Centrify Cloud Management Suite Installation and Configuration Guide
Transcrição
Centrify Cloud Management Suite Installation and Configuration Guide
Centrify Cloud Management Suite 2013 Guia de Instalação e Configuração Ago 2013 Centrify Corporation Aviso legal Este documento e o software nele descrito são fornecidos sob os termos de um contrato de licença ou de um acordo de não divulgação e estão sujeitos aos mesmos. Exceto conforme expressamente definido no contrato de licença ou no acordo de não divulgação anteriormente referidos, a Centrify Corporation fornece este documento e o software nele descrito "tal como estão", sem qualquer tipo de garantia, expressa ou implícita, incluindo, entre outras, as garantias implícitas de comercialização ou adequação a um determinado fim. Alguns estados não permitem exclusões de garantias expressas ou implícitas em determinadas transações; consequentemente, esta declaração poderá não se aplicar ao seu caso. Este documento e o software nele descrito não poderão ser emprestados, vendidos ou dados sem a autorização prévia por escrito da Centrify Corporation, exceto em circunstâncias permitidas por lei. Exceto conforme expressamente definido no contrato de licença ou no acordo de não divulgação anteriormente referidos, não é permitida a reprodução, o armazenamento num sistema de obtenção ou a transmissão sob qualquer forma ou através de qualquer meio, quer seja eletrónico, mecânico ou de outro tipo, de qualquer parte deste documento ou do software nele descrito sem o consentimento prévio por escrito da Centrify Corporation. Algumas empresas, nomes e dados presentes neste documento são utilizados a título exemplificativo e poderão não representar empresas, indivíduos ou dados reais. Este documento poderá incluir imprecisões técnicas ou erros tipográficos. As informações contidas neste documento são periodicamente alteradas. Estas alterações poderão ser incorporadas em novas edições do presente documento. A Centrify Corporation poderá melhorar ou alterar o software descrito neste documento em qualquer altura. © 2004-2013 Centrify Corporation. Todos os direitos reservados. Partes do Centrify DirectControl são derivadas de software de terceiros ou de código aberto. Os avisos legais e de direitos de autor relativos a estas origens estão listados separadamente no ficheiro Acknowledgements.txt incluído juntamente com o software. Restrição de Direitos do Governo dos E.U.A.: Se o software e a documentação forem adquiridos pelo Governo dos E.U.A. ou em seu nome ou por um contratante principal ou um subcontratante (a qualquer nível) do Governo dos E.U.A., em conformidade com a cláusula 48 C.F.R. 227.7202-4 (para aquisições efetuadas pelo Departamento de Defesa) e as cláusulas 48 C.F.R. 2.101 e 12.212 (para aquisições não efetuadas pelo Departamento de Defesa), os direitos do governo relativamente ao software e à documentação, incluindo o direito de utilizar, modificar, reproduzir, lançar, executar, apresentar ou divulgar o software ou a documentação, estarão sujeitos, em todos os aspetos, aos direitos e restrições de licença comercial previstos no contrato de licença. Centrify, DirectAudit, DirectControl e DirectSecure são marcas comerciais registadas e DirectAuthorize e DirectManage são marcas comerciais da Centrify Corporation nos Estados Unidos e noutros países. Microsoft, Active Directory, Windows, Windows NT e Windows Server são marcas comerciais registadas ou marcas comerciais da Microsoft Corporation nos Estados Unidos e noutros países. O Centrify Suite está protegido pelas Patentes dos E.U.A. 7,591,005, 8,024,360 e 8,321,523. Os nomes de outras empresas e produtos mencionados no presente documento poderão ser marcas comerciais ou marcas comerciais registadas dos respetivos proprietários. Salvo indicação em contrário, todos os nomes utilizados no presente documento como exemplos de empresas, organizações, nomes de domínio, pessoas e eventos são fictícios. Não se pretende estabelecer, nem deverá ser inferida, qualquer associação com qualquer empresa, organização, nome de domínio, pessoa ou evento reais. Índice Acerca deste guia 6 Público-alvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Convenções do guia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Onde obter mais informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Contactar a Centrify Corporation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Capítulo 1 Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e SaaS8 Como o Centrify for Mobile e o Centrify for SaaS funcionam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 O que instalar na sua rede interna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 O que os utilizadores instalam nos seus dispositivos móveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Ferramentas de gestão do administrador do Cloud service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Descrição geral do programa Cloud Proxy Server Configuration. . . . . . . . . . . . . . . . . . . . . . . 13 Descrição geral do Cloud Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Interfaces de utilizador do Cloud service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 O portal Web Centrify . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Centrify para dispositivos Android. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Centrify para dispositivos iOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 MobileManager para dispositivos iOS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 MobileManager para dispositivos iOS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 O que fazer a seguir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Capítulo 2 Instalar e configurar o Centrify Cloud Management Suite 19 Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Browsers suportados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Permissões do Active Directory necessárias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Requisitos do servidor do Exchange . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Instalar o Centrify Cloud Management Suite na sua rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Instalar o cloud proxy server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Configurar o Centrify for Mobile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Concluir o Assistente do Cloud Proxy Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Atualizar automaticamente o servidor proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 3 Capítulo 3 Definir políticas de grupo de segurança 30 Descrição geral das políticas de grupo de dispositivos móveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Descrições da secção da política de grupo do Cloud Management Suite . . . . . . . . . . . . . . . 31 Utilizar as Definições dos Dispositivos Móveis Comuns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Utilizar as definições do iOS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Utilizar as Definições do OS X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Utilizar as Definições do Samsung KNOX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Ativar as políticas para criar o contentor Samsung KNOX e a lista de permissões de SSO para Centrifyaplicações móveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 Utilizar as Definições do Samsung SAFE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Utilizar as Definições do Touchdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Ativar políticas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Configurar perfis das Definições do Exchange ActiveSync. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Ativar as Definições do Exchange ActiveSync Básicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Ativar as Definições do Exchange ActiveSync do Samsung SAFE . . . . . . . . . . . . . . . . . . . . . . 44 Ativar as Definições do Exchange ActiveSync com TouchDown . . . . . . . . . . . . . . . . . . . . . . . 47 Configurar perfis de definições de VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Ativar a política de VPN nas Definições dos Dispositivos Móveis Comuns . . . . . . . . . . . . . . 49 Ativar a política de VPN nas definições do Samsung SAFE . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Configurar as Definições de Wi-Fi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Anexo A Configurar o cloud proxy server 54 Acerca do Centrify cloud proxy server e da aplicação de configuração . . . . . . . . . . . . . . . . . . . . . . . 54 Separador Estado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Separador Servidor Proxy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Separador Definições dos Dispositivos Móveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Autorização de inscrição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Consulta da política de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 O separador Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Separador Registo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Anexo B Instalar servidores proxy adicionais 61 Obter códigos de registo para servidores proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Instalar um cloud proxy server adicional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Guia de Instalação e Configuração do Centrify Cloud Management Suite 4 Anexo C Desinstalar o Centrify Cloud Management Suite 63 Anexo D Configurar a autenticação silenciosa 64 Configurar a autenticação silenciosa para o Centrify for SaaS (descrição geral) . . . . . . . . . . . . . . . 64 Configurar o Firefox para permitir a autenticação silenciosa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Configurar manualmente o Firefox para a autenticação silenciosa . . . . . . . . . . . . . . . . . . . . 65 Configurar a política de grupo do Firefox para a autenticação silenciosa <<é necessário testar>> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Configurar as zonas de segurança do Internet Explorer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Ativar a Autenticação Integrada do Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 Adicionar um Web site à zona de segurança da intranet local . . . . . . . . . . . . . . . . . . . . . . . . . 68 Configurar a política de grupo do Internet Explorer para a autenticação silenciosa. . . . . . 69 Configurar o Google Chrome no Windows para a autenticação silenciosa . . . . . . . . . . . . . . . . . . . . 69 Configurar o Apple Safari num Mac para a autenticação silenciosa . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Anexo E Índice Reinscrever um dispositivo em domínios com um ID de cliente diferente 71 5 Acerca deste guia O Centrify for Mobile e o Centrify for SaaS fornecem as ferramentas necessárias à proteção e gestão central de aplicações Web e dispositivos móveis através da sua infraestrutura do Active Directory existente. Com os dois produtos, pode instalar o Centrify Cloud Management Suite no seu domínio para gerir a comunicação entre o Active Directory e o Centrify cloud service. Este manual explica como instalar o Centrify Cloud Management Suite e configurar o servidor proxy. Público-alvo O presente guia inclui informações para administradores de sistemas e redes que sejam responsáveis pela gestão do acesso a recursos de redes, nomeadamente o acesso a aplicações Web ou o acesso de dispositivos móveis externos. Parte-se do princípio de que conhece os princípios básicos subjacentes à utilização do Active Directory da Microsoft e da aplicação de políticas de grupo. O Active Directory é o elemento principal da autenticação e autorização através do Centrify for Mobile e do Centrify for SaaS. No caso de utilizar o Centrify for Mobile, subentende-se ainda que conhece os princípios básicos do funcionamento de dispositivos móveis, embora não seja necessário muito mais do que utilizar um browser e definir controlos. Convenções do guia Este guia utiliza as seguintes convenções: O tipo de letra de largura fixa representa exemplos de código, nomes ou saídas de programas, nomes de ficheiros e comandos introduzidos na linha de comandos. Em itálico, o tipo de letra de largura fixa indica variáveis. O texto a negrito destaca comandos, botões ou texto da interface do utilizador e apresenta novos termos. O itálico representa títulos de livros e destaca palavras ou termos específicos. Os termos entre [parênteses retos] na sintaxe de comandos representam opções. Onde obter mais informações Para além deste guia de instalação e configuração, a documentação do Centrify for Mobile e do Centrify for SaaS inclui várias fontes de informação: 6 Contactar a Centrify Corporation As Notas de Versão incluídas nos suportes de distribuição ou no pacote de transferência fornecem as informações mais atualizadas sobre a versão atual, incluindo requisitos do sistema e plataformas suportadas, e eventuais informações adicionais específicas desta versão que poderão não estar incluídas noutros documentos. A ajuda do Cloud Manager fornece detalhes específicos para a configuração de cada tipo de aplicação que o Centrify disponibiliza: aplicações SaaS para SSO individuais, aplicações de palavras-passe do utilizador e aplicações móveis. Para abrir esta ajuda, clique na hiperligação de Ajuda a partir de uma aplicação do Catálogo de Aplicações ou de uma caixa de diálogo de Definições de Aplicação. A ajuda do MyCentrify fornece aos utilizadores informações orientadas por tarefas para a navegação e início das respetivas aplicações implementadas, visualização da respetiva atividade, gestão dos próprios dispositivos móveis e especificação de algumas definições do Active Directory. Para abrir esta ajuda, clique em Ajuda no menu do nome de utilizador no portal de utilizador MyCentrify. O Guia de Avaliação do Centrify for Mobile fornece as informações necessárias para instalar o Centrify Cloud Management Suite, inscrever alguns dispositivos móveis, configurar algumas políticas de grupo para esses dispositivos móveis e gerir as funcionalidades móveis no Centrify Cloud Manager e no portal de utilizador MyCentrify. O Guia de Avaliação do Centrify for SaaS fornece as informações necessárias para instalar o Centrify Cloud Management Suite, adicionar e implementar uma aplicação SaaS e gerir o portal de utilizador MyCentrify do Centrify Cloud Manager. A ajuda online do Cloud Manager fornece informações orientadas por tarefas para administradores que necessitem de modificar aplicações, gerir perfis e utilizadores e configurar definições no Cloud Manager. Para abrir esta ajuda, clique em Ajuda no menu do nome de utilizador no Cloud Manager. Além disso, pode obter respostas a perguntas comuns, fazer novas perguntas ou obter orientações de melhores práticas visitando o portal de suporte ao cliente do Centrify. Necessitará do seu nome de utilizador de cliente do Centrify e respetiva palavra-passe para entrar neste site. Contactar a Centrify Corporation Teremos todo o gosto em receber as suas dúvidas ou comentários. Para obter informações sobre como contactar a Centrify Corporation, visite o nosso Web site em www.centrify.com. No Web site, pode consultar as notícias mais recentes e informações sobre produtos, suporte, serviços, eventos futuros, relações de investidores e vendas. Para obter informações sobre a aquisição ou avaliação de produtos Centrify, envie uma mensagem de correio eletrónico para [email protected]. • Acerca deste guia 7 Capítulo 1 Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e SaaS O Centrify Cloud Management Suite é um conjunto de componentes de software integrado que ajuda os administradores de TI a gerir a forma como os dispositivos móveis dos funcionários são utilizados para fins profissionais e que simplifica a implementação e a utilização de aplicações Web e móveis. Este conjunto de aplicações utiliza a infraestrutura do Active Directory existente da organização para a autenticação do utilizador, os objetos de política de grupo para dispositivos móveis e a gestão de dispositivos, tirando partido da experiência e das ferramentas existentes para proteger os ativos de informação da organização. Os componentes de software do conjunto de aplicações utilizam o Centrify cloud service para realizar as comunicações para a autenticação do utilizador, a implementação de aplicações e a gestão de dispositivos entre um servidor proxy do Active Directory integrado na sua rede e os dispositivos móveis. O conjunto de aplicações é composto por duas linhas de produtos: Com o Centrify for Mobile, os administradores podem proteger e gerir centralmente smartphones e tablets Android e iOS e computadores OS X (por exemplo, MacBooks) utilizando a infraestrutura do Active Directory existente, implementar aplicações móveis para conjuntos de dispositivos móveis e utilizar ferramentas de Política de Grupo familiares para impor definições de segurança. Um administrador de TI pode gerir os dispositivos móveis diretamente a partir da ferramenta Utilizadores e Computadores do Active Directory; por exemplo, um administrador pode emitir um comando de bloqueio ou de limpeza para proteger informações da empresa num tablet ou telemóvel Android ou iOS perdido ou furtado. Poderá licenciar o Centrify for Mobile quando pretender obter o controlo dos dispositivos móveis que têm acesso aos dados da sua organização e das aplicações móveis que utilizam para aceder aos dados. O Centrify for Mobile também disponibiliza a autenticação de início de sesão único para aplicações móveis. Com o Centrify for SaaS (software como serviço ), os administradores de aplicações podem gerir centralmente os serviços Web que os utilizadores executam a partir dos seus computadores e, quando combinado com o Centrify for Mobile, os seus dispositivos móveis. A interface de utilizador é um portal de utilizador prático no computador e uma aplicação simples para o telemóvel ou tablet que disponibiliza uma autenticação de início de sessão zero. O Centrify for SaaS também permite implementar serviços Web diferentes para conjuntos de utilizadores distintos. Muitas das aplicações SaaS populares, baseadas na Web e de orientação empresarial estão prontas para uma implementação imediata. 