. Le programme d’installation du proxy EAS ne configurera pas les connexions aux serveurs qui ne sont pas disponibles. • Vous êtes un administrateur sur l’ordinateur sur lequel vous installez le proxy EAS. Remarque Le Guide de déploiement du serveur Sophos Mobile (anglais) contient des schémas d’intégration du proxy EAS autonome à l’infrastructure de votre entreprise. Nous vous conseillons de lire ces informations avant d’installer et de déployer le proxy EAS autonome. 1. Exécutez Sophos Mobile EAS Proxy Setup.exe pour démarrer Sophos Mobile EAS Proxy - Setup Wizard. 2. Sur la page Choose Install Location, sélectionnez le dossier de destination et cliquez sur Install pour commencer l’installation. Une fois l’installation terminée, l’assistant Sophos Mobile EAS Proxy - Configuration Wizard démarre automatiquement et vous guide tout au long des étapes de configuration. 3. Dans la boîte de dialogue Sophos Mobile server configuration, saisissez l’URL du serveur Sophos Mobile auquel va se connecter le proxy EAS. Veuillez également sélectionner Use SSL for incoming connections (Clients to EAS Proxy) pour sécuriser la communication entre les clients et le proxy EAS. Copyright © Sophos Limited 13 Sophos Mobile Vous avez également la possibilité de sélectionner Use client certificates for authentication si vous voulez que les clients utilisent un certificat en plus des codes d’accès du proxy EAS pour l’authentification. La sécurité de la connexion bénéficiera ainsi d’un niveau supplémentaire de sécurité. Sélectionnez Allow all certificates si votre serveur Sophos Mobile présente différents certificats au proxy EAS. Par exemple, s’il y a plusieurs instances du serveur sur un équilibreur de charge et que chacune de ces instances utilise un certificat différent. Lorsque cette option est sélectionnée, le proxy EAS accepte tous les certificats provenant du serveur Sophos Mobile. Attention L’option Allow all certificates réduit le niveau de sécurité de la communication avec le serveur. Aussi, nous vous conseillons vivement de la sélectionner uniquement si elle est requise par votre environnement réseau. 4. Si vous sélectionnez Use SSL for incoming connections (Clients to EAS Proxy), la page Configure server certificate apparaît. Cette page vous permet de créer ou d’importer un certificat pour bénéficier de l’accès sécurisé (HTTPS) au proxy EAS. Remarque Votre produit Sophos inclut l’assistant « SSL Certificate Wizard » vous permettant de demander votre certificat SSL/TLS pour le proxy EAS de Sophos Mobile. Retrouvez plus de renseignements à la section Demande d’un certificat SSL/TLS (page 6). • Si vous n’avez pas encore de certificat approuvé, sélectionnez Create self-signed certificate. • Si vous avez un certificat approuvé, cliquez sur Import a certificate from a trusted issuer et sélectionnez l’une des options suivantes dans la liste : — PKCS12 with certificate, private key and certificate chain (intermediate and CA) — Separate files for certificate, private key, intermediate and CA certificate 5. Sur la page suivante, saisissez les informations sur le certificat selon le type de certificat que vous avez sélectionné. Remarque Pour un certificat auto-signé, vous devez indiquer un serveur qui est accessible à partir des appareils client. 6. Si vous sélectionnez Use client certificates for authentication, la page SMC client authentication configuration apparaît. Sur cette page, vous pouvez sélectionner un certificat à partir d’une autorité de certification (AC) depuis laquelle les certificats client doivent provenir. Lorsqu’un client essaye de se connecter, le proxy EAS vérifie si le certificat client provient de l’autorité de certification que vous avez indiquée ici. 7. Sur la page EAS Proxy instance setup, configurez une ou plusieurs instances du proxy EAS. 14 • Instance type: Sélectionnez EAS proxy. • Instance name: un nom pour identifier l’instance. • Server port: le port du proxy EAS pour le trafic de messagerie entrant. Si vous avez configuré plusieurs instances de proxy, chacune d’entre elles doit impérativement utiliser un port différent. • Require client certificate authentication: les clients de messagerie doivent s’authentifier lors de la connexion au proxy EAS. Copyright © Sophos Limited Sophos Mobile • ActiveSync server: le nom ou l’adresse IP de l’instance du serveur Exchange ActiveSync auquel l’instance du proxy va se connecter. • SSL: la communication entre l’instance du proxy et le serveur Exchange ActiveSync