Sophos Mobile Control (SMC) Pré-requisitos de instalação versão 7 Guia: Formulário de pré-requisitos para instalação do Sophos Mobile Control (SMC) versão 7 em sua versão On-Premise. Versão 1 Data do Documento: Março de 2017 Pré-requisitos de instalação – Sophos Mobile Control (SMC) Conteúdo 1. Sobre o Sophos Mobile Control (SMC) ............................................................................................ 3 2. Sobre o formulário ............................................................................................................................. 4 3. Ambiente do sistema .......................................................................................................................... 5 4. Comunicação entre os dispositivos e os servidores Push .............................................................. 16 5. Validando os pré-requisitos com o System Property Checker ..................................................... 17 6. Instalação .......................................................................................................................................... 17 7. Suporte Técnico ................................................................................................................................ 17 Pré-requisitos de instalação – Sophos Mobile Control (SMC) w.utimaco.com 1. Sobre o Sophos Mobile Control (SMC) O Sophos Mobile Control (SMC) é uma solução para o gerenciamento de dispositivos móveis (MDM) como smartphones, phablets e tablets que utiliza o conceito Light Touch. A solução permite a configuração e distribuição de software bem como a implantação de configurações de segurança e outras operações nos dispositivos. Há duas versões distintas do SMC: - On-Premise: A console é instalada em um servidor local do cliente, o cliente precisa disponibilizar alguns prérequisitos tais quais: Servidor Windows 2008 R2, 2012 ou 2016 para instalação, FQDN válido na internet, certificados SSL no caso de gerenciamento de dispositivos Android e Windows Phon/Mobile e ou certificado APNS no caso de iOS da Apple. - SaaS: O acesso a console é feito através da Nuvem diretamente a um servidor da Sophos através da qual os dispositivos são gerenciados. Não há necessidade de fornecer um servidor para instalação ou certificados SSL. Sobre o portal SSP (Self Service Portal): É utilizado pelos próprios usuários dos dispositivos que podem realizar ações pré-definidas pelo administrador da Console Web. Este portal foi desenvolvido para empresas que desejam trabalhar com o conceito de BYOD (Bring Your Own Device), no qual os funcionários da empresa utilizam seus próprios dispositivos pessoais para atividades corporativas. 3 3 Pré-requisitos de instalação – Sophos Mobile Control (SMC) 2. Sobre o formulário Este formulário tem como objetivo auxilia-lo na configuração dos pré-requisitos obrigatórios e opcionais para a instalação e configuração da console de gerenciamento do Sophos Mobile Control (SMC) em sua versão On-Premise. Neste documento você encontrará uma lista de verificação (checklist) dos pré-requisitos necessários para a instalação. Todas as informações solicitadas devem ser informadas neste formulário para garantir que o servidor do Sophos Mobile Control (SMC) execute de forma apropriada em seu ambiente de rede. Para efetuar o correto dimensionamento de hardware para o servidor do Sophos Mobile Control (SMC), consulte as informações descritas no guia abaixo: Sophos Mobile Control Server Deployment Guide: https://www.sophos.com/enus/medialibrary/PDFs/documentation/smc_7_dgeng_server_deployment.pdf?la=en 4 Pré-requisitos de instalação – Sophos Mobile Control (SMC) 3. Ambiente do sistema 3.1. Dispositivos Móveis Específique quais tipos de dispositivos que você deseja gerenciar: ☐ Smartphones e Phablets ☐ Tablets Específique os sistemas operacionais dos dispositivos que você deseja gerenciar : ☐ Apple com iOS 8 (ou superior), Apple ID requerida ☐ Google Android 4.1 (ou superior) ☐ Microsoft Windows Phone 8.1 ☐ Microsoft Windows 10 Mobile ou Mobile Enterprise ☐ Microsoft Windows 10 Pro, Enterprise, Education ou Home Específique os fabricantes dos dispositivos que serão gerenciados: ☐ Asus ☐ LG ☐ Quantum ☐ Apple ☐ Microsoft ☐ Samsung ☐ HTC ☐ Motorola ☐ Sony ☐ Lenovo ☐ Nokia ☐ Xiaomi ☐ Outras Fabricantes 3.2. Certificado SSL para o servidor Especifique se você prefere utilizar um certificado oficialmente assinado ou se você prefere utilizar um certificado auto-assinado para acesso a Console Web do SMC. Pacotes Android como o SMC Client MDM somente podem ser baixados a partir de servidores https se utilizado certificado oficialmente assinado. Utilizar certificado Auto-Assinado Utilizar um certificado oficialmente assinado do tipo Secure Web Server, por exemplo, pela GeoTrust, VeriSign ou GoDaddy ☐ (Não será possível a instalação de softwares no Android) ☐ (Instalação de softwares no Android é possível) 5 5 Pré-requisitos de instalação – Sophos Mobile Control (SMC) NOTAS: - O certificado deve estar disponível em um arquivo PKCS#12 incluindo todos os certificados abaixo na hierárquia do mesmo (Exemplo: Intermediário, CA Root). - Se você deseja utilizar um certificado Auto-Assinado ou um certificado gerado por uma autoridade certificadora (CA), de sua própria empresa, o certificado SSL precisa ser manualmente instalado previamente nos dispositivos antes que os mesmos possam ser gerenciados pelo SMC. 3.3. Sistema operacional do servidor do Mobile Control (SMC): Especifique o sistema operacional do servidor onde o Mobile Control (SMC) On-Premise será instalado. ☐ Microsoft Windows Server 2008 R2 (64 bits) ☐ Microsoft Windows Server 2012 (64 bits) ☐ Microsoft Windows Server 2012 R2 (64 bits) ☐ Microsoft Windows Server 2016 (64 Bits) 3.4. Sobre o IIS (Internet Information Services) e aplicações: Se certifique de que o requisito abaixo se aplica: O IIS não está instalado e não há outras aplicações utilizando as portas 80, 443. 6 ☐ Pré-requisitos de instalação – Sophos Mobile Control (SMC) 3.5. Banco de Dados (Database) Especifique qual gerenciador de banco de dados se deseja utilizar: Entregue com o pacote SMC installer ☐ Microsoft SQL Server 2014/2016 Express (64 bit) Ou Base de dados existentes ☐ Microsoft SQL Server 2008 (32 bit, 64 bit) ☐ Microsoft SQL Server 2008 R2 (64 bit) ☐ Microsoft SQL Server 2012 (64 bit) ☐ Microsoft SQL Server 2014 (64 bit) ☐ Microsoft SQL Server 2014 Express (64 bit) ☐ Microsoft SQL Server 2016 (64 bit) ☐ Microsoft SQL Server 2016 Express (64 bit) ☐ MySQL 5.6 NOTAS: - No caso do Microsoft SQL Server deverá haver a autenticação do Windows (Windows authentication) ou a autenticação do SQL server (SQL server authentication). - Se você utiliza o Microsoft SQL Server Express, certifique-se de que o SQL management Studio compatível com sua versão do SQL também será instalado, o artigo abaixo traz os links para download e ilustra como efetuar a instalação do mesmo: Ferramenta de Apoio: SQL Management Studio http://suporte.m3corp.com.br/article/AA-00563 Verifique quais itens abaixo estão habilitados: Será utilizado um servidor de banco de dados já existente Há contas do SQL já existentes com a permissão sysadmin (administrador do sistema, sem credenciais do AD) ☐ Click here to enter text. 7 7 Pré-requisitos de instalação – Sophos Mobile Control (SMC) O SQL Management Studio está instalado (instalação é separada da versão Express, em versões licenciadas o Studio já está disponível) ☐ TCP IP está habilitado ☐ O service SQL browser está habilitado ☐ (Necessário somente o banco