8 Como o Centrify for Mobile e o Centrify for SaaS funcionam Poderá licenciar o Centrify for SaaS quando pretender simplificar a implementação de serviços Web patrocinados pela empresa e eliminar a necessidade de os utilizadores introduzirem os nomes de utilizador e as palavras-passe para cada aplicação. Poderá licenciar o Centrify for Mobile e o Centrify for SaaS individualmente ou em conjunto. Como o Centrify for Mobile e o Centrify for SaaS funcionam O software Centrify Cloud Management Suite é composto pelos seguintes serviços e software: um cloud proxy server para instalar num computador ou na sua rede o portal Web Cloud Manager que os administradores utilizam para gerir aplicações, utilizadores, dispositivos e a configuração do cloud service o portal Web Centrify que os utilizadores finais utilizam para iniciar as aplicações Web que implementa e gerir os seus dispositivos aplicações gratuitas que os seus utilizadores obtêm do Google Play ou da Apple App store e instalam nos dispositivos O Centrify cloud service fornece a ligação de comunicações entre o controlador de domínio, os portais Web e os dispositivos móveis e funciona como um serviço de tokens de segurança de autenticação. Este serviço autentica os utilizadores com Kerberos, SAML ou um nome de utilizador e palavra-passe do Active Directory. Para garantir a segurança, o Centrify cloud service comunica através de canais seguros com os cloud proxy servers nas suas instalações. O Centrify cloud proxy server é executado com a proteção de uma firewall e fornece uma autenticação, política e acesso em tempo real a perfis de utilizadores sem expor o seu controlador de domínio ao cloud service. Deste modo, manterá o controlo sobre os seus dados do Active Directory valiosos enquanto fornece uma experiência de utilizador baseada no senso comum aos seus utilizadores. Se licenciar o Centrify for Mobile, a instalação do cloud proxy server incluirá as consolas extensão Utilizadores e Computadores do Active Directory (ADUC) e o Editor de Gestão de Políticas de Grupo (GPME). As extensões do Active Directory adicionam novos separadores ao objeto do dispositivo móvel e às Propriedades do utilizador para que possa ver os dispositivos móveis que estão ativos e os dispositivos inscritos por cada utilizador. Também pode emitir comandos para os dispositivos a partir destes separadores. As extensões de consola da política de grupo adicionam um conjunto abrangente de políticas de dispositivos móveis para dispositivos Android e iOS e computadores OS X a partir dos quais pode definir objetos de política de grupo personalizados para os seus dispositivos móveis. O Centrify Cloud Manager é um portal Web que os administradores utilizam para implementar aplicações Web e móveis e monitorizar a atividade dos utilizadores. Também Capítulo 1 • Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e SaaS 9 Como o Centrify for Mobile e o Centrify for SaaS funcionam pode utilizar o Cloud Manager, em vez da ferramenta Utilizadores e Computadores do Active Directory, para gerir dispositivos móveis e utilizadores. O portal Web Centrify é a interface dos utilizadores para o cloud service. A partir do portal Web Centrify, os utilizadores poderão abrir as aplicações Web que lhes foram implementadas, monitorizar as suas atividades e gerir algumas das suas propriedades do Active Directory. Eis como os componentes principais na arquitetura do Centrify for SaaS funcionam em conjunto: O Centrify for Mobile utiliza a mesma arquitetura básica que o Centrify for SaaS, incluindo o cloud proxy server, o Cloud Manager e o Centrify. Adiciona aplicações gratuitas que os utilizadores instalam nos seus dispositivos móveis. Estas aplicações utilizam o cloud service para permitir a gestão centralizada dos dispositivos móveis e simplificar o acesso dos utilizadores às aplicações Web e móveis implementadas a partir do Cloud Manager. Guia de Instalação e Configuração do Centrify Cloud Management Suite 10 O que instalar na sua rede interna Eis a forma como os componentes principais na arquitetura do Centrify for SaaS funcionam em conjunto: O que instalar na sua rede interna Ao instalar o Centrify Cloud Management Suite na sua rede, instalará os seguintes itens para o Centrify for SaaS e o Centrify for Mobile na sua rede interna: O Centrify cloud proxy server A aplicação Cloud Proxy Server Configuration Se tiver licenciado o Centrify for Mobile, também poderá instalar as extensões da consola Gestão de Políticas de Grupo Móveis e Utilizadores e Computadores do Active Directory como parte da instalação do conjunto de aplicações. O Centrify cloud proxy server é instalado num computador anfitrião associado ao seu controlador de domínio do Active Directory e ligado à Internet. Este servidor gere as comunicações entre o Active Directory e o Centrify cloud service. Capítulo 1 • Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e SaaS 11 O que os utilizadores instalam nos seus dispositivos móveis A aplicação Centrify Cloud Proxy Server Configuration fornece uma interface de utilizador para configurar um Centrify cloud proxy server. A aplicação será instalada automaticamente quando instalar o cloud proxy server. A extensão ADUC móvel Centrify é um snap-in de Utilizadores e Computadores do Active Directory (ADUC) que apresenta propriedades de dispositivos específicas para dispositivos móveis e fornece comandos de gestão de dispositivos móveis. A extensão das políticas de grupo móveis Centrify é uma extensão do Editor de Gestão de Políticas de Grupo (GPME) que oferece políticas específicas para dispositivos móveis ao criar políticas de grupo para dispositivos móveis. Assim que tiver instalado estes componentes, estará pronto para abrir o Cloud Manager. O que os utilizadores instalam nos seus dispositivos móveis << A frase e as duas marcas de lista seguintes aplicar-se-ão até à implementação da fusão do MobileManager nos dispositivos iOS.>> Os utilizadores instalam os seguintes componentes móveis Centrify nos seus dispositivos Os proprietários de dispositivos Android instalam a aplicação Centrify a partir do Google Play e, em seguida, utilizam esse programa para inscrever os seus dispositivos no cloud service. Esta aplicação liga os utilizadores ao Centrify cloud service para que possam inscrever os dispositivos e a uma interface de utilizador para iniciar aplicações Web e móveis implementadas. Os proprietários de dispositivos iOS instalarão o Centrify MobileManager da Apple App Store se estiverem a utilizar o Centrify for Mobile. Utilizam esta aplicação para inscrever os seus dispositivos no cloud service. O MobileManager instalará os perfis de política de grupo imediatamente após um dispositivo ter sido inscrito e pedirá ao utilizador que instale as aplicações móveis implementadas através do cloud service. Os proprietários de dispositivos iOS instalarão a aplicação Centrify da Apple App Store se estiverem a utilizar o Centrify for SaaS. A aplicação Centrify disponibiliza o início de sessão zero para as aplicações Web implementadas através do cloud service. Os utilizadores do Centrify for Mobile instalam os seguintes componentes nos seus dispositivos móveis: Os proprietários de dispositivos Android instalam a aplicação Centrify a partir do Google Play. Começam por utilizar este programa para inscrever os seus dispositivos no cloud service. Após a inscrição do dispositivo, os utilizadores deverão utilizar esta aplicação para abrir as aplicações móveis que foram implementadas para eles. Quando licenciar o Centrify for SaaS em conjunto com o Centrify for Mobile, a aplicação Centrify também apresentará as aplicações Web implementadas para o utilizador e fornecerá a autenticação de início de sessão único. Guia de Instalação e Configuração do Centrify Cloud Management Suite 12 Ferramentas de gestão do administrador do Cloud service No caso dos dispositivos que suportam o contentor Samsung KNOX, os utilizadores também devem instalar a aplicação móvel Centrify no contentor Samsung KNOX. Isto permite-lhes iniciar as aplicações Web implementadas por si a partir do interior do contentor. Os proprietários de dispositivos iOS instalam a aplicação MobileManager para inscreverem os seus dispositivos iOS no cloud service. Quando licenciar o Centrify for SaaS em conjunto com o Centrify for Mobile, o MobileManager também apresentará as aplicações Web implementadas para o utilizador e fornecerá a autenticação de início de sessão único. Após a inscrição do dispositivo móvel, o Centrify em dispositivos Android e o MobileManager em dispositivos iOS instalarão as políticas de grupo ligadas ao dispositivo, manterão uma comunicação constante com o cloud service para atualizar as políticas de grupo quando as mesmas forem alteradas, notificarão o utilizador quando forem implementadas aplicações móveis e fornecerão o estado em tempo real para o Cloud Manager e o portal Web MyCentrify. Os proprietários de computadores Mac não instalam qualquer software Centrify. Em vez disso, utilizam o portal Web de inscrição do cloud service para inscrever o computador e, em seguida, utilizam o portal Web MyCentrify para iniciar as aplicações Web. Após a inscrição do Mac, o cloud service instalará os perfis de política de grupo. Nota Ferramentas de gestão do administrador do Cloud service Após a instalação do cloud proxy server, terá duas ferramentas Centrify para gerir a configuração do cloud service: Aplicação Centrify Cloud Proxy Server Configuration Gestor de Nuvens Além disso, poderá utilizar a ferramenta Utilizadores e Computadores do Active Directory para gerir dispositivos e utilizadores e o Editor de Gestão de Políticas de Grupo para criar objetos de política de grupo para os dispositivos móveis. Descrição geral do programa Cloud Proxy Server Configuration O programa Cloud Proxy Server Configuration é instalado no seu servidor proxy durante a instalação do Cloud Management Suite. Utilize o programa Cloud Proxy Server Configuration para gerir o proxy, nomeadamente para executar as seguintes tarefas: obter informações sobre a sua configuração (por exemplo, o seu ID de cliente) configurar definições operacionais, incluindo intervalos de sincronização da nuvem e do Active Directory iniciar e parar o servidor proxy Capítulo 1 • Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e SaaS 13 Ferramentas de gestão do administrador do Cloud service adicionar grupos de utilizadores do Active Directory que possam inscrever dispositivos definir um contacto para os alertas de correio eletrónico Inicie a aplicação Cloud Proxy Server Configuration a partir do menu Iniciar do Windows no computador anfitrião do servidor proxy. Consulte "Configurar a autenticação silenciosa" na página 64 para obter uma explicação dos separadores e das propriedades. Descrição geral do Cloud Manager Utilize o portal Web Cloud Manager para realizar tarefas administrativas, incluindo o seguinte: implementar aplicações Web e móveis gerir dispositivos gerir perfis e utilizadores do cloud service monitorizar a atividade do cloud service e gerar relatórios configurar opções e definições do cloud service, incluindo a autenticação multifator e a cor e os ícones das janelas do Cloud Manager e do MyCentrify. A seguinte figura ilustra a página Aplicações do Cloud Manager. Esta página é a página de destino quando abre o portal e apresenta todas as aplicações Web e móveis que implementou. Estará vazia até que adicione aplicações. Clique no separador na parte superior da página para realizar diferentes tarefas administrativas. Guia de Instalação e Configuração do Centrify Cloud Management Suite 14 Interfaces de utilizador do Cloud service Abra o Cloud Manager introduzindo o seguinte URL no browser: https://cloud.centrify.com/manage Inicie sessão no Cloud Manager com o seu nome de utilizador do Active Directory completo (<nome de utilizador >@ <nome de domínio>) e palavra-passe. O funcionamento do Cloud Manager está descrito na ajuda online. Clique no menu pendente do nome de utilizador (veja a imagem) e clique em Ajuda. Interfaces de utilizador do Cloud service O cloud service disponibiliza as seguintes interfaces de utilizador: O portal Web MyCentrify para computadores Windows e Mac A aplicação Centrify para dispositivos Android A aplicação MobileManager para dispositivos iOS << Remova a marca de lista seguinte quando for implementada a fusão entre as aplicações MobileManager e Centrify.>> A aplicação Centrify os dispositivos iOS O portal Web Centrify Os utilizadores de dispositivos Android, iOS e computadores Mac utilizam o portal Web Centrify para iniciar as aplicações Web que lhes foram implementadas a partir dos seus computadores, adicionar aplicações Web, gerir os seus dispositivos e rever as suas atividades. Os utilizadores abrem o portal Web Centrify introduzindo o seguinte URL no browser: https://cloud.centrify.com/my A aplicação Centrify irá pedir a introdução do seu nome de utilizador do Active Directory completo (<nome de utilizador>@<nome de domínio>) e palavra-passe. O Web site irá abrir na página Aplicações, que apresentará uma lista de todas as aplicações Web que o administrador de TI implementou no perfil deste utilizador. Capítulo 1 • Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e SaaS 15 Interfaces de utilizador do Cloud service A imagem seguinte ilustra a home page do portal Web Centrify já preenchida com aplicações Web. Abra a ajuda online do portal Web MyCentrify para obter a descrição de cada página e os procedimentos utilizados para adicionar aplicações e gerir dispositivos. A ajuda do MyCentrify também explica aos utilizadores como instalar as aplicações Centrify e MobileManager no dispositivo e inscrever dispositivos no cloud service. Centrify para dispositivos Android Os seus utilizadores de dispositivos Android instalam a aplicação Centrify a partir do Google Play e podem utilizá-la de imediato para inscrever os dispositivos. Após a inscrição do dispositivo, o Centrify apresentará as aplicações Web e móveis que lhes foram implementadas. Também apresentará as políticas de grupo instaladas pelo cloud service e as definições do cloud service. As instruções de utilização para instalar o Centrify e inscrever os dispositivos encontram-se na ajuda online do portal Web Centrify. << Removeu-se quando a fusão das aplicações MobileManager e Centrify foi implementada.