est sécurisée par SSL ou TLS (selon la compatibilité du serveur). • Allow EWS subscription requests from Secure Email: sélectionnez cette option pour permettre à l’app Sophos Secure Email sur iOS de s’abonner aux notifications push via les services Web Exchange. Les notifications push informent l’appareil de la présence de messages pour Sophos Secure Email. Remarque — Par défaut et pour des raisons de sécurité, le proxy EAS bloque toutes les demandes au serveur Exchange de l’interface du service web Exchange. Si vous sélectionnez cette case, les demandes d’abonnement sont autorisées. Toutes les autres demandes sont bloquées. — Retrouvez plus de renseignements sur la configuration d’EWS pour votre serveur Exchange dans l’article 127137 de la base de connaissances Sophos. • Enable Traveler client access: sélectionnez uniquement cette case pour autoriser l’accès au client IBM Notes Traveler sur les appareils non iOS. 8. Après avoir saisi les informations sur l’instance, cliquez sur Add pour ajouter l’instance à la liste Instances. Pour chaque instance de proxy, le programme d’installation va créer un certificat que vous devrez télécharger sur le serveur Sophos Mobile. Après avoir cliqué sur Add, une fenêtre s’ouvre et affiche un message d’instructions de téléchargement du certificat. 9. Dans la fenêtre du message, cliquez sur OK. Une boîte de dialogue va s’ouvrir et afficher le dossier dans lequel le certificat a été créé. Remarque Vous pouvez également ouvrir la boîte de dialogue en sélectionnant l’instance adéquate et en cliquant sur le lien Export config and upload to Sophos Mobile server sur la page EAS Proxy instance setup. 10. Notez le nom du dossier du certificat. Vous allez avoir besoin de cette information lorsque vous allez téléchargé le certificat dans Sophos Mobile. 11. Facultatif : Cliquez de nouveau sur Add pour configurer des instances supplémentaires du proxy EAS. 12. Lorsque vous avez configuré toutes les instances du proxy EAS requises, cliquez sur Next. Les ports du serveur que vous avez saisis seront testés et les règles entrantes du pare-feu Windows seront configurées. 13. Sur la page Allowed mail user agents, vous pouvez indiquer les agents utilisateurs de la messagerie (applications clientes de messagerie) qui sont autorisés à se connecter au proxy EAS. Si un client se connecte au proxy EAS à l’aide d’une application de messagerie qui n’a pas été indiquée, la demande sera rejetée. • Sélectionnez Allow all mail user agents pour tout autoriser. • Sélectionnez Only allow the specified mail user agents puis sélectionnez un agent d’utilisation de la messagerie dans la liste. Cliquez sur Add pour ajouter l’entrée à la liste des agents autorisés. Répétez cette opération pour tous les agents utilisateurs de la messagerie autorisés à se connecter au proxy EAS. Copyright © Sophos Limited 15 Sophos Mobile 14. Sur la page Sophos Mobile EAS Proxy - Configuration Wizard finished, cliquez sur Finish pour fermer l’assistant de configuration et retourner dans l’assistant d’installation. 15. Dans l’assistant d’installation, assurez-vous que la case Start Sophos Mobile EAS Proxy server now est sélectionnée et cliquez sur Finish pour terminer la configuration et démarrer le proxy EAS de Sophos Mobile pour la première fois. Pour terminer la configuration du proxy EAS, téléchargez les certificats qui ont été créés pour chaque instance du proxy dans Sophos Mobile : 16. Connectez-vous à Sophos Mobile Admin en tant que super administrateur. 17. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos puis sur l’onglet Proxy EAS. 18. Sous Externe, cliquez sur Télécharger un fichier. Téléchargez le certificat créé par l’assistant de configuration. Si vous avez créé plusieurs instances, répétez cette opération pour tous les certificats d’instance. 19. Sélectionnez Enregistrer. 20. Dans Windows, ouvrez la boîte de dialogue Services et redémarrez le service EASProxy. Cette opération termine l’installation initiale du proxy EAS autonome. Remarque Chaque jour, les entrées de journal du proxy EAS sont déplacées dans un nouveau fichier en utilisant le format EASProxy.log.aaaa-mm-jj. Ces fichiers journaux quotidiens ne sont pas supprimés automatiquement et peuvent entraîner des problèmes d’espace disque au bout d’un certain temps. Nous vous conseillons dont de mettre en place un processus qui déplacera les fichiers journaux vers un emplacement de sauvegarde. 