de dados está em um servidor separado) A linguagem utilizada para login no SQL é Inglês (English) ☐ 3.6. Configuração LDAP Se você deseja utilizer o portal SSP (Self Service Portal), você pode criar um grupo LDAP contendo todos os usuários que devem acessar o portal SSP. Você pode usar * para permitir o acesso a todos os usuários autenticados. Nome do grupo LDAP Click here to enter text. 3.7. Configurações de rede Forneça as informações necessárias para a pré-configuração da instalação do servidor Sophos Mobile Control (SMC) On-Premise. Endereço de IP externo (válido na internet) do servidor SMC Endereço de IP interno do servidor SMC (Caso seja diferente do externo) Nome DNS do servidor SMC (Por exemplo, mobilecontrol.corporate.com) Certifique-se de que o endereço poderá ser resolvido na internet 8 Click here to enter text. Click here to enter text. Click here to enter text. Pré-requisitos de instalação – Sophos Mobile Control (SMC) Click here to enter text. Endereço de IP ou hostname e porta do servidor de banco de dados (Por exemplo, 127.0.0.1:1433 para o Microsoft SQL Server ou 127.0.0.1:3306 para o MySQL Server) Utilizar SSL para conectar com o Microsoft SQL Server ☐ Endereço IP ou hostname do servidor SMTP corporativo Click here to enter text. Nome de usuário e senha para autenticação no servidor SMTP são conhecidos) caso seja necessário) Click here to enter text. EAS Proxy (Opcional): URL para o servidor MS Exchange ActiveSync (Por exemplo, exchange.nomesuaempresa.com) Click here to enter text. NOTA: Se o seu servidor MS Exchange atual nega o acesso a dispositivos com iOS, Windows Phone ou Android, você precisará habilitar isso para que o EAS proxy funcione. Utilizar SSL para conectar no servidor MS Exchange ActiveSync ☐ Click here to enter text. Suporte LDAP (Opcional): Servidor LDAP corporativo para perfis personalizados (Por exemplo, ldap.nomesuaempresa.com:389) Utilizar SSL para conectar com o servidor LDAP (Por exemplo, ldap.nomesuaempresa.com:636) Nome de usuário e senha para a autenticação LDAP são conhecidos ☐ ☐ 9 9 Pré-requisitos de instalação – Sophos Mobile Control (SMC) Suporte SCEP (Opcional): URL da autoridade certificadora com suporte SCEP para iPhones (Por exemplo, http://ca.nomesuaempresa.com/certsrv/mscep/mscep.dll) Click here to enter text. 3.8. Configurações de firewall As seguintes portas do servidor do Sophos Mobile Control (SMC) devem ser acessíveis através da internet. 3.8.1. Permissão de tráfego da LAN corporativa e da internet Porta Protocolo 80 HTTP 443 HTTPS Descrição Éxito na verificação Encaminha para porta HTTPS ☐ Acesso a interface web / sincronização de dados para entrada\saída (in\out bound) ☐ 3.8.2. Permissão de tráfego do servidor SMC para o servidor de banco de dados NOTA: Caso não seja utilizado um banco de dados local. Porta 1433 3306 10 Protocolo MS SQL Server MySQL Server Descrição Éxito na verificação Acesso ao banco de dados ☐ Acesso ao banco de dados ☐ Pré-requisitos de instalação – Sophos Mobile Control (SMC) 3.8.3. Permissão de tráfego do servidor SMC para o servidor SMTP Porta Protocolo 25 SMTP 465 587 Descrição Necessário para enviar alertas por e-mail, configuração inicial de dispositivos nos SMTPS iPads, tablets Android e Windows Phone/Mobile, distribuição de senhas e SMTP/TLS notificações para administradores em caso de violações de regras de compliance e notificação por e-mail em caso de expiração do certificado APNS. Éxito na verificação ☐ 3.8.4. Permissão de tráfego do servidor SMC para o servidor SMS Service Center O centro de distribuição SMS (SMS Distribution Center) é utilizado para SMS (mensagens de textos), mensagens iOS app push e mensagens Windows Phone 8 push (MPNS) para os aplicativos do SMC, com por exemplo, no caso de notificações de violações