>> Centrify para dispositivos iOS Os seus utilizadores de dispositivos iOS obtêm a aplicação Centrify a partir da Apple App Store. Após a instalação e inscrição do dispositivo, o Centrify apresentará as aplicações Web implementadas no perfil do utilizador num ecrã e as definições de aplicações noutro. As instruções de utilização para instalar o Centrify encontram-se na ajuda online do portal Web Centrify. MobileManager para dispositivos iOS Os seus utilizadores de dispositivos iOS obtêm a aplicação MobileManager a partir da Apple App Store. Após a sua instalação e inscrição dos dispositivos, o MobileManager apresentará Guia de Instalação e Configuração do Centrify Cloud Management Suite 16 O que fazer a seguir as suas informações de conta num dos ecrãs e as definições de aplicações noutro. Os utilizadores poderão utilizar a página Definições se precisarem de anular a inscrição do dispositivo. As aplicações móveis implementadas nos dispositivos iOS serão apresentadas no ecrã principal de cada dispositivo com as outras aplicações e não nas aplicações MobileManager ou Centrify. Nota <<Remover para aqui.>> MobileManager para dispositivos iOS Os utilizadores de dispositivos iOS instalam a aplicação MobileManager a partir da Apple App Store e podem utilizá-la de imediato para inscrever os dispositivos. Após a inscrição do dispositivo, o MobileManager apresenta uma lista das aplicações Web implementadas para eles e as definições do dispositivo. As aplicações móveis implementadas nos dispositivos iOS serão apresentadas no ecrã principal do dispositivo e não no MobileManager. Nota As instruções de utilização para instalar o MobileManager e inscrever os dispositivos encontram-se na ajuda online do portal Web Centrify. O que fazer a seguir A tarefa seguinte para os administradores do Centrify for SaaS e do Centrify for Mobile será instalar e configurar o Cloud Management Suite. O capítulo seguinte fornece as instruções necessárias. Depois disso, os administradores do Centrify for SaaS podem avançar diretamente para o Cloud Manager para configurar as definições, definir os perfis de administrador e de utilizador e implementar aplicações. Após a instalação do Cloud Management Suite, os administradores do Centrify for Mobile devem avançar para "Definir políticas de grupo de segurança" na página 30 para saberem mais sobre as políticas de grupo dos dispositivos móveis do Centrify. Depois de criar os seus objetos de política de grupo de dispositivos móveis e de os atribuir às unidades organizacionais dos dispositivos móveis, deve avançar para o Cloud Manager para configurar as definições, definir os perfis de administrador e de utilizador e implementar aplicações. Consulte a ajuda do Cloud Manager para obter uma descrição das suas opções de definições e das instruções correspondentes. Depois de concluir as outras definições do Cloud Manager e de implementar as aplicações, os utilizadores do Centrify for SaaS poderão iniciar sessão no MyCentrify e começar a utilizar as aplicações implementadas, enquanto os utilizadores do Centrify for Mobile poderão inscrever os seus dispositivos móveis. Consulte os anexos neste livro conforme necessário. Capítulo 1 • Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e SaaS 17 O que fazer a seguir "Configurar o cloud proxy server" na página 54: utilize este anexo se precisar de compreender os separadores ou de modificar as propriedades na aplicação Cloud Proxy Server Configuration. "Instalar servidores proxy adicionais" na página 61: utilize este anexo se necessitar de instalar um cloud proxy server redundante para a ativação pós-falha e a continuidade do serviço. "Desinstalar o Centrify Cloud Management Suite" na página 63: utilize este anexo se necessitar de desinstalar o Cloud Management Suite, por exemplo, se estiver apenas a avaliar o software. "Configurar a autenticação silenciosa" na página 64: utilize este anexo para disponibilizar a autenticação silenciosa para o Centrify e o Cloud Manager. "Reinscrever um dispositivo em domínios com um ID de cliente diferente" na página 71: utilize este anexo quando algum utilizador do Centrify for Mobile estiver a mover um dispositivo de um cloud proxy server para outro. Guia de Instalação e Configuração do Centrify Cloud Management Suite 18 Capítulo 2 Instalar e configurar o Centrify Cloud Management Suite O processo de configuração da sua rede interna para trabalhar com o Centrify é simples. Comece por utilizar um instalador para instalar o Centrify Cloud Management Suite num computador anfitrião na sua rede. Depois de instalar o cloud proxy server, defina esse anfitrião para estabelecer ligação aos Centrify cloud services. Requisitos Para instalar e configurar o Centrify, são necessários os seguintes itens: Item Descrição Código de ativação do Centrify cloud proxy server Neste momento, já criou uma conta e efetuou o registo para utilizar o cloud service. A página de registo fornece-lhe o seu ID de cliente e o código de ativação do cloud proxy server. Também recebe uma mensagem de correio eletrónico com o mesmo código. Tenha o código de ativação por perto. Precisará dele quando configurar o cloud proxy server. Se estiver a instalar servidores proxy adicionais, não utilize este código de ativação para os instalar. Em vez disso, receberá um novo código de ativação para cada servidor proxy adicional que utilize o Cloud Manager. Nota: O código de ativação só pode ser utilizado uma vez e expira após 24 horas. Instalador do Centrify Cloud Management Suite Este programa instala os componentes no local na sua rede interna. O ficheiro do instalador está incluído na sua transferência de avaliação. Também utiliza este programa para instalar os servidores proxy adicionais e, se licenciar o Gestão do Contentor Móvel baseada no Samsung KNOX Active Directory, para instalar apenas as extensões de consola ADUC e da política de grupo nos computadores dos administradores do cloud service. computador anfitrião Instale o Centrify Cloud Management Suite neste computador para poder ligar o seu serviço do Active Directory ao Centrify cloud service. Este computador da sua rede interna deve cumprir ou exceder os seguintes requisitos: • Windows Server 2008 R2 (64 bits) ou Windows 7 (32 bits ou 64 bits) <<e o Windows Server 2012? não está indicado na matriz de teste>> • Estar associado ao domínio no qual pretende conceder acesso às aplicações Web por parte dos utilizadores • Ter acesso à Internet • Ser um computador servidor sempre acessível e em execução • Possuir a versão 4.0 ou superior do Microsoft .NET; se o Microsoft .NET ainda não estiver instalado, o instalador do Centrify instala-o por si. conta de utilizador com acesso A conta de utilizador que instala o Centrify Cloud Management Suite deve ter administrativo ao seu controlador capacidade para "Modificar Permissões". O Centrify adiciona automaticamente de domínio do Active Directory este utilizador ao perfil sysadmin no Cloud Manager. 19 Requisitos Item Descrição Vários domínios e florestas Instala o cloud proxy server num único domínio. No entanto, é possível utilizar o mesmo ID de cliente e servidor proxy para utilizadores do Centrify for Mobile e SaaS noutros domínios na mesma árvore que o domínio do servidor proxy e em domínios noutras florestas. Para incluir utilizadores em vários domínios e florestas, tem de configurar a fidedignidade bidirecional entre o controlador de domínio do servidor proxy e os domínios na mesma árvore e entre florestas. Servidor Proxy Web (opcional) Um servidor proxy Web na sua rede interna. Se a sua rede estiver configurada com um servidor proxy Web que pretende utilizar para estabelecer ligação ao Centrify cloud service, pode especificar este servidor durante o processo de instalação. É necessário saber o URL e o número de porta a utilizar. O ambiente também deve manter abertas as portas TCP de saída 9350 a 9355, ou a porta TCP de saída 443, ou a porta TCP de saída 80, se utilizar um proxy (é necessário um proxy 1.1 compatível com HTTP). Dispositivos móveis e computadores a inscrever O cloud service suporta a inscrição dos seguintes dispositivos e computadores no cloud service: • Um dispositivo Android com o Android 2.3 ou superior. • Um dispositivo iOS (por exemplo, um iPhone, iPad ou iPod Touch) com o iOS 5.1 ou superior. • Um computador da Apple com o OS X 10.8 ou superior. Pode consultar a lista mais atualizada dos dispositivos testados e certificados no Web site do Centrify, em http://www.centrify.com/mobile/directcontrol-formobile-supported-platforms.asp. **Temos uma lista? No Web site, existe apenas a indicação 2.2+ para android e 4.x e 5.x para ios**. Conta Apple Se pretender inscrever dispositivos iOS, será necessário utilizar uma conta Apple separada para criar e atualizar um certificado Apple Push Notification Service (APNS) da Apple. Necessita de utilizar esta mesma conta anualmente para renovar o seu certificado APNS. Por exemplo, poderá ser mais simples criar um Apple ID geral para utilizar apenas na criação de um certificado APNS. Conta da Apple App Store (para dispositivos iOS) Uma conta da Apple App Store para transferir a aplicação MyCentrify num dispositivo móvel. Conta Google (apenas para dispositivos Android) Uma conta Google para o dispositivo (normalmente, uma conta do Gmail), para que este possa receber notificações do Centrify cloud service. A conta estará indicada na aplicação Definições em Pessoal > Contas e Sincronização. Também utiliza esta conta para transferir a aplicação Centrify Mobile a partir do Google Play. Aplicação Touchdown (apenas para dispositivos Android) Se pretender sincronizar correio no seu dispositivo Android, será necessário instalar a aplicação Touchdown, versão 7.3.00015 ou posterior. Existe uma versão de avaliação da aplicação Touchdown no Google Play. NOTA: Isto não se aplica a dispositivos Android com Samsung SAFE. Estes dispositivos podem utilizar a aplicação de correio eletrónico nativa. Para obter informações sobre a configuração das definições da autenticação silenciosa no computador anfitrião ou nos seus browsers, consulte "Configurar a autenticação silenciosa" na página 64.<<ocultar este xref porque este ficheiro é utilizado em vários livros; no GI, consultar o anexo; nos guias de avaliação, consultar o GI>> Sugestão Guia de Instalação e Configuração do Centrify Cloud Management Suite 20 Requisitos <<suportamos fidedignidades, em que os dispositivos pertencem a um domínio e os utilizadores que possuem esses dispositivos pertencem a um domínio diferente? agora não; partimos do princípio de que está tudo na mesma floresta>> Browsers suportados Esta versão do Centrify for Saas/Centrify for Mobile foi testada com os seguintes browsers: Internet Explorer: versão 8 no Windows XP – apenas para o portal de utilizador MyCentrify versão 9 e 10 no Windows 7 e no Windows Server 2008 R2 versão 10 no Windows Server 2012 e Windows 8 Mozilla Firefox: versão 23 e posterior Google Chrome: versão 28 e posterior Apple Safari: versão 6 Para que a autenticação silenciosa funcione corretamente, alguns browsers necessitam de uma configuração adicional. Consulte "Configurar a autenticação silenciosa" na página 64 para obter uma explicação. Permissões do Active Directory necessárias Para instalar e administrar o Centrify Cloud proxy server, a conta de utilizador que utiliza para instalar o Centrify Cloud Management Suite tem de estar autorizada a modificar permissões. Esta função é ativada nas Funcionalidades Avançadas de Utilizadores e Computadores do Active Directory. <<o erro 38243 refere a capacidade de instalação como administrador local, mas a informação é confusa e pouco clara; pedir esclarecimentos a Johnson>> Para adicionar as permissões necessárias a um utilizador ou grupo do Active Directory: 1 Em Utilizadores e Computadores do Active Directory, certifique-se de que ativou as Funcionalidades Avançadas (Consulte > Funcionalidades Avançadas). 2 Abra as propriedades para o utilizador ou grupo desejado e clique no separador Segurança. 3 No separador Segurança, clique em Avançadas. 4 Na caixa de diálogo Definições de Segurança Avançadas, clique em Adicionar. 5 Introduza o nome da conta de serviço ou utilizador que irá utilizar para executar o Cloud Proxy server e clique em OK. 6 Na caixa de diálogo Introdução de permissão, clique em Permitir em "Modificar Permissões" e clique em OK. Capítulo 2 • Instalar e configurar o Centrify Cloud Management Suite 21 Instalar o Centrify Cloud Management Suite na sua rede O separador Permissões da caixa de diálogo Definições de Segurança Avançadas apresentará uma lista com o utilizador especificado e a capacidade de Modificar Permissões. 7 Na caixa de diálogo Definições de Segurança Avançadas, clique em OK. 8 Na caixa de diálogo Propriedades, clique em OK. Requisitos do servidor do Exchange O bloqueio está disponível para os servidores do Exchange 2010 e do Office 365. Não está disponível para os servidores do Exchange 2007. O SP1 tem de estar instalado nos servidores do Exchange 2010. Tem de ativar o PowerShell Remoto no servidor do Exchange ou do Office 365. Depois de ativar o PowerShell Remoto, o servidor do Exchange cria uma aplicação de Serviços de Informação Internet (IIS) denominada PowerShell. É necessário ativar um método de autenticação para esta aplicação. (Por predefinição, não está selecionado nenhum método de autenticação.) Siga este procedimento para ativar um método de autenticação para a aplicação PowerShell. O procedimento seguinte é necessário apenas para Servidores do Exchange. Se estiver a utilizar um servidor do Office 365, ignore este procedimento. Nota Para ativar o método de autenticação para a aplicação PowerShell: 1 Inicie o Gestor de IIS. 2 No painel esquerdo, selecione Site > Web Site Predefinido > PowerShell. 3 No painel direito, selecione IIS > Autenticação, clique com o botão direito do rato, clique e selecione Abrir Funcionalidade. 4 Selecione Autenticação do Windows ou Autenticação Básica, clique com o botão direito do rato e selecione Ativar. Se selecionar a Autenticação Básica, certifique-se de que seleciona a caixa de verificação quando ativar o servidor do Exchange nas definições do Cloud Manager. Nota 5 Faça uma cópia de segurança das suas definições originais. Neste caso, utilizaria um script do PowerShell para extrair as definições originais. Instalar o Centrify Cloud Management Suite na sua rede O instalador do Centrify Cloud Management Suite instala o cloud proxy server e, opcionalmente, as ferramentas de Gestão do Contentor Móvel baseada no Samsung KNOX Active Directory num computador Windows na sua rede interna. Após a conclusão da instalação, o instalador inicia o Assistente do Cloud Proxy Server Configuration para o ajudar a configurar o cloud proxy server instalado. Guia de Instalação e Configuração do Centrify Cloud Management Suite 22 Instalar o Centrify Cloud Management Suite na sua rede Para executar o instalador: 1 No computador anfitrião, execute o instalador do Centrify Cloud Management Suite adequado ao seu sistema: Cloud-Mgmt-Suite-<version>-win32.exe para Windows de 32 bits ou Cloud-Mgmt-Suite-<version>-win64.exe para Windows de 64 bits. Se a versão 4.0 ou superior do Microsoft .NET ainda não estiver instalada no seu computador, o instalador instala-a por si. Após a instalação do .NET, reinicie o computador e poderá continuar a instalação do Cloud Management Suite. <<é necessário reiniciar?>> 2 No instalador do Centrify Cloud Management Suite, clique no ecrã de boas-vindas (Seguinte) e no contrato de licença de utilizador final (caixa de verificação e Seguinte). 