5.4 Installation du contrôle d’accès à la messagerie avec PowerShell Vous pouvez établir une connexion PowerShell à un serveur Exchange ou Office 365. Ceci signifie que le service du proxy EAS communique avec le serveur de messagerie par le biais de PowerShell afin de contrôler l’accès à la messagerie de vos appareils administrés. Le trafic de messagerie est directement acheminé des appareils vers le serveur de messagerie. Il n’est pas acheminé par le biais d’un proxy. Remarque Retrouvez un diagramme de la communication PowerShell dans le Guide de déploiement du serveur Sophos Mobile (anglais). Remarque Le protocole ActiveSync n’est pas pris en charge par macOS. Vous ne pouvez donc pas utiliser PowerShell pour contrôler l’accès à la messagerie des Macs. Le recours à PowerShell présente les avantages suivants : • Les appareils communiquent directement avec le serveur Exchange. • Vous n’avez pas besoin d’ouvrir un port sur votre serveur pour le trafic de messagerie entrant à partir de vos appareils administrés. Les serveurs de messagerie compatibles sont : 16 Copyright © Sophos Limited Sophos Mobile • Exchange Server 2013 • Exchange Server 2016 • Office 365 avec un plan Exchange Online Pour créer une communication PowerShell : 1. Configurez PowerShell. 2. Créez un compte de service sur le serveur Exchange ou dans Office 365. Ce compte est utilisé par Sophos Mobile pour exécuter les commandes PowerShell. 3. Créez une ou plusieurs instances de connexion PowerShell vers Exchange ou Office 365. 4. Téléchargez des certificats de l’instance dans Sophos Mobile. Configuration de PowerShell 1. Sur l’ordinateur sur lequel vous allez installer le proxy EAS, ouvrez Windows PowerShell en tant qu’administrateur et saisissez : PS C:\Windows\system32> Set-ExecutionPolicy RemoteSigned Remarque Si PowerShell n’est pas disponible, veuillez l’installer conformément aux instructions de l’article de Microsoft Installation de Windows PowerShell (lien externe). 2. Si vous voulez connecter un serveur Exchange local, ouvrez Windows PowerShell en tant qu’administrateur sur cet ordinateur et saisissez la même commande qu’auparavant : PS C:\Windows\system32> Set-ExecutionPolicy RemoteSigned Remarque Cette étape n’est pas nécessaire sur Office 365. Création d’un compte de service 3. Connectez-vous à la console d’administration adéquate. • Pour Exchange Server 2013/2016 : Centre d’administration Exchange • Pour Office 365 : Centre d’administration Office 365 4. Créez un compte de service. Ce compte est utilisé en tant que compte de service par Sophos Mobile pour exécuter les commandes PowerShell. • Utilisez un nom d’utilisateur tel que smc_powershell pour identifier le but du compte. • Désactivez le paramètre pour vous assurer que l’utilisateur change son mot de passe à sa prochaine connexion. • Retirez toute licence Office 365 qui était automatiquement assignée au nouveau compte. Les comptes de service ne nécessite pas de licence. 5. Créez un nouveau groupe de rôles et assignez lui les autorisations adéquates. • Utilisez un nom de groupe de rôles tel que smc_powershell. • Ajoutez les rôles Mail Recipients et Organization Client Access. • Ajoutez le compte de service en tant que membre. Création des connexions PowerShell Copyright © Sophos Limited 17 Sophos Mobile 6. Utilisez l’assistant d’installation de la même manière que pour installer un proxy EAS autonome. Sur la page de l’assistant EAS Proxy instance setup, configurez les paramètres suivants : • Instance type: Sélectionnez PowerShell Exchange/Office 365. • Instance name: un nom pour identifier l’instance. • Exchange server: le nom ou l’adresse IP du serveur Exchange (pour une installation locale du serveur Exchange) ou outlook.office365.com (pour Office 365). N’incluez pas de préfixe https:// ou de suffixe /powershell. Ceux-ci seront ajoutés automatiquement. • Allow all certificates: le certificat que le serveur Exchange produit n’est pas vérifié. Utilisez ceci si, par exemple, vous avez un certificat auto-signé installé sur votre serveur Exchange. L’option Allow all certificates réduit le niveau de sécurité de la communication avec le serveur. Aussi, nous vous conseillons vivement de la sélectionner uniquement si elle est requise par votre environnement réseau. • Service account: le nom du compte d’utilisateur que vous avez créé dans la console d’administration Exchange ou Office 365. • Password: le mot de passe du compte d’utilisateur. 7. Cliquez sur Add pour ajouter l’instance à la liste Instances. 