de regras (compliance violation). O artigo 120875 da Sophos explica em quais casos quais dados são enviados através dos servidores da Sophos. Porta Protocolo 443 TCP Descrição Conexão segura SSL para o endereço IP 85.22.154.49 (services.sophosmc.com) Éxito na verificação ☐ 3.8.5. Opcional: Permissão de tráfego do servidor SMC para o servidor MS Exchange e LDAP Porta Protocolo Descrição Éxito na verificação 80 ou 443 HTTP/S Servidor CA (autoridade certificadora ) com SCEP ☐ 389 ou 636 LDAP/S Conexão LDAP (plana ou protegida com SSL) ☐ 11 11 Pré-requisitos de instalação – Sophos Mobile Control (SMC) 3.8.6. Opcional: Permissão de tráfego do servidor SMC para o servidor SCEP Porta Protocolo 80 ou 443 HTTP/S Descrição Servidor CA (autoridade certificadora) com SCEP Éxito na verificação ☐ 3.8.7. Opcional: Permitir de tráfego do servidor SMC para o servidor SGN Porta Protocolo 80 ou 443 HTTP/S Descrição Seu servidor SGN Éxito na verificação ☐ 3.8.8. Opcional: Permitir de tráfego do servidor SMC para o servidor Apple Volume Purchasing Program (VPP) Porta Protocolo 443 HTTPS Descrição Éxito na verificação vpp.itunes.apple.com Endereço IP: 17.0.0.0/8 ☐ 3.8.9. Opcional: Permissão de tráfego do servidor SMC para o Apple Device Enrollment Program (DEP) Porta Protocolo 443 HTTPS Descrição mdmenrollment.apple.com Endereço IP: 17.0.0.0/8 12 Éxito na verificação ☐ Pré-requisitos de instalação – Sophos Mobile Control (SMC) 3.8.10. Para dispositivos iOS: Permissão de tráfego do servidor SMC para o APNs Os dispositivos com iOS recebemas notificações através do Apple Push Notification service (APNs) ao invés de SMS. Você precisa criar o seu próprio certificado APNS para utilizar no Sophos Mobile Control (SMC) para efetuar a conexão com a Apple. Porta Protocolo 2195 TCP/SSL Descrição gateway.push.apple.com Éxito na verificação ☐ (Endereço IP: 17.0.0.0/8) 3.8.11. Para dispositivos iOS: Permissão de tráfego do servidor SMC para o serviço Apple iTunes Porta Protocolo 443 HTTPS Descrição itunes.apple.com Éxito na verificação ☐ (Endereço IP: 17.0.0.0/8) 3.8.12. Opcional para dispositivos iOS: Permissão de tráfego do servidor SMC para o serviço Apple Activation Lock Bypass para os dispositivos supervisionados Porta Protocolo 443 HTTPS Descrição deviceservices-external.apple.com Éxito na verificação ☐ (Endereço IP: 17.0.0.0/8) 13 13 Pré-requisitos de instalação – Sophos Mobile Control (SMC) 3.8.13. Para dispositivos Android: Permissão de tráfego entre o servidor SMC para o Google Cloud Messaging (GCM) Para acionar os dispositivos Android de forma silenciosa, a Google fornece o Google Cloud Messaging (GCM). Porta Protocolo 443 HTTPS Descrição android.googleapis.com gcm-http.googleapis.com Éxito na verificação ☐ 3.8.14. Para dispositivos Windows Phone: Permissão de tráfego entre o servidor SMC para o WNS Para acionar os dispositivos Windows Phone 8.1 de forma silenciosa, a Microsoft fornece o Windows Push Notification Service (WNS). Porta Protocolo 443 HTTPS Descrição login.live.com db3.notify.windows.com Éxito na verificação ☐ 3.9. Pré-requisitos para o external EAS (Exchange Active Sync) proxy O Sophos Mobile Control oferece um instalador separado para a configuração do external EAS Proxy (Para load balancing, por exemplo). Para o external EAS Proxy, vários aspectos precisam ser considerados. Dependendo do cenário de uso, o EAS Proxy não poderá ser acessado diretamente. Com vários customers (inquilinos), por exemplo, um Proxy reverso precisou ser utilizado para direcionar o tráfego de entrada para cada customer para uma porta separada (por exemplo 8080, 8081 e assim por diante). O EAS redireciona o tráfego Active Sync para ser configurado o servidor Exchange. NOTA: O EAS Proxy não é obrigatório para permitir a sincronização do servidor SMC com o Exchange ActiveSync, mas é obrigatório caso você deseje cortar o acesso ao Exchange quando houver uma violação de regra (compliance failure) por parte do usuário no dispositivo. 