3 Na caixa de diálogo Configuração Personalizada, selecione os itens a instalar. Se estiver a instalar o cloud proxy server, instale todos os componentes (a predefinição). Se não estiver a instalar os componentes do administrador de dispositivos móveis ou de políticas de grupo, desmarque a opção Centrify for Mobile. Se estiver a instalar os componentes para os computadores dos administradores de dispositivos móveis ou de políticas de grupo ou um servidor proxy de ativação pós-falha (consulte "Instalar servidores proxy adicionais" na página 61 para saber mais sobre servidores de ativação pós-falha), não instale todos os componentes. Em vez disso, instale os componentes conforme as indicações abaixo: Para uma consola de administrador de dispositivos móveis: Selecione apenas a Extensão de Consola de Utilizadores e Computadores do AD. Uma consola de administrador de dispositivos móveis é um computador Windows associado ao controlador de domínio utilizado por um administrador para gerir dispositivos móveis através da utilização da funcionalidade Utilizadores e Computadores do Active Directory e/ou do Centrify Cloud Manager. Para uma consola de administrador de políticas de grupo de dispositivos móveis: Selecione apenas a Extensão de Consola de Políticas de Grupo. Capítulo 2 • Instalar e configurar o Centrify Cloud Management Suite 23 Instalar o Centrify Cloud Management Suite na sua rede Uma consola de administrador de políticas de grupo de dispositivos móveis é um computador Windows associado ao controlador de domínio utilizado por um administrador para criar objetos de política de grupo para os dispositivos móveis com o Editor de Gestão de Políticas de Grupo. Para um cloud proxy server de ativação pós-falha: Selecione apenas o Cloud Proxy Server. As ferramentas do Centrify for Mobile são opcionais.<<kh: não alterei este CfM pois está na IU>> 4 Pode clicar em Procurar para especificar uma localização de instalação diferente. Clique em Seguinte. 5 Na página Pronto para Instalar o Cloud Management Suite, clique em Instalar para efetuar a instalação. Se estiver a atualizar o servidor proxy, o instalador pede-lhe, neste momento, que feche as aplicações que estão a utilizar ficheiros que precisam de ser atualizados. Selecione a opção para fechar as aplicações e clique em OK. Nota 6 Quando a instalação estiver concluída, mantenha Executar Teste de Ligação selecionado e clique em Concluir. É executado um teste de ligação para verificar se o servidor está ligado de forma correta para que o servidor proxy seja executado. Se forem devolvidos erros, terá de os corrigir antes de continuar. 7 Clique em Fechar para fechar a caixa de diálogo Teste de Ligação e, em seguida, é iniciado o Assistente do Cloud Proxy Server Configuration. Esta ação conclui a instalação do cloud proxy server e das extensões de consola. Se instalou apenas as extensões de consola de Utilizadores e Computadores do AD ou de políticas de grupo, já concluiu o processo. Se instalou o cloud proxy server, é necessário configurá-lo. Instalar o cloud proxy server Utilize este procedimento apenas se estiver a instalar o cloud proxy server. O Assistente do Cloud Proxy Server Configuration abre automaticamente. Para executar novamente este assistente, clique em Voltar a Registar no separador Servidor Proxy da aplicação Cloud Proxy Configuration. Esta ação volta a registar o seu servidor proxy no Centrify cloud. <<o que queremos dizer sobre voltar a registar com um ID de cliente diferente?>> Para instalar o cloud proxy server utilizando o assistente de configuração: 1 Na página de Boas-vindas do Assistente do Cloud Proxy Server Configuration, clique em Seguinte. Guia de Instalação e Configuração do Centrify Cloud Management Suite 24 Instalar o Centrify Cloud Management Suite na sua rede 2 Na página Configuração do Proxy, introduza o seu código de ativação monouso no campo Código de Registo e clique em Seguinte. Um único cloud proxy server é executado numa floresta em qualquer altura para comunicar entre o Active Directory e o cloud service. No entanto, recomenda-se a configuração de um ou vários servidores adicionais num ambiente de produção para proporcionar uma ativação pós-falha caso o servidor em execução fique offline. Nota 3 << PSB: Isto é mesmo necessário? Porquê? kh: adicionámos durante a versão beta porque foi necessário alterar o endereço para nuvens beta; já não fazemos versões beta, mas saber para que é utilizado o botão deve ser útil para eles, embora não me consiga lembrar de um caso de utilização para o alterarem>>Na caixa de diálogo Definições Avançadas, verifique se cloud.centrify.com está definido como o endereço do cloud service e clique em OK. 4 Clique em Seguinte. 5 Na página Configuração do Proxy Web, se a sua rede tiver um servidor proxy Web que pretende utilizar para a ligação ao Centrify cloud service, selecione a opção Utilizar um servidor proxy Web.... Se não tiver um servidor proxy Web, clique em Seguinte sem selecionar a opção; o cloud proxy server não estabelecerá ligação através do servidor proxy Web. Se selecionou a opção do proxy Web, introduza as seguintes informações: Endereço O URL do servidor proxy Web. Porta O número de porta a utilizar para estabelecer ligação ao servidor proxy Web. 6 Clique em Seguinte para continuar. <<o que acontece aqui? o que determina o que aparece aqui ou não?>> Aparecerá o ecrã Configurar a Utilização Móvel. 7 Se for um utilizador do Centrify for Mobile, mantenha a opção selecionada para Configurar o Centrify for Mobile e avance para "Configurar o Centrify for Mobile" Capítulo 2 • Instalar e configurar o Centrify Cloud Management Suite 25 Instalar o Centrify Cloud Management Suite na sua rede na página 26. Caso contrário, desmarque a opção e avance para "Concluir o Assistente do Cloud Proxy Server Configuration" na página 28.<<isto é apresentado no guia de Avaliação do Mobile e no guia de Instalação>> 8 Se for um utilizador do Centrify for Mobile, mantenha a opção selecionada para Configurar o Centrify for Mobile. Caso contrário, desmarque a opção e avance para "Concluir o Assistente do Cloud Proxy Server Configuration" na página 28.<<isto é apresentado apenas no guia de Avaliação do SaaS>> Configurar o Centrify for Mobile Se selecionou a opção para Configurar o Centrify for Mobile, aparecerá a caixa de diálogo Configurar a Utilização Móvel seguinte. Pode utilizar esta caixa de diálogo para indicar ao cloud service que grupos de utilizadores do Active Directory podem inscrever dispositivos e em que unidade organizacional devem ser armazenados os objetos de dispositivo desse grupo. O grupo de utilizadores e a unidade organizacional são sempre especificados como um par. Por predefinição, o grupo de utilizadores é "Utilizadores do Domínio" e a unidade organizacional é "Computadores". Isto significa que todos os utilizadores do Active Directory podem inscrever dispositivos móveis e os objetos de dispositivo móvel são armazenados na mesma unidade organizacional que os computadores do domínio. Pode alterar o par predefinido e criar pares adicionais. Por exemplo, se pretender que apenas um subconjunto dos utilizadores do seu domínio inscreva dispositivos e pretender armazenar os objetos de dispositivo móvel numa unidade organizacional separada, poderá criar um grupo e um contentor, como UtilizadoresMóveis e DispositivosMóveis, e editar a predefinição. Se considerar que a criação de grupos mais pequenos de utilizadores facilitaria a gestão de utilizadores e dispositivos, poderá adicionar mais grupos com o mesmo contentor ou um contentor diferente para os objetos de dispositivo móvel. A ativação de diferentes objetos de política de grupo para diferentes conjuntos de dispositivos é outro dos motivos para criar grupos e contentores adicionais. Consulte "Definir políticas de grupo de segurança" na página 30para saber mais sobre as políticas de Guia de Instalação e Configuração do Centrify Cloud Management Suite 26 Instalar o Centrify Cloud Management Suite na sua rede grupo dos dispositivos móveis do Centrify. Para atribuir diferentes objetos de política de grupo, terá de utilizar unidades organizacionais para os contentores do dispositivo. Crie uma unidade organizacional denominada "Dispositivos Móveis" e modifique o par grupo-para-contentor predefinido para armazenar todos os objetos de dispositivo móvel separadamente dos computadores do domínio. Assim, será mais fácil definir uma política de grupo apenas para os seus dispositivos móveis. Sugestão Não é necessário definir todos os grupos e unidades organizacionais neste momento. Pode utilizar o programa Centrify Cloud Proxy Server no seu servidor proxy para adicionar e eliminar grupos de utilizadores de dispositivos móveis e os respetivos contentores. Consulte "Configurar o cloud proxy server" na página 54 para obter a descrição deste programa. Utilize o separador Definições Móveis para modificar os pares grupo-para-contentor. Para modificar o par grupo e unidade organizacional predefinido: 1 Se o grupo e a unidade organizacional ainda não existirem, abra a funcionalidade Utilizadores e Computadores do Active Directory e crie o grupo e a unidade organizacional. 2 Adicione os utilizadores do dispositivo móvel ao grupo criado. 3 No ecrã Configurar a Utilização Móvel do Assistente do Cloud Proxy Service Configuration, selecione o grupo predefinido e clique no botão Editar. 4 Na caixa de diálogo Modificar Grupo de Inscrição, clique em Procurar para selecionar o grupo que criou. 5 Em seguida, clique em Procurar para selecionar o contentor. 6 Clique em OK. 7 Clique em Aplicar. Quando os membros do grupo selecionado inscreverem os seus dispositivos, os objetos de dispositivo serão armazenados no contentor selecionado. 8 Quando concluir o processo, clique em Fechar. Para adicionar mais pares grupo-para-unidade organizacional: 1 Em Utilizadores e Computadores do Active Directory, crie a nova ou as novas unidades organizacionais para os dispositivos móveis. 2 No ecrã Configurar a Utilização Móvel do Assistente do Cloud Proxy Service Configuration, clique no botão Adicionar. 3 Para Grupo, selecione o botão Criar e selecione o contentor, introduza o nome do grupo, selecione o âmbito (domínio local, global ou universal) e clique em OK. 4 Para Contentor, clique em Procurar e selecione o contentor criado para este grupo. Capítulo 2 • Instalar e configurar o Centrify Cloud Management Suite 27 Instalar o Centrify Cloud Management Suite na sua rede É possível emparelhar vários grupos com o mesmo contentor. No entanto, um grupo pode ter apenas um contentor associado. Nota 5 Clique em OK. 6 Quando concluir o processo de definição de pares, clique em Aplicar. 7 Clique em Fechar. 8 Adicione os utilizadores ao grupo criado. Concluir o Assistente do Cloud Proxy Server Configuration A caixa de diálogo A Iniciar o Cloud Proxy Server aparecerá enquanto o assistente regista o proxy junto do Centrify cloud service e inicia o proxy. Quando a configuração e o arranque estiverem concluídos, aparecerá a caixa de diálogo Configuração Concluída. Clique em Concluir para sair do assistente. Agora, o cloud proxy server está instalado e em execução. A aplicação Centrify cloud proxy server configuration é iniciada automaticamente. No entanto, não é necessário efetuar qualquer outra configuração. Se pretender instalar servidores proxy adicionais em diferentes computadores anfitriões, por exemplo, para proporcionar uma ativação pós-falha automática em caso de falha de um servidor proxy, consulte Anexo B, “Instalar servidores proxy adicionais.” << PSB: Penso que o resto deste capítulo e o capítulo seguinte, Configurar o cloud proxy server, deveriam ser fundidos num anexo. Este é um material de referência fundamental.>> Atualizar automaticamente o servidor proxy Pode atualizar automaticamente o seu servidor proxy sem ser necessário executar um novo instalador. O servidor proxy verifica regularmente a existência de atualizações e pode executá-las automaticamente. No entanto, se a aplicação Centrify Cloud Proxy Server Configuration estiver aberta, o servidor proxy não poderá atualizar-se automaticamente. Neste caso, execute a atualização manualmente. Para atualizar o Cloud Proxy Server: 1 Abra a aplicação Centrify Cloud Proxy Configuration. Guia de Instalação e Configuração do Centrify Cloud Management Suite 28 Instalar o Centrify Cloud Management Suite na sua rede 2 Na parte inferior esquerda do painel Estado, clique com o botão direito do rato no ícone de atualização e selecione Atualizar. Clique com o botão direito do rato no ícone de atualização e selecione Atualizar para atualizar manualmente o Cloud Proxy Server. O Cloud Proxy Server efetua a atualização e, em seguida, apresenta uma mensagem com a indicação de que o software está atualizado. <<sugerir a reformulação de atualizado, mas posteriormente>> Capítulo 2 • Instalar e configurar o Centrify Cloud Management Suite 29 Capítulo 3 Definir políticas de grupo de segurança Este capítulo apresenta as políticas de grupo do Centrify específicas para dispositivos móveis e explica como defini-las num objeto de política de grupo. As políticas de grupo são utilizadas para permitir aos utilizadores criar um contentor Samsung KNOX nos respetivos dispositivos e a lista de permissões que autoriza as aplicações móveis, incluindo o Centrify, a utilizar a funcionalidade de início de sessão único do contentor. Certifique-se de que executa os procedimentos referidos no fim do presente capítulo para ativar os contentores Samsung KNOX e criar listas de permissões. O Cloud Management Suite inclui uma extensão de consola de políticas de grupo que adiciona uma ampla variedade de políticas que pode utilizar na gestão dos dispositivos móveis. A extensão de consola é instalada aquando da instalação do cloud proxy server. Consulte a ajuda do Cloud Manager para obter uma tabela das políticas de grupo de dispositivos móveis do Centrify com uma breve descrição. Para utilizar estas políticas, abra o Editor de Gestão de Políticas de Grupo da Microsoft para criar um objeto de política de grupo para os dispositivos móveis e ative as políticas necessárias. Em seguida, deve ligar o objeto de política de grupo à unidade organizacional do Active Directory que contém os dispositivos móveis. É possível ativar políticas de grupo para diferentes tipos de dispositivos, por exemplo, Android, iOS e Samsung SAFE, no mesmo objeto de política de grupo. Nota Os perfis de política de grupo encontram-se listados, em dispositivos Android, no ecrã Configuração da aplicação móvel do Centrify e, em dispositivos iOS e OS-X, no ecrã Geral/Perfis da aplicação Definições. Descrição geral das políticas de grupo de dispositivos móveis <<introduza o GroupPolicy-overview-shared.fm a partir da pasta DocsPartilhados>> As políticas de grupo do Centrify cloud service são apresentadas com as políticas de grupo da Configuração do Computador Windows ao abrir um objeto de política de grupo para edição. A seguinte figura ilustra a lista das políticas de grupo dos dispositivos móveis do Centrify apresentadas no Editor de Gestão de Políticas de Grupo. 