8. répétez les étapes précédentes pour établir des connexions PowerShell sur d’autres serveurs Exchange ou Office 365. 9. Effectuez toutes les étapes de l’assistant d’installation comme indiqué à la section Installation d’un proxy EAS autonome (page 13). Téléchargement des certificats 10. Connectez-vous à Sophos Mobile Admin en tant que super administrateur. 11. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos puis sur l’onglet Proxy EAS. 12. Facultatif : Sous Général, sélectionnez Restreindre à Sophos Secure Email pour limiter l’accès à la messagerie à l’app Sophos Secure Email disponible pour Android et iOS. Cette opération empêche à d’autres applis de messagerie de se connecter à votre serveur de messagerie. 13. Sous Externe, cliquez sur Télécharger un fichier. Téléchargez le certificat créé par l’assistant de configuration. Si vous avez créé plusieurs instances, répétez cette opération pour tous les certificats d’instance. 14. Sélectionnez Enregistrer. 15. Dans Windows, ouvrez la boîte de dialogue Services et redémarrez le service EASProxy. Cette opération conclut la création des connexions PowerShell. Le trafic de messagerie entre un appareil administré et les serveurs Exchange ou Office 365 est bloqué si l’appareil enfreint une règle de conformité. Vous pouvez bloquer un appareil individuel en paramétrant le mode d’accès à la messagerie pour cet appareil sur Deny. Remarque Selon la configuration de votre serveur Exchange, les appareils reçoivent une notification lorsque leur accès à la messagerie est bloqué. 18 Copyright © Sophos Limited Sophos Mobile 6 Équilibrage de charge et haute disponibilité Sophos Mobile permet de configurer un environnement en haute disponibilité. Ceci permet d’assurer que le service SMC reste accessible en externe et que les tâches peuvent continuer à être traitées même en cas d’échec d’un nœud du serveur Sophos Mobile. Pour cela, il est indispensable de disposer de l’équilibrage de charge qui permet de distribuer des sessions client et navigateur à l’aide d’un tourniquet (round robin) DNS. Retrouvez ci-dessous une description sur la création d’un cluster pour Sophos Mobile et sur la configuration d’un équilibre de charge avec Sophos UTM. 6.1 Conditions requises • Un serveur Windows séparé pour chaque nœud Sophos Mobile. • Tous les nœuds doivent être sur le même réseau. • Un serveur de base de données ou cluster Microsoft SQL ou MySQL. • Sophos UTM ou Apache Reverse Proxy (mod_proxy) pour l’équilibrage de charge. Le mécanisme d’équilibrage de charge doit prendre en charge les cookies permanents et les certificats officiels de serveur Web SSL/TLS. Remarque Retrouvez plus de renseignements sur les conditions d’installation dans les Notes de publication de Sophos Mobile 9.5 (anglais). Architecture Retrouvez un exemple de cluster Sophos Mobile à trois nœuds dans le Guide de déploiement du serveur Sophos Mobile (anglais). Pour la communication multidiffusion entre chaque nœud Sophos Mobile, il est également possible d’utiliser un réseau séparé. L’interface réseau à utiliser peut être sélectionnée pendant la configuration du cluster conformément aux instructions de la section Configuration du premier nœud (page 20). Il peut également s’agir d’un réseau local virtuel (VLAN). Remarque Si vous voulez utiliser un second cluster Sophos Mobile à des fins de test, vous allez avoir besoin d’un réseau séparé. Ports et protocoles Le tableau ci-dessous vous indique les ports et protocoles requis pour la communication entre chaque nœud d’un cluster de serveurs Sophos Mobile. Copyright © Sophos Limited 19 Sophos Mobile Protocole Port Destination TCP 7600, 8181, 57600 <Entrant> TCP 7600, 8181, 57600 <Sortant> UDP 45700 <Entrant> Certificats du serveur Lorsque vous installez Sophos Mobile, vous configurez un certificat de serveur Web SSL/TLS qui permet à l’app Sophos Mobile Control d’établir une connexion sécurisée au serveur Sophos Mobile. Nous vous conseillons d’utiliser un certificat émis par une autorité de certification mondialement reconnue. Dans un environnement en cluster avec plusieurs nœuds de serveur Sophos Mobile sur un équilibreur de charge, cette solution ne sera probablement très pratique. Veuillez plutôt utiliser un certificat auto-signé. Tâches connexes Demande d’un certificat SSL/TLS (page 6) Votre produit Sophos inclut l’assistant « SSL Certificate Wizard » vous permettant de demander votre certificat SSL/TLS pour le proxy EAS de Sophos Mobile. 