14 Pré-requisitos de instalação – Sophos Mobile Control (SMC) Antes de configurar um external EAS Proxy, preencha a Checklist abaixo: Quais portas o EAS Proxy deve usar? Click here to enter text. Há um Proxy reverso ou algo similar já disponível? Click here to enter text. Click here to enter text. O redirecionamento para as portas relevantes já foram configuradas no Proxy reverso? Informe os endereços IP interno e externo e o nome DNS do Proxy reverso Click here to enter text. Click here to enter text. Onde o EAS Proxy sera instalado (mesmo servidor do SMC ou em uma máquina separada)? Click here to enter text. Endereço IP address do EAS Proxy (se instalado em um computador separado) IP ou nome(s) DNS do(s) servidor(es) Exchange Click here to enter text. O ActiveSync está ativado no servidor Exchange? ☐ O Firewall está aberto entre o Proxy reverso e o EAS Proxy? ☐ O Firewall está aberto do EAS Proxy para a porta HTTPS do ☐ servidor do SMC? O Firewall está aberto do EAS Proxy para a porta HTTP ou HTTPS do(s) servidor(es) Exchange? ☐ 15 15 Pré-requisitos de instalação – Sophos Mobile Control (SMC) 4. Comunicação entre os dispositivos e os servidores Push 4.1.1. Para dispositivos iOS: Tráfego permitido entre o dispositivo e o servidor APNs Porta 5223 Destino Descrição 17.0.0.0/8 Para a comunicação entre dispositivos iOS e o servidor Apple Push Notification Service (APNs) pela WLAN corporativa, a porta 5223 deve estar aberta. Éxito na verificação ☐ 4.1.2. Para dispositivos Android: Tráfego permitido entre o dispositivo e o servidor Google Cloud Messaging (GCM) Porta Descrição 5228, 5229, 5230 Para a comunicação entre dispositivos Android e o servidor Google Cloud Messaging, a conexão com o GCM deve ser permitida. As seguintes portas devem estar abertas: 5228, 5229 e 5230. Tipicamente, o GCM utiliza somente a porta 5228, mas há ocasiões onde as portas 5229 e 5230 são usadas. O GCM não informa IPs específicos, mas eles mudam frequêntemente. 16 Éxito na verificação ☐ Pré-requisitos de instalação – Sophos Mobile Control (SMC) 5. Validando os pré-requisitos com o System Property Checker 5.1. O System Property Checker válida se os requisitos tratados nos itens acima estão corretamente aplicados. Recomenda-se a execução do mesmo para a identificação de algum requisito que possa ter sido esquecido durante o processo. 5.2. O artigo abaixo contém o link para a o download da ferramenta e uma descrição de como utiliza-la: SMC: System Property Checker (On-Premise) http://suporte.m3corp.com.br/article/AA-00607 6. Instalação 6.1. Procedimento de instalação: Para efetuar a instalação do servidor do Sophos Mobile Control (SMC) On –Premise, basta seguir as instruções descritas no guia abaixo: https://www.sophos.com/enus/medialibrary/PDFs/documentation/smc_7_igeng_installation.pdf?la=en Faça download do instalador no link abaixo: http://downloads.m3corp.com.br/mobile/6.1/Sophos%20Mobile%20Control%206.1.4.e xe 7. Suporte Técnico 7.1. Documentações: Todas as documentações referentes ao Sophos Mobile Control (SMC) versão 7 podem ser encontradas através do link abaixo: http://suporte.m3corp.com.br/article/AA-00205/0/Download-Instaladores-Sophos.html#smc 17 17 Pré-requisitos de instalação – Sophos Mobile Control (SMC) 7.2. Para a abertura de chamados: Basta seguir as instruções descritas no guia abaixo para efetuar a abertura de um chamado conosco: Instruções para Suporte Técnico - M3Corp: http://suporte.m3corp.com.br/article/AA-00283 O guia também contém nossos números de telefones para contato e a documentação relativa a nossa política de suporte. 18