30 Descrição geral das políticas de grupo de dispositivos móveis Se as Definições do Centrify Cloud Management não forem apresentadas ao abrir o Editor de Gestão de Políticas de Grupo, necessita de instalar a Extensão Consola de Políticas de Grupo no seu computador. Consulte as instruções de instalação do Cloud Management Suite para instalar a extensão de consola GPME. Nota O Centrify cloud proxy server cria um conjunto de políticas para dispositivos Android e perfis para dispositivos iOS e computadores OS X e instala-os quando o utilizador inscreve o dispositivo. Os perfis são atualizados automaticamente de forma periódica. Este intervalo de consulta é definido no programa Cloud Proxy Server Configuration, no separador Definições dos Dispositivos Móveis. Se efetuar muitas alterações (por exemplo, mais de 20), o servidor proxy poderá emitir as atualizações para os dispositivos em vários lotes, em vez de o fazer de uma só vez. Também é possível emitir uma atualização imediata utilizando os comandos da ferramenta Utilizadores e Computadores do Active Directory e do Cloud Manager (consulte a ajuda do Cloud Manager). Descrições da secção da política de grupo do Cloud Management Suite As políticas do dispositivo móvel estão organizadas nos seguintes nós na secção Definições do Centrify Cloud Management: Definições dos Dispositivos Móveis Comuns: Políticas de grupo para dispositivos iOS ou Android. Capítulo 3 • Definir políticas de grupo de segurança 31 Utilizar as Definições dos Dispositivos Móveis Comuns Definições do iOS: Políticas de grupo que apenas se aplicam aos dispositivos iOS. Definições do OS X: Políticas de grupo apenas para computadores Macintosh. Definições do Samsung KNOX: Políticas de grupo que se aplicam a aplicações e serviços executados no contentor Samsung KNOX. Definições do Samsung SAFE: Políticas de grupo para gerir um dispositivo Samsung SAFE. Definições do Touchdown: Uma política de grupo que utiliza para configurar as comunicações do Exchange ActiveSync nos dispositivos Android que utilizam a aplicação de correio eletrónico Touchdown. As políticas de grupo do Samsung SAFE e KNOX requerem uma licença válida. Não é possível ativar estas políticas a menos que tenha adquirido uma licença. Se a licença expirar, as políticas de grupo permanecem ativadas. Contudo, depois de a licença expirar, não é possível ativar políticas do Samsung SAFE ou KNOX adicionais nem pode alterar as definições para quaisquer políticas que tenha ativado. A única alteração da política de grupo do Samsung SAFE ou KNOX que poderá efetuar após a licença expirar é definir uma política ativada para Não Configurada. Consulte "Apresentar o estado das suas licenças de subscrição" na página 64 para determinar o estado da sua licença. Nota A parte restante deste capítulo apresenta as políticas do Samsung KNOX e informa-o sobre como ativar as políticas da lista de permissões da aplicação e contentor. Para uma introdução às restantes políticas, consulte a ajuda do Cloud Manager. Utilizar as Definições dos Dispositivos Móveis Comuns As tabelas seguintes resumem as políticas e os nós de políticas nas Definições dos Dispositivos Móveis Comuns. Consulte o separador Explicar para obter as instruções de configuração de cada política. Políticas de grupo Para fazê-lo Encriptar/não encriptar o armazenamento do dispositivo Encripte automaticamente a área de armazenamento nos dispositivos Android não SAFE. Definições do Exchange ActiveSync Configure os perfis do Exchange ActiveSync relativamente às comunicações de servidor e à sincronização de contas para dispositivos iOS. Nota: Se tiver um servidor POP ou IMAP, utilize a política de grupo Definições do iOS > Definições do correio em vez desta. Definições de VPN Configure os perfis da VPN para dispositivos iOS. Definições de Wi-Fi Configure os perfis de Wi-Fi para outros dispositivos iOS e Android que não os dispositivos Samsung SAFE e Samsung KNOX. Guia de Instalação e Configuração do Centrify Cloud Management Suite 32 Utilizar as definições do iOS Secções de políticas de grupo Para fazê-lo Definições do Código de Acesso Defina as regras que regem a utilização do código de acesso – por exemplo, o limite máximo de tentativas falhadas, o comprimento mínimo do código de acesso e a longevidade máxima do código de acesso. Na maioria dos casos, estas políticas aplicam-se a dispositivos iOS e Android, exceto para as políticas com o prefixo do iOS. Definições de Restrições Defina as regras que regem a utilização das funcionalidades do dispositivo – por exemplo, permitir ou proibir a utilização da câmara e revelar ou não revelar a localização do dispositivo. Utilizar as definições do iOS As tabelas seguintes resumem as políticas e os nós de políticas nas Definições do iOS. Consulte o separador Explicar para obter as instruções de configuração de cada política. Políticas de grupo Para fazê-lo Definições do calendário Sincronize os dados do calendário com os dispositivos iPad, iPhone e iPod touch. Definições dos contactos Sincronize os dados de contacto com os dispositivos iPad, iPhone e iPod touch. Definições LDAP Configure os perfis das informações dos contactos para as comunicações de servidor LDAP para dispositivos iOS. Definições de correio Configure perfis de conta para servidores de correio IMAP e POP para dispositivos iOS e OS X. Secções de políticas de grupo Para fazê-lo Definições de Restrições Defina as regras que regem a utilização das funcionalidades do dispositivo – por exemplo, permitir ou proibir a utilização do Safari, do YouTube e do Photos Stream e definir requisitos para cópias de segurança encriptadas e a palavra-passe da iTunes Store. Capítulo 3 • Definir políticas de grupo de segurança 33 Utilizar as Definições do OS X Utilizar as Definições do OS X As definições do OS X apenas se aplicam aos computadores Mac inscritos. A seguinte tabela resume as políticas nas secções das Definições do OS X. Consulte o separador Explicar para obter as instruções de configuração de cada política. Definições de Restrições Para fazê-lo Aplicações Defina as pastas a partir das quais os utilizadores podem ou não podem iniciar aplicações. Nota: Tem de ativar a política Restringir aplicações para definir as pastas Multimédia Ative ou desative o acesso do utilizador aos suportes de multimédia do dispositivo – por exemplo, DVDs, discos externos e discos graváveis. Preferências Restrinja as preferências do sistema disponíveis para o utilizador. Se tiver um dispositivo OS X inscrito no Centrify cloud service e adicionado ao seu controlador de domínio utilizando o Centrify for Servers, pode ter perfis de segurança com diferentes definições para a mesma política. (O Centrify for Servers é um SSO, um controlo de acesso, uma solução de auditoria e uma autenticação no local para redes empresariais Windows, Mac, UNIX e Linux mistas.) Por exemplo, a política para a utilização no local poderia permitir o acesso ao DVD, enquanto a definição da política fora do local proibiria o acesso ao DVD. Quando o dispositivo foi adicionado e inscrito, a definição da política para a utilização no local sobrepõe-se à definição da política nas Definições do Centrify Cloud Management quando o dispositivo está no local e fora do local. Nota Utilizar as Definições do Samsung KNOX As políticas de grupo Definições do Samsung KNOX permitem que o utilizador crie uma utilização do contentor Samsung KNOX e permitem a gestão das definições das aplicações que apenas se aplicam quando o utilizador alternar para o contentor. Por exemplo, pode configurar definições de restrições para o Exchange ActiveSync, VPN, correio IMAP/POP, firewall e dispositivo separadas para o contentor Samsung KNOX. As tabelas seguintes resumem as políticas e as secções das políticas nas Definições do Samsung KNOX. Consulte o separador Explicar para obter as instruções de configuração de cada política. Guia de Instalação e Configuração do Centrify Cloud Management Suite 34 Utilizar as Definições do Samsung KNOX Depois da tabela, são fornecidos vários procedimentos que mostram como permitir que os utilizadores criem um contentor Samsung KNOX e adicionem uma aplicação móvel a uma lista de permissões. Políticas de grupo Para fazê-lo Criar/Não criar contentor na inscrição Permita que o utilizador crie um contentor Samsung KNOX depois de o utilizador inscrever o dispositivo. Utilize o procedimento que se segue a esta tabela para ativar esta política. Esta política não cria o contentor Samsung KNOX. Depois de a ativar e de a definir para verdadeira, o dispositivo apresentará um ícone na barra de estado depois de o utilizador inscrever o dispositivo. Se a definir para falsa, o ícone não será apresentado depois da inscrição por parte do utilizador. Em alternativa, pode permitir que o utilizador crie um contentor Samsung KNOX utilizando os comandos das funcionalidades Utilizadores e Computadores do Active Directory e Criar Contentor do Cloud Manager. Além disso, os utilizadores podem, eles próprios, ativá-lo utilizando o comando Criar Contentor do portal de utilizador Centrify. Eliminar/Não eliminar o contentor << Esta não aparece no Comboio 6. Talvez tenha sido removida.>> ao anular a inscrição Elimine o contentor Samsung KNOX quando o utilizador ou o administrador da nuvem anular a inscrição do dispositivo. Todas as aplicações instaladas no contentor Samsung KNOX serão desinstaladas e todos os ficheiros de dados serão perdidos quando o contentor for eliminado. Ativar/Não ativar o início automático da VPN para pacotes Inicie uma VPN automaticamente quando uma aplicação for iniciada. Pode especificar várias VPN e pares de aplicações. Pode configurar cada VPN na política Definições de VPN. Definições do Exchange ActiveSync Configure os perfis do Exchange ActiveSync para as comunicações de servidor e a sincronização de contas para a aplicação de correio eletrónico executada no contentor Samsung KNOX. Definições de IMAP/POP Configure perfis de conta para servidores de correio IMAP e POP. Estas definições apenas se aplicam à aplicação de correio executada no contentor Samsung KNOX. Definições de VPN Configure os perfis da VPN. Esta definição apenas se aplica às ligações VPN Capítulo 3 • Definir políticas de grupo de segurança 35 Utilizar as Definições do Samsung KNOX Secções de políticas de grupo Para fazê-lo Gestão de aplicações Defina que aplicações podem utilizar o início de sessão único (SSO) e que aplicações estão desativadas (proibidas). Os dispositivos com Samsung KNOX incluem uma extensão SSO no sistema operativo que fornece uma autenticação silenciosa para aplicações móveis instaladas no contentor Samsung KNOX. Se tiver aplicações móveis que utilizem a extensão SSO, tem de as adicionar a uma lista de permissões. Nota: Caso pretenda que os seus utilizadores de dispositivos móveis instalem a aplicação móvel Centrify no contentor KNOX, tem de ativar a política Lista de permissões de aplicações e adicionar Centrify à lista. (A aplicação móvel Centrify instalada no contentor KNOX permite que os utilizadores iniciem as aplicações Web que implementa dentro do contentor KNOX.) Definições do Browser Controle o comportamento do browser – por exemplo, ative ou desative as janelas de pop-up, os cookies e o JavaScript Definições de Correio Eletrónico Controle o comportamento da aplicação do correio eletrónico – por exemplo, proíba a adição de novas contas e o reencaminhamento de correio eletrónico através de uma conta pessoal. Definições de Firewall Configure as regras de permissão e de negação da iptable e a filtragem de URLs. Definições do Código de Acesso Configure as regras que regem as propriedades dos códigos de acesso (por exemplo, comprimento mínimo, ocorrência de caracteres e comprimento da sequência) e a utilização (por exemplo, número de tentativas falhadas, visibilidade e histórico) Definições de Restrições Permita ou proíba a utilização das funcionalidades do dispositivo, tais como a câmara, a captura de ecrã e a "partilha em lista". Ativar as políticas para criar o contentor Samsung KNOX e a lista de permissões de SSO para Centrifyaplicações móveis Caso pretenda utilizar o contentor KNOX e aplicações móveis que utilizem a extensão SSO do Samsung KNOX, deve ativar as seguintes políticas de Definições do Samsung KNOX: Criar/Não criar contentor na inscrição: Defina esta política para iniciar automaticamente o produto de criação do contentor KNOX assim que o utilizador inscrever o dispositivo. Gestão de aplicações > Lista de permissões de aplicações: Depois de ativar esta política, adicione todas as aplicações móveis que utilizam a extensão SSO e que os seus utilizadores instalarão no contentor KNOX. Não é necessário adicionar as aplicações móveis que não utilizam a extensão SSO à lista de permissões. Guia de Instalação e Configuração do Centrify Cloud Management Suite 36 Utilizar as Definições do Samsung KNOX Além disso, caso pretenda implementar aplicações Web para utilizadores e pretenda que estes as possam iniciar a partir do interior do contentor KNOX, será necessário adicionar a aplicação móvel Centrify à Lista de permissões de aplicações. Para permitir que um utilizador crie um contentor Samsung KNOX: Ative a política "Criar/Não criar contentor na inscrição" para pedir ao utilizador que crie um contentor Samsung KNOX imediatamente depois de inscrever o dispositivo. Se não utilizar esta política, poderá enviar um comando para o dispositivo no Cloud Manager para iniciar o processo – consulte a ajuda do Cloud Manager para obter a descrição do comando. Em alternativa, o utilizador também pode enviar um comando para o dispositivo (consulte a ajuda do MyCentrify). 1 Abra o Editor de Gestão de Políticas de Grupo e selecione o objeto de política de grupo que associou à unidade organizacional com os dispositivos Samsung KNOX. 2 Expanda a secção Definições do Centrify Cloud Management e selecione Definições do Samsung KNOX. 3 Faça duplo clique em Criar/Não criar contentor na inscrição. 4 Selecione Ativada e Criar contentor na inscrição e clique em OK. Para adicionar uma aplicação móvel à lista de permissões: As aplicações móveis que instalar no contentor Samsung KNOX e que utilizarem a extensão SSO do Samsung KNOX têm de estar na lista de permissões de aplicações. 1 Abra o Editor de Gestão de Políticas de Grupo e selecione o objeto de política de grupo que associou à unidade organizacional com os dispositivos Samsung KNOX. 2 Expanda a secção Definições do Centrify Cloud Management para Definições do Samsung KNOX > Gestão de Aplicações. 3 Faça duplo clique em Lista de permissões de aplicações. 4 Clique em Ativada e no botão Adicionar. 5 Introduza o nome do pacote para a aplicação e clique em OK. O nome do pacote não é o nome da aplicação. Se estiver a instalar a aplicação a partir da loja de aplicações do Samsung KNOX, pode obter o nome do pacote a partir do URL. Por exemplo, no seguinte URL, o nome do pacote está a negrito. https://play.google.com/store/apps/details?id=net.oxdb.AnaClock Se estiver a instalar uma aplicação móvel interna, pergunte o nome do pacote ao programador. 6 Clique em OK para sair da caixa de diálogo. Capítulo 3 • Definir políticas de grupo de segurança 37 Utilizar as Definições do Samsung SAFE Para adicionar o Centrify à lista de permissões SSO: Ative a política de grupo Lista de permissões de aplicações e adicione a aplicação móvel Centrify à lista de permissões para que os seus utilizadores possam iniciar as aplicações Web que implementa dentro do contentor Samsung KNOX. 1 Abra o Editor de Gestão de Políticas de Grupo e selecione o objeto de política de grupo que associou à unidade organizacional com os dispositivos Samsung KNOX. 2 Expanda a secção Definições do Centrify Cloud Management para Definições do Samsung KNOX > Gestão de Aplicações. 3 Faça duplo clique em Lista de permissões de aplicações. 4 Clique em Ativada e no botão Adicionar. 5 Introduza o seguinte nome do pacote e clique em OK. com.centrify.sso.myapps 6 Clique em OK para sair da caixa de diálogo. Utilizar as Definições do Samsung SAFE Utilize as políticas nesta secção para definir políticas de grupo que regem as comunicações de VPN, Wi-Fi de dispositivos móveis e as comunicações do Exchange ActiveSync de dispositivos que implementem o Samsung SAFE. As políticas de grupo do SAFE foram introduzidas ao longo do tempo com cada nova versão do software MDM do dispositivo. A versão do MDM exigida para a política de grupo é apresentada nos textos que explicam as políticas. Para visualizar o número da versão do MDM do dispositivo, abra as Propriedades do dispositivo em Utilizadores e Computadores do Active Directory e selecione o separador Centrify Mobile. A versão é a versão do SDK do MDM. As tabelas seguintes resumem as políticas e os nós das políticas nas Definições do Samsung SAFE. Consulte o separador Explicar para obter as instruções de configuração de cada política. Políticas de grupo Para fazê-lo Definições do Exchange ActiveSync Configure os perfis do Exchange ActiveSync para as comunicações de servidor e a sincronização de contas para a aplicação de correio eletrónico executada num dispositivo com o SAFE. Definições de VPN Configure os perfis da VPN para dispositivos SAFE. Definições de Wi-Fi Configure perfis de Wi-Fi para dispositivos SAFE. Guia de Instalação e Configuração do Centrify Cloud Management Suite 38 Utilizar as Definições do Touchdown Secções de políticas de grupo Para fazê-lo Gestão de aplicações Defina uma variedade de restrições de utilização de aplicações, incluindo aplicações que o utilizador pode ou não instalar, iniciar ou parar, permissões de aplicações e listas de permissões e listas de proibições de aplicações. Definições de Bluetooth Configurar a interface de Bluetooth do dispositivo Definições de Inventário do Dispositivo Ative ou desative os registos do dispositivo (por exemplo, informações de chamada, bytes de dados da rede de Wi-Fi e utilização a rede de dados). Definições de Firewall Configure as regras de permissão e de negação da iptable e a filtragem de URLs. Definições de palavra-passe Defina as regras que regem a utilização de palavras-passe nos dispositivos Samsung SAFE – por exemplo, cadeias de caracteres proibidas, aplicação de um padrão de palavras-passe e número mínimo de caracteres alterados numa nova palavra-passe. Este nó também inclui políticas que gerem outros comportamentos relacionados com palavras-passe, incluindo a visibilidade do bloqueio de ecrã e palavra-passe e a eliminação do armazenamento