6.2 Configuration des nœuds du cluster Pour créer un environnement en cluster, installez d’abord le premier nœud comme indiqué à la section Installation et configuration du serveur Sophos Mobile (page 7). La mise en clusters sera activée à l’aide de l’assistant de configuration (Configuration Wizard). Pour tous les autres nœuds, la base de données créée au cours de l’installation du premier nœud doit être sélectionnée et la mise en clusters doit être activée. Remarque Il est également possible de configurer un serveur SMC déjà existant pour la mise en clusters et d’étendre l’environnement en ajoutant des nœuds supplémentaires. 6.2.1 Configuration du premier nœud 1. Installez Sophos Mobile comme décrit à la section Installation et configuration du serveur Sophos Mobile (page 7) et écrivez le nom de la base de données que vous avez créé. Indiquez cette base de données lors de l’installation d’autres nœuds. 2. À la fin de l’installation, dessélectionnez l’option Start Sophos Mobile server now dans la boîte de dialogue Sophos Mobile - Installation finished. 20 Copyright © Sophos Limited Sophos Mobile Remarque Si le service Sophos Mobile a déjà été démarré, il sera automatiquement arrêté et redémarré au cours de l’étape de configuration décrite plus tard dans cette section. Vous avez également la possibilité d’arrêter le service à partir du menu de l’icône de la zone de notification du système Sophos Mobile. 3. Sur le serveur, cliquez sur Start, allez dans Sophos Mobile et cliquez sur SMC Configuration Wizard. 4. La page Welcome de l’assistant Sophos Mobile Configuration Wizard s’ouvre. Cliquez sur Next. 5. Sur la page Database Selection, sélectionnez Skip database configuration et cliquez sur Next. 6. Sur la page Choose configuration steps, sélectionnez Configure cluster support et cliquez sur Next. 7. Sur la page Cluster Configuration, utilisez la liste déroulante des interfaces réseau disponibles et sélectionnez l’interface qui sera utilisée pour la communication en multidiffusion entre le nœud du serveur que vous voulez configurer et les autres nœuds. 8. Cliquez sur les pages suivantes de l’assistant de configuration. Assurez-vous de cliquer sur Yes lorsqu’il vous sera demandé si vous voulez démarrer le service SMC. La configuration du premier nœud du serveur SMC est désormais terminée. Cliquez sur Finish dans la boîte de dialogue Sophos Mobile - Configuration Wizard finished. 6.2.2 Configuration d’autres nœuds 1. Commencez l’installation de Sophos Mobile comme décrit à la section Installation et configuration du serveur Sophos Mobile (page 7). 2. Sur la page Database selection, sélectionnez la base de données que vous avez créée lors de l’installation du premier nœud et cliquez sur Next. La boîte de dialogue Database configuration apparaît. Elle affiche la progression de l’opération de configuration. 3. Sur la page Database configuration, patientez jusqu’à la fin de l’opération de configuration et cliquez sur Next. 4. Sur la page Choose configuration steps, sélectionnez Configure cluster support et cliquez sur Next. 5. Sur la page Configure server certificate, créez un certificat auto-signé comme indiqué à la section Installation et configuration du serveur Sophos Mobile (page 7) et cliquez sur Next. 6. Sur la page Cluster Configuration, utilisez la liste déroulante des interfaces réseau disponibles et sélectionnez l’interface du nœud de serveur Sophos Mobile que vous souhaitez configurer, puis cliquez sur Next. 7. Cliquez sur les pages suivantes de l’assistant de configuration. Sur la page Sophos Mobile Installation finished, sélectionnez Start Sophos Mobile server now pour démarrer le nœud du cluster que vous venez de configurer. 8. Si vous avez configuré le composant du serveur Web de Sophos Mobile sur le premier nœud pour accepter uniquement les requêtes envoyées à votre nom de domaine, répétez cette opération pour tous les autres nœuds. Retrouvez plus de renseignements à la section Configuration du serveur Web Sophos Mobile (page 9). Si nécessaire, répétez cette procédure pour configurer d’autres nœuds. Copyright © Sophos Limited 21 Sophos Mobile 6.3 Configuration de l’équilibrage de charge avec Sophos UTM Cette rubrique décrit la manière de configurer Sophos UTM en tant que mécanisme d’équilibrage de charge pour un cluster de nœuds de serveur Sophos Mobile. Retrouvez plus de renseignements sur la configuration de Sophos UTM dans la documentation Sophos UTM. Remarque • Pour pouvoir utiliser Sophos UTM pour la mise en clusters, vous devez avoir une licence Sophos UTM avec un abonnement Sophos Webserver Protection. • Comme décrit plus tard dans cette section, vous devez indiquer le nom du certificat pour protéger la communication entre les appareils administrés et le serveur Web virtuel que vous avez configuré dans Sophos UTM. Pour plus de simplicité, nous vous conseillons d’utiliser le même certificat que celui que vous avez utilisé pour le serveur Sophos Mobile. Retrouvez plus de renseignements à la section Demande d’un certificat SSL/TLS (page 6). Si vous avez utilisé un certificat auto-signé, veuillez impérativement utiliser ce même certificat. 