externo caso o utilizador não consiga introduzir a palavra-passe correta. Nota: Os requisitos predefinidos da Samsung configurados no dispositivo podem ser mais rigorosos do que os valores que definiu no grupo Centrify. Se definir um valor mais fraco, será aplicada a política mais rigorosa. Definições de Restrições Defina as regras que regem a utilização das funcionalidades do dispositivo. Existe uma longa lista de políticas disponíveis para ativar ou desativar essas funcionalidades, tais como o acesso ao Bluetooth, a utilização do Android e do S Beam, a gravação de áudio e a funcionalidade da tecla página inicial. Nota: A ativação ou desativação do Wi-Fi e da VPN é efetuada utilizando as políticas nesta secção de políticas de grupo. Contudo, os perfis do Wi-Fi e da VPN definem-se em nós separados. Definições de Roaming Ative ou desative o funcionamento do dispositivo em modo de roaming. Definições de Segurança Ative ou desative a inscrição com um servidor MDM e encripte ou não encripte o armazenamento externo. Definições de VPN Configure para permitir apenas ligações VPN IPsec ou SSL/TLS. Definições de Wi-Fi Configure uma grande variedade de privilégios de utilizador e propriedades do ponto de acesso da rede de Wi-Fi. Utilizar as Definições do Touchdown Utilize estas Definições do Exchange ActiveSync para definir o perfil do Exchange ActiveSync em dispositivos Android que utilizem a aplicação Touchdown para fazer a interface com os servidores do Exchange. Capítulo 3 • Definir políticas de grupo de segurança 39 Ativar políticas Ativar políticas Para definir as políticas de grupo para os seus dispositivos móveis, ative as definições das políticas dos dispositivos móveis num objeto de política de grupo (GPO) existente ou crie um novo GPO especificamente para dispositivos móveis. Em qualquer caso, certifique-se de que o GPO está associado à unidade organizacional do Active Directory que contém os dispositivos móveis inscritos. Pode ter uma mistura de políticas semelhantes (por exemplo, políticas de configuração do Exchange ActiveSync e do Wi-Fi) que se aplicam a diferentes tipos de dispositivos no mesmo GPO. A aplicação do Centrify cloud service executada no dispositivo pode identificar as políticas que se aplicam a esse tipo de dispositivo. A única situação na qual necessita de um GPO separado para um tipo de dispositivo é se necessitar de definir a mesma política de forma diferente para diferentes conjuntos de dispositivos semelhantes. Por exemplo, se tiver um grupo de dispositivos iOS que necessitem que as definições do Exchange ActiveSync estejam configuradas de uma forma e outro grupo que necessite de uma definição do Exchange ActiveSync diferente, terá de colocar cada grupo numa unidade organizacional separada. Por predefinição, todas as políticas de grupo do Centrify têm a definição "Não Configurada". Uma política pode ser definida para "Ativada", "Verdadeira", "Falsa" ou "Desativada". Estas definições estão configuradas da seguinte forma: Não Configurada: Se mantiver o estado desta política, o dispositivo permanecerá na sua predefinição até que o utilizador (utilizando a aplicação Definições do dispositivo, por exemplo) ou um objeto de política de grupo (por exemplo, um GPO associado a uma unidade organizacional principal) a modifique. A predefinição pode ser diferente para fornecedores de dispositivos diferentes. Desativada: Ao definir a política para este estado, o dispositivo reverte para a sua predefinição, independentemente das definições configuradas pelo utilizador ou por um GPO principal. A predefinição pode ser diferente para fornecedores de dispositivos diferentes. Ativada: Isto significa que ativou a definição desta propriedade do dispositivo. Contudo, "Ativada" tem diferentes opções, dependendo da política. Para muitas políticas, significa que está a "ligar" esta funcionalidade e a definir as propriedades que regem a sua utilização. Por exemplo, "Ativa" o histórico de códigos de acesso para que o dispositivo guarde os códigos de acesso ao longo do tempo e, em seguida, define a quantidade de códigos de acesso que pretende guardar. Para outras políticas, ativa a política e, em seguida, determina se é "Verdadeira" ou "Falsa". A definição "Verdadeira" ou "Falsa" está normalmente associada às políticas de Restrições que permitem ou proíbem uma funcionalidade ou comportamento. Guia de Instalação e Configuração do Centrify Cloud Management Suite 40 Configurar perfis das Definições do Exchange ActiveSync Verdadeira: Isto significa que vai impor a política e que vai permiti-la. Por exemplo, ao ativar a política de acesso ao Bluetooth está a dizer "Importo-me acerca desta política" e define-a como "Verdadeira" para permiti-la. Falsa: Isto significa que vai impor esta política e que não vai permiti-la. Por exemplo, ao ativar a política de acesso ao Bluetooth está a dizer "Importo-me acerca desta política" e define-a como "Falsa" para impedir que o utilizador utilize o Bluetooth. Se definiu políticas dos dispositivos móveis na Política Predefinida de Domínio ou criou unidades organizacionais hierárquicas para os seus dispositivos móveis e associou diferentes GPOs a cada unidade organizacional, utilize a seguinte tabela para determinar qual a definição da política que está em vigor: Definição para os Pais Definição para as Crianças Ativado Desativado Não Configurada Ativado Ativado Ativado Ativado Desativado Desativado Desativado Desativado Não Configurada Ativado Desativado Não Configurada Para ativar uma definição de política de grupo do Centrify: 1 Selecione o objeto de política de grupo, clique com o botão direito do rato e selecione Editar para abrir o Editor de Gestão de Políticas de Grupo. 2 Faça duplo clique na definição e selecione Ativada. 3 Selecione as opções e introduza ou selecione os valores necessários. 4 Clique em OK ou Aplicar para guardar a definição. Se tiver vários tipos de dispositivos no mesmo objeto de política de grupo, terá de definir algumas políticas, tais como políticas de configuração do Exchange ActiveSync, VPN e WiFi, em separado para cada dispositivo. Por exemplo, terá de definir as Definições do Exchange ActiveSync separadamente se a unidade organizacional contiver dispositivos iOS, Samsung SAFE e Touchdown. Configurar perfis das Definições do Exchange ActiveSync Utilize a política Definições do Exchange ActiveSync para configurar perfis de conta do Exchange que são transferidos para dispositivos pelo Centrify cloud service. Cada perfil define as propriedades de sincronização e segurança atribuídas a um servidor do Exchange ActiveSync específico. Configure o perfil do servidor do Exchange ActiveSync separadamente para cada tipo de dispositivo na unidade organizacional associada ao GPO. Por exemplo, se o GPO estiver associado a uma unidade organizacional que tem dispositivos com SAFE, dispositivos Capítulo 3 • Definir políticas de grupo de segurança 41 Configurar perfis das Definições do Exchange ActiveSync Samsung KNOX, dispositivos iOS e dispositivos que utilizem o Touchdown, defina perfis nos seguintes nós: Definições dos Dispositivos Móveis Comuns – para os dispositivos iOS que utilizam servidores do Exchange ActiveSync. Se tiver um servidor POP ou IMAP para o seu correio eletrónico iOS, não utilize esta política de grupo. Se tiver um servidor POP ou IMAP, utilize a política de grupo Definições do iOS > Definições de correio. Definições do Samsung KNOX – para dispositivos com um contentor Samsung KNOX Nota Definições do Samsung SAFE – para dispositivos com o Samsung SAFE Definições do Touchdown – para dispositivos que utilizem o Touchdown para comunicar com o servidor do Exchange ActiveSync Se um dispositivo estiver ligado a mais do que um servidor do Exchange, terá de criar um perfil separado para cada servidor. Não crie vários perfis para uma plataforma (iOS, Samsung SAFE, Samsung KNOX ou Touchdown) no mesmo objeto de política de grupo, a menos que cada perfil se aplique a um servidor do Exchange diferente. Nota Utilize as instruções que se seguem para ativar as políticas do Exchange ActiveSync para os seus dispositivos. Para dispositivos iOS: "Ativar as Definições do Exchange ActiveSync Básicas" na página 42 Para dispositivos Samsung SAFE: "Ativar as Definições do Exchange ActiveSync do Samsung SAFE" na página 44 Para dispositivos Android que utilizem o Touchdown: "Ativar as Definições do Exchange ActiveSync com TouchDown" na página 47 Ativar as Definições do Exchange ActiveSync Básicas Utilize esta política para ativar o Exchange ActiveSync apenas para dispositivos iOS. Depois de o Centrify cloud service atualizar o dispositivo iOS com as novas definições do Exchange ActiveSync, será pedida uma palavra-passe aos utilizadores para perfis do servidor do Exchange ActiveSync novos ou atualizados. Para dispositivos iOS, os utilizadores deverão remover manualmente um perfil de conta do Correio do Exchange ActiveSync existente antes da inscrição do dispositivo. (Se o perfil existente especificar o mesmo servidor do Exchange, não será possível instalar o perfil do Centrify.) Será pedida uma nova palavra-passe aos utilizadores dos dispositivos iOS para perfis do Exchange ActiveSync novos ou atualizados. Nota Guia de Instalação e Configuração do Centrify Cloud Management Suite 42 Configurar perfis das Definições do Exchange ActiveSync Para criar um Perfil do Exchange para dispositivos iOS: 1 Abra o objeto de política de grupo para edição associado à unidade organizacional com os dispositivos iOS. 2 No Editor de Gestão de Políticas de Grupo, faça duplo clique em Definições dos Dispositivos Móveis Comuns > Definições do Exchange ActiveSync. Esta ação abre a caixa de diálogo Propriedades das Definições do Exchange ActiveSync. 3 Selecione Ativada para ativar a política. 4 Clique no botão Adicionar para mostrar a caixa de diálogo Perfil do Exchange. Utilize a seguinte tabela para preencher os campos e ativar os elementos do protocolo: Definição O que fazer Nome do perfil Introduza um nome para o perfil. O nome tem de ser exclusivo e não pode duplicar outros nomes de perfis do Exchange ActiveSync, incluindo nomes utilizados nos perfis do Exchange para outros dispositivos. Anfitrião do Exchange ActiveSync Introduza o URL de um servidor do Exchange ao qual um dispositivo poderá estabelecer ligação Poderá especificar um URL num domínio diferente do domínio onde está localizado o servidor proxy. Utilizar SSL Selecione esta caixa de verificação para exigir que um dispositivo utilize uma ligação SSL para o servidor do Exchange. Utilize o Nome Principal de Se a conta de utilizador do Active Directory não tiver um endereço de Utilizador (UPN) se não houver um correio eletrónico especificado, esta definição especifica a utilização do UPN endereço de correio eletrónico como o endereço de correio eletrónico. Se esta opção não estiver selecionada e a conta de utilizador do Active Directory não tiver um endereço de correio eletrónico, o dispositivo não receberá o perfil do Exchange ActiveSync. Domínio de autenticação Capítulo 3 • Definir políticas de grupo de segurança Introduza o domínio de autenticação se for diferente do domínio dos utilizadores do Active Directory com dispositivos inscritos. Por exemplo, os seus utilizadores do AD podem estar em acme.com, mas os utilizadores do ActiveSync são autenticados através de subdomínios como qa.acme.com e eng.acme.com ou através de um domínio alojado como gmail.com ou Office 365. Se especificar um domínio de autenticação, também terá de introduzir um valor em "Nome de utilizador" para especificar qual o atributo de utilizador que deve ser usado para identificar a conta do utilizador para a autenticação. 43 Configurar perfis das Definições do Exchange ActiveSync Definição O que fazer Nome de utilizador Introduza um atributo variável para especificar nomes de utilizador se estiver a utilizar um domínio de autenticação separado. Poderá especificar qualquer atributo do Active Directory, mas os atributos mais úteis para o utilizador são aqueles que contêm o nome do utilizador, tais como userPrincipalName e samAccountName. Por exemplo, para especificar o samAccountName: %{samAccountName} Quando um utilizador inscreve um dispositivo, o Centrify cloud service contacta o Active Directory para resolver o valor do atributo do nome de utilizador e também prefixa o domínio de autenticação e uma barra invertida ao nome. Por exemplo, o cloud service resolve os três atributos seguintes para gmail.com\j.weeks: Utilizador do Active Directory: [email protected] Domínio de autenticação: gmail.com Atributo variável: %{samAccountName} Dias passados de correio a sincronizar Selecione quantos dias de correio eletrónico anteriores (calculados a partir da data e hora atuais) pretende sincronizar com o dispositivo. As opções incluem Sem Limite (todo o correio armazenado para a conta no servidor do Exchange é sincronizado), 1 dia, 3 dias, 1 semana, 2 semanas ou 1 mês. Fornecer o certificado de cliente Selecione para que o Centrify cloud proxy server tente obter um certificado para o utilizador a partir do servidor de AC do domínio e inclui-lo no perfil do Exchange. Se não for selecionado, o certificado não será incluído no perfil. Impedir que a mensagem seja movida Selecione para impedir que outras aplicações num dispositivo iOS movam mensagens de correio eletrónico desta conta do Exchange para outras contas do Exchange através do dispositivo iOS. Não permitir utilização da conta por terceiros Selecione para impedir que outras aplicações num dispositivo iOS enviem correio através desta conta do Exchange. Desativar sincronização de endereços recentes Selecione para impedir que dois dispositivos que utilizam a mesma conta de correio eletrónico sincronizem os endereços de correio eletrónico recentemente utilizados. Se esta caixa não estiver marcada (predefinição), os endereços de correio eletrónico recentemente utilizados serão automaticamente sincronizados entre os dois dispositivos. Ativar S/MIME Selecione para ativar o envio de mensagens de correio eletrónico seguras. Se selecionar esta opção, o remetente terá de ter o certificado do destinatário (para a chave pública). Se o destinatário estiver na lista de contactos ou na lista de endereços geral do remetente, o iOS obterá o certificado do destinatário automaticamente. Se o destinatário não for uma conta do Exchange ou não estiver no ambiente do Exchange do remetente, o certificado do destinatário terá de estar no dispositivo. Ativar as Definições do Exchange ActiveSync do Samsung SAFE Utilize esta política para ativar o Exchange ActiveSync para dispositivos Android com SAFE API MDM 3.0 ou superior. Guia de Instalação e Configuração do Centrify Cloud Management Suite 44 Configurar perfis das Definições do Exchange ActiveSync Se um dispositivo tiver o Touchdown instalado, as políticas do SAFE ativadas e perfis definidos em separado, o perfil das políticas do SAFE prevalecerá e o perfil do Touchdown será ignorado. Nota Para criar um Perfil do Exchange para dispositivos Samsung SAFE: 1 Abra o objeto de política de grupo para edição associado à unidade organizacional com os dispositivos iOS. 2 No Editor de Gestão de Políticas de Grupo, faça duplo clique em Definições do Samsung SAFE > Definições do Exchange ActiveSync. Esta ação abre a caixa de diálogo Propriedades das Definições do Exchange ActiveSync. 3 Selecione Ativada para ativar a política. 4 Clique no botão Adicionar para mostrar a caixa de diálogo Perfil do Exchange. O perfil tem vários separadores com opções para ativar e campos para preencher. Utilize as seguintes tabelas para obter instruções sobre o separador correspondente. Separador do servidor. Definição O que fazer Nome do perfil Introduza um nome para o perfil. O nome tem de ser exclusivo e não pode duplicar qualquer outro nome de perfil do Exchange ActiveSync. Anfitrião do Exchange ActiveSync Introduza o URL de um servidor do Exchange ao qual um dispositivo poderá estabelecer ligação Poderá especificar um URL num domínio diferente do domínio onde está localizado o servidor proxy. Utilize SSL (Secure Sockets Layer) Selecione para exigir que o dispositivo utilize uma ligação SSL para o servidor do Exchange. Utilize a TLS (Transport Layer Security) Selecione para exigir que o dispositivo utilize uma ligação TLS para o servidor do Exchange. Aceitar todos os certificados relacionados com SSL Selecione para aceitar todos os certificados relacionados com SSL Utilize o Nome Principal de Selecione para utilizar o UPN como o endereço de correio eletrónico se a Utilizador (UPN) se não houver um conta de utilizador do Active Directory não tiver um endereço de correio endereço de correio eletrónico eletrónico especificado. Se esta definição estiver selecionada e a conta de utilizador do Active Directory não tiver um endereço de correio eletrónico, o dispositivo não recebe o perfil do Exchange ActiveSync. Capítulo 3 • Definir políticas de grupo de segurança 45 Configurar perfis das Definições do Exchange ActiveSync Definição O que fazer Domínio de autenticação Introduza o domínio de autenticação se for diferente do domínio dos utilizadores do Active Directory com dispositivos inscritos. Por exemplo, os seus utilizadores do AD podem estar em acme.com, mas os utilizadores do ActiveSync são autenticados através de subdomínios como qa.acme.com e eng.acme.com ou através de um domínio alojado como gmail.com ou Office 365. Se especificar um domínio de autenticação, também terá de introduzir um valor em "Nome de utilizador" para especificar qual o atributo de utilizador que deve ser usado para identificar a conta do utilizador para a autenticação. Nome de utilizador Introduza um atributo variável para especificar nomes de utilizador se estiver a utilizar um domínio de autenticação separado. Pode especificar qualquer atributo do Active Directory, mas os mais úteis para o utilizador são aqueles que contêm o nome do utilizador, tais como userPrincipalName e samAccountName. Por exemplo, para especificar o samAccountName: %{samAccountName} Quando um utilizador inscreve um dispositivo, o Centrify cloud service contacta o Active Directory para resolver o valor do atributo do nome de utilizador e também prefixa o domínio de autenticação e uma barra invertida ao nome. Por exemplo, o cloud service resolve os três atributos seguintes: Utilizador do Active Directory: [email protected] Domínio de autenticação: gmail.com Atributo variável: %{samAccountName} para gmail.com\j.weeks Fornecer o certificado de cliente Selecione para que o Centrify cloud proxy server tente obter um certificado para o utilizador a partir do servidor de AC do domínio e inclui-lo no perfil do Exchange. Separador Exchange ActiveSync Definição O que fazer Tamanho da obtenção do correio eletrónico Utilize a lista pendente para selecionar o tamanho máximo. Período para sincronizar o correio eletrónico Utilize a lista pendente para selecionar o tempo máximo. Período para sincronizar o calendário Utilize a lista pendente para selecionar o tempo máximo. Guia de Instalação e Configuração do Centrify Cloud Management Suite 46 Configurar perfis das Definições do Exchange ActiveSync Separador Agenda de Sincronização Definição O que fazer Dias de ponta Selecione os dias nos quais pretende sincronizar os dispositivos com o servidor. Início da hora de ponta Selecione a hora do dia para o início do período de sincronização. Fim da hora de ponta Selecione a hora do dia para o fim do período de sincronização. Agenda do período de ponta Selecione Push, Manual ou um período de tempo. Agenda fora do período de ponta Selecione Push, Manual ou um período de tempo Em roaming Selecione as definições atuais ou as definições manuais para as propriedades de sincronização quando o dispositivo estiver em roaming. Geral Definição O que fazer Definir como conta predefinida Selecione para especificar que o nome de utilizador no separador Servidor é a conta predefinida do utilizador. Adicionar assinatura Selecione para adicionar uma assinatura. Introduza a assinatura na caixa. Sincronização... Selecione os dados que pretende sincronizar. Notificar o utilizador ao receber uma nova mensagem de correio eletrónico Selecione se pretender que o utilizador seja notificado sempre que uma nova mensagem de correio eletrónico seja enviada para a conta. Notificação Selecione quando pretende que o dispositivo vibre. Ativar as Definições do Exchange ActiveSync com TouchDown Utilize esta política para ativar o Exchange ActiveSync em dispositivos Android que utilizem a aplicação do Touchdown. Se um dispositivo tiver o Touchdown instalado, as políticas do SAFE ativadas e perfis definidos em separado, o perfil das políticas do SAFE prevalecerá e o perfil do Touchdown será ignorado. Nota Para criar um Perfil do Exchange para dispositivos Android que executem o Touchdown: 1 Abra o objeto de política de grupo para edição associado à unidade organizacional com os dispositivos Android. 2 No Editor de Gestão de Políticas de Grupo, faça duplo clique em Definições do Touchdown > Definições do Exchange ActiveSync. Esta ação abre a caixa de diálogo Propriedades das Definições do Exchange ActiveSync. 3 Selecione Ativada para ativar a política. Capítulo 3 • Definir políticas de grupo de segurança 47 Configurar perfis das Definições do Exchange ActiveSync 4 Clique no botão Adicionar para mostrar a caixa de diálogo Perfil do Exchange. Utilize a seguinte tabela para preencher os campos e selecionar as propriedades. Definição O que fazer Nome do perfil Introduza um nome para o perfil. O nome tem de ser exclusivo e não pode duplicar qualquer outro nome de perfil do Exchange ActiveSync. Anfitrião do Exchange ActiveSync Introduza o URL de um servidor do Exchange ao qual um dispositivo poderá estabelecer ligação Poderá especificar um URL num domínio diferente do domínio onde está localizado o servidor proxy. Utilize o Nome Principal de Se a conta de utilizador do Active Directory não tiver um endereço de Utilizador (UPN) se não houver um correio eletrónico especificado, esta definição especifica a utilização do UPN endereço de correio eletrónico como o endereço de correio eletrónico. Se esta opção não estiver selecionada e a conta de utilizador do Active Directory não tiver um endereço de correio eletrónico, o dispositivo não receberá o perfil do Exchange ActiveSync. Domínio de autenticação Introduza o domínio de autenticação se for diferente do domínio dos utilizadores do Active Directory com dispositivos inscritos. Por exemplo, os seus utilizadores do AD podem estar em acme.com, mas os utilizadores do ActiveSync são autenticados através de subdomínios como qa.acme.com e eng.acme.com ou através de um domínio alojado como gmail.com ou Office 365. Se especificar um domínio de autenticação, também terá de introduzir um valor em "Nome de utilizador" para especificar qual o atributo de utilizador que deve ser usado para identificar a conta do utilizador para a autenticação. Nome de utilizador Introduza um atributo variável para especificar nomes de utilizador se estiver a utilizar um domínio de autenticação separado. Pode especificar qualquer atributo do Active Directory, mas os atributos mais úteis para os utilizadores são aqueles que contêm o nome do utilizador, tais como userPrincipalName e samAccountName. Por exemplo, para especificar o samAccountName: %{samAccountName} Quando um utilizador inscreve um dispositivo, o Centrify cloud service contacta o Active Directory para resolver o valor do atributo do nome de utilizador e também prefixa o domínio de autenticação e uma barra invertida ao nome. Por exemplo, o cloud service resolve os três atributos seguintes para gmail.com\j.weeks: Utilizador do Active Directory: [email protected] Domínio de autenticação: gmail.com Atributo variável: %{samAccountName} Dias passados de correio a sincronizar Selecione quantos dias de correio eletrónico anteriores (calculados a partir da data e hora atuais) pretende sincronizar com o dispositivo. As opções incluem Sem Limite (todo o correio armazenado para a conta no servidor do Exchange é sincronizado), 1 dia, 3 dias, 1 semana, 2 semanas ou 1 mês. Guia de Instalação e Configuração do Centrify Cloud Management Suite 48 Configurar perfis de definições de VPN Configurar perfis de definições de VPN Utilize a política Definições de VPN para configurar perfis que são transferidos para dispositivos pelo Centrify cloud service. Cada perfil define um nome da ligação, o nome do servidor, o tipo de VPN (PPTP, IPsec, VPN de terceiros) e as propriedades. Configure o perfil do servidor da VPN separadamente para cada tipo de dispositivo na unidade organizacional associada ao GPO. Por exemplo, se o GPO estiver associado a uma unidade organizacional que tem dispositivos com SAFE, dispositivos Samsung KNOX, dispositivos iOS, defina perfis nos seguintes nós: Definições dos Dispositivos Móveis Comuns – para os dispositivos iOS. Definições do Samsung KNOX – para dispositivos com um contentor Samsung KNOX. Definições do Samsung SAFE – para dispositivos com o Samsung SAFE. Não defina vários perfis para o mesmo servidor de VPN para o mesmo tipo de dispositivo. As Definições do Samsung SAFE fornecem uma política de grupo separada através da qual pode especificar se permite ou não ligações VPN IPsec e SSL/TLS. Ativar a política de VPN nas Definições dos Dispositivos Móveis Comuns Para ativar a política de VPN para dispositivos iOS: 1 Abra o objeto de política de grupo para edição associado à unidade organizacional com os dispositivos iOS. 2 No Editor de Gestão de Políticas de Grupo, faça duplo clique em Definições dos Dispositivos Móveis Comuns > Definições da VPN. Esta ação abre a caixa de diálogo Propriedades das Definições de VPN. 3 Selecione Ativada para ativar a política. 4 Clique no botão Adicionar para mostrar a caixa de diálogo Perfil da VPN. O perfil tem vários separadores. Utilize as seguintes tabelas para preencher os campos e selecionar as propriedades. Separador Geral Definição O que fazer Nome da Ligação Introduza um nome para o perfil. O nome tem de ser exclusivo e não pode duplicar qualquer outro nome de perfil de VPN. Servidor Introduza o URL do servidor de VPN ao qual os dispositivos móveis estabelecem ligação. Separador Segurança: No separador Segurança, defina o tipo de VPN: PPTP, IPsec ou Terceiros. Os parâmetros que necessita de introduzir dependem do seu tipo de VPN. Capítulo 3 • Definir políticas de grupo de segurança 49 Configurar perfis de definições de VPN Separador PPTP Definição O que fazer Tipo de VPN: PPTP Selecione esta opção se a sua VPN utilizar PPTP. Este tipo de VPN não suporta a autenticação PKI. Autenticação de Utilizador Selecione uma das seguintes opções para especificar o modo como o proprietário do dispositivo móvel autentica para o servidor de VPN: • Palavra-passe Requer um nome de conta de utilizador e uma palavra-passe. • RSA SecurID Requer um valor RSA SecurID. Nível de encriptação Especifique o nível de encriptação da ligação selecionando uma das seguintes opções da lista pendente: • Nenhum Sem encriptação. • Automático O servidor estabelece o nível de encriptação. • Máximo (128 bits) Encriptação de 128 bits. Enviar Todo o Tráfego Selecione esta opção para exigir que todo o tráfego de rede passe pela ligação VPN. Remova a seleção para permitir que o tráfego de rede passe pela ligação VPN e por qualquer outra ligação do dispositivo. Separador IPsec Definição O que fazer Tipo de VPN: IPsec (Cisco) Selecione esta opção se a sua VPN utilizar IPsec (Cisco). Com este tipo de VPN, a autenticação PKI é suportada em dispositivos iOS que utilizam o cliente VPN nativo iOS. Não é necessária qualquer transferência em separado a partir da Apple App Store. Tipo de autenticação Selecione uma das seguintes opções para especificar o modo como o proprietário do dispositivo móvel autentica para o servidor de VPN: • Certificado • Segredo Partilhado/Nome do Grupo Incluir PIN de Utilizador Apenas para a autenticação Certificado: Selecione esta opção para incluir o PIN de utilizador com o certificado Nome do Grupo Apenas para a autenticação Segredo Partilhado/Nome do Grupo: Introduza o nome do grupo a utilizar se os utilizadores autenticarem os seus dispositivos através de um segredo partilhado e de um nome do grupo. Segredo Partilhado Apenas para a autenticação Segredo Partilhado/Nome do Grupo: Introduza o texto do segredo partilhado se os utilizadores autenticarem os seus dispositivos através de um segredo partilhado e de um nome do grupo. Utilizar a Autenticação Híbrida Apenas para a autenticação Segredo Partilhado/Nome do Grupo com o Nome do Grupo: Selecione esta opção para incluir um certificado com a autenticação segredo partilhado/nome do grupo. Pedir Palavra-passe Apenas para a autenticação Segredo Partilhado/Nome do Grupo com o Nome do Grupo: Selecione esta opção para pedir uma palavra-passe ao utilizador durante a autenticação. Guia de Instalação e Configuração do Centrify Cloud Management Suite 50 Configurar perfis de definições de VPN Separador Terceiros Definição O que fazer Tipo de VPN: VPN de Terceiros Utilize esta opção se a sua VPN utilizar um dos produtos da lista pendente Tipo de Ligação. Nota: A utilização de uma VPN de terceiros num dispositivo iOS exige a transferência de uma aplicação VPN em separado da Apple App Store. Tipo de Ligação Selecione um dos seguintes: • Cisco AnyConnect • Juniper SSL • F5 SSL • SonicWALL Mobile Connect • Aruba VIA Os campos adicionais que necessita de preencher dependem do Tipo de Ligação selecionado. Autenticação de Utilizador Para todos os tipos: Selecione uma das seguintes opções para especificar o modo como o proprietário do dispositivo móvel autentica para o servidor de VPN: • Palavra-passe: Requer um nome de conta de utilizador e uma palavra-passe. • Certificado: Requer um certificado PKI. Grupo Apenas Cisco: Introduza o nome do grupo utilizado para a autenticação (opcional). Realm Apenas Juniper SSL: Introduza o nome do realm utilizado para a autenticação (opcional). Função Apenas Juniper SSL: Introduza o nome do perfil utilizado para autenticação (opcional). Domínio ou Grupo de Início de Sessão Apenas SonicWALL Mobile Connect: Introduza o nome do domínio ou grupo de início de sessão a utilizar para a autenticação (opcional). Separador Proxy: Apenas necessita de configurar estas definições se a VPN exigir o encaminhamento através de um servidor proxy: Definição O que fazer Configuração do proxy Selecione uma das seguintes opções da lista pendente para especificar o tipo de encaminhamento que a VPN necessita através de um servidor proxy: • Nenhum • Manual • Automático Nenhum Capítulo 3 • Definir políticas de grupo de segurança Não foi configurado qualquer proxy. 51 Configurar perfis de definições de VPN Definição O que fazer Manual Defina um perfil de VPN manualmente. Após selecionar Manual, configure as seguintes definições: • Servidor Introduza o URL do servidor proxy manual e especifique a porta utilizada para a ligação do proxy escrevendo ou utilizando as teclas de seta. • Nome de utilizador Introduza o nome de conta utilizado para a autenticação. • Palavra-passe Introduza a palavra-passe utilizada para a autenticação. Automático O perfil de VPN define um proxy automático. Após selecionar Automático, aparecerá o campo adicional URL do servidor proxy. Neste campo, introduza o URL do servidor proxy a utilizar para criar o proxy automático. Ativar a política de VPN nas definições do Samsung SAFE Para ativar a política de VPN para dispositivos Samsung SAFE: 1 Abra o objeto de política de grupo para edição associado à unidade organizacional com os dispositivos Samsung SAFE. 2 No Editor de Gestão de Políticas de Grupo, faça duplo clique em Definições do Samsung SAFE > Definições de VPN. Esta ação abre a caixa de diálogo Propriedades das Definições de VPN. 3 Selecione Ativada para ativar a política. 