1. Connectez-vous à Sophos UTM WebAdmin. 2. À partir de la section Webserver Protection du menu WebAdmin, allez dans l’onglet Pare-feu d’application WebServeurs Web réels. 3. Cliquez sur Nouveau serveur Web réel pour créer un nœud SMC. 4. Sur la boîte de dialogue Ajouter un serveur Web réel, saisissez les paramètres suivants : a) Nom : saisissez un nom descriptif pour le serveur Web (par exemple nœud SMC). b) Hôte : sélectionnez ou ajoutez un hôte. Sélectionnez un hôte en cliquant sur le symbole du dossier situé à côté du champ Hôte. Faites glisser un hôte à partir de la liste des hôtes disponibles vers le champ Hôte. Retrouvez plus de renseignements sur l’ajout d’une définition sous la rubrique Définitions du réseau du Guide d’administration d’UTM. c) Type : sélectionnez Chiffré (HTTPS). Cliquez sur Enregistrer pour enregistrer la configuration. Répétez l’étape précédente pour chaque nœud de serveur Sophos Mobile. 5. À partir de la section Webserver Protection du menu WebAdmin, allez dans l’onglet Gestion des certificatsCertificats. 6. Cliquez sur Nouveau certificat pour charger un certificat de serveur Web SSL/TLS. 7. Sur la boîte de dialogue Ajouter un certificat, saisissez les paramètres suivants : a) Nom : saisissez un nom descriptif pour le certificat. b) Méthode : sélectionnez Charger. c) Type de fichier : sélectionnez PKCS#12(Cert+CA) d) Mot de passe : saisissez le mot de passe de votre fichier de certificat. e) Fichier : cliquez sur l’icône à côté du champ Fichier, sélectionnez le certificat à télécharger et cliquez sur Télécharger. Cliquez sur Enregistrer pour enregistrer la configuration. Le certificat est ajouté à la liste des Certificats. 22 Copyright © Sophos Limited Sophos Mobile 8. À partir de la section Webserver Protection du menu WebAdmin, allez dans l’onglet Pare-feu d’application WebServeurs Web virtuels. 9. Cliquez sur Nouveau serveur Web virtuel pour ajouter un serveur Web virtuel au cluster. 10. Dans la boîte de dialogue Ajouter un serveur Web virtuel, saisissez les paramètres suivants : a) Nom : saisissez un nom descriptif pour le serveur Web virtuel (par exemple Cluster SMC). b) Dans la liste Interface, sélectionnez l’interface WAN sur laquelle il sera possible d’avoir un accès externe au cluster. c) Type : sélectionnez Chiffré (HTTPS) et redirection. d) Dans la liste Certificat, sélectionnez le certificat du serveur Web que vous avez téléchargé précédemment. e) Domaines (uniquement avec le certificat générique, c’est-à-dire, un certificat de clé publique qui peut être utilisé sur divers sous-domaines) : saisissez les domaines pour lesquels le serveur Web est responsable, par exemple, achat.exemple.fr ou utilisez l’icône Action pour importer une liste de noms de domaine. Les domaines doivent être saisis en tant que nom de domaine complet (FQDN). Vous pouvez utiliser l’astérisque (*) en tant que caractère générique pour le préfixe du domaine, par exemple : *.mondomaine.fr. Les domaines avec caractères génériques sont considérés comme des paramètres de secours : le serveur Web virtuel avec l’entrée de domaine générique est uniquement utilisé lorsqu’aucun autre serveur Web virtuel avec un nom de domaine plus spécifique est configuré. Exemple : une demande client a.b.c va rechercher les résultats a.b.c avant *.b.c et avant *.c. f) Serveurs Web réels : sélectionnez les nœuds SMC que vous avez créés précédemment. Important Ne sélectionnez pas un profil de pare-feu. 11. 12. 13. 14. Cliquez sur Enregistrer pour enregistrer la configuration. Le certificat est ajouté à la liste des Serveurs Web virtuels. Activez le serveur Web virtuel. Le nouveau serveur Web virtuel est désactivé par défaut. Cliquez sur le commutateur pour activer le serveur Web virtuel. La couleur du commutateur doit passer du gris (désactivé) au vert (activé). Allez dans l’onglet Routage vers le site. Dans la liste Serveurs Web virtuels, rendez-vous sur le serveur Web virtuel que vous avez ajouté et cliquez sur Modifier. Dans la boîte de dialogue Modifier le chemin de routage vers le site qui s’ouvre, cliquez sur Avancés et sélectionnez Activer le cookie de session persistante. Cliquez sur Enregistrer pour enregistrer la configuration. Copyright © Sophos Limited 23 Sophos Mobile 7 Mise à jour de Sophos Mobile Les installations serveur de Sophos Mobile peuvent être mises à jour directement des versions 8.5, 8.6 et 9 à la version 9,5. Les versions plus anciennes doivent d’abord être mises à jour à Sophos Mobile 8.5. Retrouvez plus de renseignements dans la documentation de la version 8.5 de Sophos Mobile. 7.1 Mise à jour du serveur Sophos Mobile Pour mettre à jour votre installation serveur Sophos Mobile à la version 9.5, veuillez exécuter le programme d’installation de Sophos Mobile 9.5 et suivre les instructions. Le programme d’installation détecte automatiquement si une installation existante doit être mise à jour. Une opération de vérification des propriétés du système sera effectuée avant que la mise à jour n’ait lieu. Si toutes les vérifications sont validées, vous pouvez poursuivre avec la mise à jour. La base de données et les fichiers seront automatiquement mis à jour sans intervention de l’utilisateur. Une fois la mise à jour terminée, le service Sophos Mobile sera redémarré. Remarque Si vous avez utilisé l’authentification Windows lors de la première installation du serveur Sophos Mobile, l’option Start Sophos Mobile server now sera grisée. Vous devez démarrer le service manuellement. 7.2 Tâches postérieurs à la mise à jour 7.2.1 Reconfiguration du serveur Web Sophos Mobile Si vous avez configuré le composant du serveur Web de Sophos Mobile pour qu’il accepte uniquement les requêtes envoyées à votre nom de domaine, veuillez répéter cette opération après avoir mis à jour Sophos Mobile. Retrouvez plus de renseignements à la section Configuration du serveur Web Sophos Mobile (page 9). 7.3 Mise à jour du cluster de serveurs Lors de la mise à jour d’un cluster de nœuds de serveurs Sophos Mobile, il est important que tous les nœuds soient toujours exécutés sur la même version et que la version du serveur corresponde à la version de la base de données. Procédez de la manière suivante : 1. Arrêtez tous les nœuds de serveur en arrêtant le service Sophos Mobile sur tous les ordinateurs concernés. 2. Mettez à jour le premier nœud comme indiqué à la section Mise à jour du serveur Sophos Mobile (page 24). Cette opération va également mettre à jour la base de données. 3. Démarrez le nœud du serveur mis à jour et assurez-vous que la mise à jour a réussie. 24 Copyright © Sophos Limited Sophos Mobile 4. Mettez à jour les autres nœuds de serveur. Conseil Si vous utilisez le proxy EAS autonomes, vos appareils administrés ont accès à votre serveur de messagerie même en cas d’arrêt de tous les nœuds de serveur Sophos Mobile. En effet, le proxy EAS mémorise l’état de l’appareil pendant au moins 60 minutes lorsqu’il n’est pas connecté au serveur Sophos Mobile. 7.4 Mise à jour du proxy EAS autonome Pour mettre à jour votre proxy EAS autonome, exécutez le programme d’installation du proxy EAS et suivez les instructions. Le programme d’installation détecte automatiquement si une installation existante doit être mise à jour. Si vous utilisez un groupe (« cluster ») de nœuds de serveurs proxy EAS derrière un équilibreur de charge, procédez à la mise à jour de ces nœuds individuellement et dans l’ordre de votre choix. Conseil N’arrêtez pas tous les nœuds de serveurs proxy EAS en même temps. De cette manière, vous êtes sûr que la communication par email de vos appareils administrés ne sera pas interrompue pendant la mise à jour. Copyright © Sophos Limited 25 Sophos Mobile 8 Référence technique 8.1 Fonctions du serveur Sophos Mobile Le composant principal du produit Sophos Mobile est le serveur Sophos Mobile. Ses principales caractéristiques sont : • Le serveur est connecté à Internet. • Le serveur permet de configurer un environnement en haute disponibilité. • L'administrateur contrôle le serveur à l'aide de l'interface Web. • Les utilisateurs peuvent enregistrer leurs appareils à l’aide du Portail libre-service ou se voir confier un appareil qui a déjà été préparé par l’administrateur pour s’inscrire automatiquement. • Les appareils administrés se synchronisent avec le serveur par HTTPS. • Vous pouvez utiliser un Microsoft SQL Server déjà existant ou une base de données MySQL pour stocker les appareils et les informations sur les applications. Vous avez également la possibilité de laisser le programme d’installation de Sophos Mobile créer une nouvelle base de données à l’aide de Microsoft SQL Server Express. • La base de données peut être hébergée sur le même ordinateur ou séparément. Ceci permet d'utiliser des clusters de base de données. • Le serveur est compatible avec les configurations mutualisées permettant de disposer de différents clients sur le même server. • L'accès à la messagerie est possible par le biais d'un proxy EAS intégré ou autonome. La variante autonome nécessite l’accès HTTPS au serveur SMC. Le serveur Sophos Mobile a été développé pour Java EE (Enterprise Edition). Il s’installe et s’exécute sur le serveur d’applications WildFly qui a déjà fait ses preuves sur le marché et qui est conforme aux normes de l’industrie. Le serveur peut être installé sur des environnements virtuels. 8.2 Interfaces Web de Sophos Mobile 8.2.1 Interface d’administration de Sophos Mobile Sophos Mobile est administré à l’aide d’une interface Web sécurisée par un nom de connexion et par un mécanisme d’ouverture de session. Vous pouvez mettre en place des stratégies de mot de passe. Le contrôle d’accès permet d’accéder à différents rôles d’utilisateur. Ces rôles ont différentes séries de droits d’accès. Chaque utilisateur peut être assigné à un rôle exact. Retrouvez plus de renseignements dans le Manuel d’administration de Sophos Mobile. 26 Copyright © Sophos Limited Sophos Mobile 8.2.2 Interface super administrateur Le super administrateur est principalement utilisé pour créer et administrer des clients pour la gestion des mobiles. Le premier compte super administrateur est créé au cours de l’installation de Sophos Mobile. Retrouvez plus de renseignements à la section Installation et configuration du serveur Sophos Mobile (page 7). En tant que super administrateur, vous vous connectez au client super administrateur qui est également créé pendant l’installation de Sophos Mobile. Pour le client super administrateur, Sophos Mobile Admin affiche une vue personnalisée pour les tâches du super administrateur. 8.2.3 Portail libre-service Le Portail libre-service est sécurisé par un nom de connexion, un mécanisme d’ouverture de session et une stratégie de mot de passe. Le compte doit être configuré par l’administrateur Sophos Mobile et peut être associé à tout locataire. Le Portail libre-service permet aux utilisateurs d’enregistrer leurs appareils dans Sophos Mobile. Les utilisateurs sont également en mesure d’effectuer des tâches pour leurs appareils comme par exemple le verrouillage à distance ou la réinitialisation à distance. Les tâches qu’ils sont autorisés à effectuer varient selon le type de plate-forme et la configuration. En tant qu’administrateur, vous pouvez configurer les fonctions du Portail libre-service que vous voulez mettre à disposition des utilisateurs. Retrouvez plus de renseignements sur la configuration du Portail libre-service à l’intention des utilisateurs dans le Manuel d’administration de Sophos Mobile. Copyright © Sophos Limited 27 Sophos Mobile 9 Support technique Vous bénéficiez du support technique des produits Sophos de l’une des manières suivantes : 28 • Rendez-vous sur le forum Sophos Community en anglais sur community.sophos.com/ et recherchez d’autres utilisateurs rencontrant le même problème que le vôtre. • Rendez-vous sur la base de connaissances du support de Sophos sur www.sophos.com/fr-fr/ support.aspx. • Téléchargez la documentation des produits sur www.sophos.com/fr-fr/support/documentation.aspx. • Ouvrez un incident support sur https://secure2.sophos.com/fr-fr/support/contact-support/supportquery.aspx. Copyright © Sophos Limited Sophos Mobile 10 Mentions légales Copyright © 2019 Sophos Limited. Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise, sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie, enregistrement ou autre sauf si vous possédez une licence valide, auquel cas vous pouvez reproduire la documentation conformément aux termes de cette licence ou si vous avez le consentement préalable écrit du propriétaire du copyright. Sophos, Sophos Anti-Virus et SafeGuard sont des marques déposées de Sophos Limited, Sophos Group et de Utimaco Safeware AG, partout où ceci est applicable. Tous les autres noms de produits et d’entreprises mentionnés dans ce document sont des marques ou des marques déposées de leurs propriétaires respectifs. Copyright © Sophos Limited 29