4 Clique no botão Adicionar para mostrar a caixa de diálogo Perfil da VPN. O perfil tem vários separadores. Utilize a seguinte tabela para preencher os campos e selecionar as propriedades: Definição O que fazer Nome da Ligação Introduza um nome para o perfil. O nome tem de ser exclusivo e não pode duplicar qualquer outro nome de perfil de VPN. Servidor Introduza o URL de um servidor de VPN ao qual um dispositivo móvel poderá estabelecer ligação. Tipo de VPN Utilize a lista pendente para selecionar PPTP, IPsec ou AnyConnect Encriptação PPP (MPPE) Se tiver selecionado PPTP como o tipo de VPN, selecione a caixa de verificação para permitir a encriptação PPP. Tipo de autenticação Se tiver selecionado AnyConnect, utilize a lista pendente para selecionar Automático, Utilizar Certificado ou Não utilizar certificado. Guia de Instalação e Configuração do Centrify Cloud Management Suite 52 Configurar as Definições de Wi-Fi Configurar as Definições de Wi-Fi Utilize a política Definições de VPN para configurar os perfis que são transferidos para dispositivos pelo Centrify cloud service. Cada perfil define o protocolo do tipo de segurança (por exemplo, WPA ou WEP) e outras propriedades para um SSID. Configure um perfil SSID separadamente para cada tipo de dispositivo na unidade organizacional associada ao GPO. Por exemplo, se o GPO estiver associado a uma unidade organizacional que tem dispositivos com SAFE, dispositivos Samsung KNOX, dispositivos Android e dispositivos iOS, defina perfis nos seguintes nós: Definições dos Dispositivos Móveis Comuns – para os dispositivos iOS e Android. Definições do Samsung KNOX – para dispositivos que tenham um contentor Samsung KNOX. Definições do Samsung SAFE – para dispositivos com o Samsung SAFE. Não defina vários perfis para o SSID de Wi-Fi para um tipo de dispositivo específico. As Definições do Samsung SAFE fornecem políticas de grupo adicionais que regem a utilização do Wi-Fi. No entanto, defina-os após definir os perfis de Wi-Fi. Capítulo 3 • Definir políticas de grupo de segurança 53 Anexo A Configurar o cloud proxy server Este anexo descreve como utilizar a aplicação Cloud Proxy Server Configuration para configurar e monitorizar o seu cloud proxy server. São abordados os seguintes tópicos: Acerca do Centrify cloud proxy server e da aplicação de configuração Separador Estado Separador Servidor Proxy Separador Definições dos Dispositivos Móveis O separador Alertas Separador Registo Inicie a aplicação Cloud Proxy Server Configuration a partir do menu Iniciar no computador anfitrião. Modifique as definições selecionando diferentes separadores na janela. Pode ver os separadores na seguinte imagem. Acerca do Centrify cloud proxy server e da aplicação de configuração O cloud proxy server é executado num computador anfitrião e gere as comunicações entre o Active Directory e o Centrify Cloud service. Especifica os grupos cujos membros podem inscrever dispositivos e um grupo cujos membros podem gerir dispositivos. Além disso, realiza a monitorização do Active Directory para alterações de políticas de grupo, enviadas para o Centrify Cloud service para a atualização dos dispositivos inscritos. A configuração inicial do cloud proxy server segue a instalação com o assistente do cloud proxy server configuration, que é iniciado automaticamente. Para concluir o assistente, deve identificar um grupo de utilizadores cujos membros possam inscrever dispositivos e 54 Separador Estado um contentor que armazene contas para dispositivos inscritos. Deve ainda identificar um grupo cujos utilizadores tenham permissão para gerir dispositivos inscritos e a configuração. A aplicação Cloud Proxy Server Configuration permite-lhe concluir a configuração inicial, efetuar eventuais alterações e configurar funcionalidades adicionais, tais como o registo e o envio de alertas estabelecidos para valores predefinidos durante a configuração inicial. Esta aplicação também pode ser executada para monitorização do estado do seu cloud proxy server. Também pode monitorizar os proxies através da aplicação Web do Centrify Cloud Manager. Contudo, o Cloud Manager apenas permite monitorizar proxies, não permitindo, de forma alguma, a configuração de um cloud proxy server. Nota Embora seja possível configurar vários cloud proxy servers para uma única instalação do Centrify for Mobile, apenas um deles fica ativo de cada vez, sendo que os restantes ficam suspensos para utilização em caso de falha. Cada servidor possui a sua própria aplicação de configuração do servidor proxy, que deve ser iniciada no computador que aloja o servidor proxy. No entanto, se efetuar uma alteração a qualquer um dos servidores proxy numa instalação (ou seja, servidores registados com o mesmo ID de cliente), as alterações são aplicadas a todos os servidores da instalação para garantir que todos ficam sincronizados. A aplicação Centrify cloud proxy server configuration pode ser instalada em qualquer computador que tenha um cloud proxy server instalado. Inicie-a através do menu Iniciar do Windows, a partir da pasta Centrify/Cloud Management Suite onde está localizada . A aplicação é apresentada sob a forma de janela com cinco separadores: Estado, que indica o estado do servidor proxy. Servidor Proxy, que controla a funcionamento do servidor proxy. Definições dos Dispositivos Móveis, que especifica os grupos autorizados a inscrever dispositivos, o grupo autorizado a gerir dispositivos e o intervalo com que o proxy consulta o Active Directory. Alertas, que especifica se e quando devem ser enviados alertas por correio eletrónico quando o Centrify for Mobile deteta dispositivos móveis inutilizados. Registo, que ativa e desativa o registo para esta aplicação de configuração e para as extensões ADUC e de editor de políticas de grupo. É ainda especificada a localização de armazenamento do ficheiro de registo. Separador Estado O separador Estado apresenta as seguintes informações só de leitura acerca do servidor proxy: O Nome do servidor apresenta o nome atribuído a este cloud proxy server. O ID de cliente apresenta o ID de cliente com o qual este cloud proxy server está registado. Forneça este ID aos utilizadores para a inscrição de dispositivos móveis. Este Anexo A • Configurar o cloud proxy server 55 Separador Servidor Proxy ID também é utilizado para iniciar sessão no Centrify cloud manager. É possível instalar vários cloud proxy servers com este ID para criar servidores proxy suspensos para situações de falha. Apenas é executado um servidor proxy de cada vez. O Centrify cloud service atribui o ID de cliente quando regista o cloud proxy server (durante a instalação) através do assistente do cloud proxy server configuration. Embora seja possível alterar o ID de cliente no separador Servidor Proxy, nunca deverá fazê-lo, salvo indicação em contrário do suporte ao cliente do Centrify. O Cloud Proxy Server está ligado|desligado indica se o cloud proxy server está ligado (em execução) ou não. Nota Ligação ao Centrify Cloud Service indica a data, hora e o resultado da última ligação ao Centrify cloud service. Separador Servidor Proxy O separador Servidor Proxy indica o ID de cliente com o qual o servidor proxy está registado e se o servidor está ligado ou desligado. Disponibiliza ainda os seguintes controlos: O botão Voltar a registar inicia o assistente do Centrify cloud proxy server configuration e permite-lhe voltar a registar este cloud proxy server. Geralmente, o proxy é registado novamente com o mesmo ID de cliente e apenas depois, se o proxy apresentar problemas de comunicação com o Centrify Cloud service, o suporte ao cliente recomenda que volte a efetuar o registo para resolver o problema. Voltar a registar com outro ID pode desestabilizar o ambiente e apenas deve ser efetuado depois de consultar o suporte ao cliente do Centrify. Ao alterar o ID, o servidor proxy é movido de uma instalação para outra. Se o servidor proxy for o único servidor numa instalação, a remoção do servidor da mesma provocará a falha da inscrição de qualquer dispositivo na instalação e os dispositivos inscritos deixarão de receber alterações de políticas. Clique em Iniciar para iniciar o cloud proxy server caso esteja desligado. Nota Clique em Parar para desligar o cloud proxy server caso esteja em execução. Selecione Autorizar o suporte a aceder aos registos de serviço do proxy local para permitir ao fornecedor do cloud service abrir os ficheiros de registo do servidor proxy. (Consulte Program Files\Centrify\Cloud Management Suite\log.txt.* Estes ficheiros podem ser úteis para resolver um problema e são os únicos ficheiros que o fornecedor de serviços consegue abrir. Está selecionada a predefinição. Clique em Ver Registo para ver o registo do servidor proxy. Tenha em atenção que este não é o mesmo registo de configuração do servidor proxy visualizado no separador Registo. O registo do servidor proxy é ativado em todas as situações e grava todas as ações do servidor proxy. O registo de configuração do servidor proxy não está ativado Guia de Instalação e Configuração do Centrify Cloud Management SuiteCentrify for SaaS Centrify for Mobile Guia de AvaliaçãoGuia de Instalação e Configuração Separador Definições dos Dispositivos Móveis por predefinição. Se estiver ativado, grava as atividades de configuração do servidor proxy realizadas com esta aplicação, mas não as ações do servidor proxy. Utilize a caixa de texto Intervalo de atualização de definições para definir o número de minutos que este servidor proxy demora entre verificações das definições de proxy com o Centrify cloud service. Quando as definições de um servidor proxy numa instalação são alteradas, estas definições são enviadas para o cloud service. Quando um servidor proxy verifica as definições com o cloud service, no caso de existirem novas definições comunicadas por qualquer um dos outros servidores proxy da instalação, o proxy de verificação transfere e aceita essas definições. Deste modo, garante-se que todos os proxies de uma instalação têm as mesmas definições. Utilize a caixa de texto Intervalo de verificação de utilizadores do Active Directory para definir o número de minutos que este servidor proxy demora entre verificações de contas de utilizadores do AD ativas. Quando o servidor proxy verifica as contas de utilizadores do AD, contacta o Active Directory para confirmar se a conta de utilizador listada para cada dispositivo inscrito está ativa. Se a conta de utilizador associada a um dispositivo não estiver ativa (estiver desativada ou removida), o Centrify for Mobile anula a inscrição do dispositivo. Selecione a caixa de verificação Ativar a atualização automática para ativar (se marcada) ou desativar (se desmarcada) a atualização automática do servidor proxy. Quando a atualização automática está ativada, o servidor proxy verifica o Centrify cloud service periodicamente para confirmar se está disponível alguma atualização do servidor proxy. Se estiver disponível, o servidor proxy transfere e instala e atualização e reinicia. Deste modo, garante-se que o software do servidor proxy está atualizado. Recomendamos que ative esta opção, que se encontra desativada por predefinição. Selecione a caixa de verificação Utilizar um servidor proxy Web para ligação ao Centrify Cloud Service se a sua rede estiver configurada com um servidor proxy Web que pretende utilizar para a ligação ao Centrify cloud service. Tenha em atenção que o proxy Web tem de suportar HTTP 1.1 para que uma correta ligação ao Centrify cloud service. O ambiente também deve manter abertas as portas TCP de saída 9350 a 9354. Depois de selecionar esta opção, introduza as seguintes informações para ativar a ligação ao proxy Web: O Endereço é o URL do servidor proxy Web. A Porta corresponde ao número da porta a utilizar para estabelecer ligação ao servidor proxy Web. Separador Definições dos Dispositivos Móveis O separador Definições dos Dispositivos Móveis é composto por três painéis: Anexo A • Configurar o cloud proxy server 57 Separador Definições dos Dispositivos Móveis O painel Grupos autorizados a inscrever dispositivos especifica pares de grupo de utilizadores/contentor que definem que grupos de utilizadores do Active Directory podem inscrever dispositivos móveis e onde são armazenados os registos desses dispositivos. O painel Intervalo de consulta da política de grupo (minutos) especifica o período de tempo para consultas do cloud proxy server ao Active Directory para verificar a existência de alterações às políticas de grupo móveis. A lista pendente Autoridade de certificação permite-lhe selecionar a autoridade de certificação (AC). A autoridade de certificação predefinida é a AC de raiz empresarial. A lista pendente contém todas as AC empresariais encontradas no Active Directory. Para selecionar uma AC subordinada, clique na lista pendente, selecione a AC e clique em Aplicar. Autorização de inscrição O painel "Grupos autorizados a inscrever dispositivos" inclui uma lista de um ou mais pares de grupo de utilizadores/contentores (unidade organizacional). Cada par especifica um grupo de utilizadores cujos dispositivos móveis podem ser inscritos no Centrify for Mobile e o contentor onde o objeto de dispositivos inscritos está armazenado. O servidor proxy armazena esta lista de pares de grupo de utilizadores/contentor. Quando um utilizador solicita a inscrição de um dispositivo móvel, o Centrify for Mobile percorre a lista e procura o grupo de utilizadores a que pertence o utilizador em questão. Quando se trata de um par que inclui o grupo de utilizadores a que o requerente pertence, o servidor proxy inscreve o dispositivo e coloca o respetivo registo no contentor especificado pelo par. Em seguida, o servidor proxy interrompe a consulta da lista, pelo que, se o utilizador for um membro de um grupo de utilizadores especificado num par posterior, esse par não afeta a inscrição. O painel tem um conjunto de botões que controla as entradas da lista: Mover para cima move o par selecionado para a parte superior da lista. Mover para baixo move o par selecionado para a parte inferior da lista. Adicionar abre a caixa de diálogo Adicionar Grupo de Inscrição, onde um administrador pode criar um novo par de grupo/contentor. A caixa de diálogo inclui controlos padrão do Active Directory que lhe permitem criar um novo grupo de utilizadores ou procurar um grupo de utilizadores existente e procurar um contentor existente. Editar abre a caixa de diálogo Modificar Grupo Adicionado, onde o administrador pode modificar o par selecionado. Esta caixa de diálogo tem os mesmos controlos da caixa de diálogo Adicionar Grupo de Inscrição, mas com uma diferença: já estão preenchidos alguns valores que definem o grupo e o contentor. Remover elimina o par selecionado da lista. Guia de Instalação e Configuração do Centrify Cloud Management SuiteCentrify for SaaS Centrify for Mobile Guia de AvaliaçãoGuia de Instalação e Configuração O separador Alertas Consulta da política de grupo O painel Política de Grupo tem um único controlo: a caixa de texto Intervalo de consulta. Este campo aceita um valor inteiro que define o número de minutos entre consultas do Active Directory realizadas pelo cloud proxy server. O cloud proxy server consulta o Active Directory para procurar políticas de grupo novas e modificadas. O separador Alertas O separador Alertas permite-lhe ativar as notificações por correio eletrónico para dispositivos móveis inutilizados e configurar o endereço de correio eletrónico e o servidor para a receção das notificações. Para ativar as notificações por correio eletrónico para dispositivos inutilizados, selecione Enviar notificação por correio eletrónico para dispositivos inativos. O Centrify cloud service envia pings a dispositivos inscritos uma vez por dia para confirmar que estão ativos. Se um determinado dispositivo não responder à mensagem ping num período de cinco dias, é considerado "inutilizado" e o Centrify cloud service altera o seu estado para "terminado". Se, após esse período de tempo, o dispositivo se ligar novamente, o Centrify cloud service volta a alterar o estado para GPApplied e ativa o dispositivo no Active Directory. Nota <<erro 33443 altera – inutilizado de volta para GPApplied>> Após a ativação das notificações por correio eletrónico, introduza as seguintes informações para especificar o endereço de correio eletrónico e o assunto da notificação e para especificar o endereço de correio eletrónico para receber a notificação: Endereço De Especifique o endereço "de" fornecido na notificação por correio eletrónico. Este valor é obrigatório. Tem de ser um endereço de correio eletrónico verdadeiro? Endereço Para Especifique o endereço de destino da notificação. Este valor é obrigatório. O Assunto do correio Especifique a linha de assunto da notificação por correio eletrónico. Este valor é opcional. Servidor SMTP Especifique o servidor SMTP utilizado para enviar a notificação por correio eletrónico. Este valor é obrigatório. Porta SMTP Especifique o número da porta utilizada para estabelecer a ligação ao servidor SMTP. Este valor é opcional. Utilizar SSL Selecione para especificar que o Centrify cloud service deve utilizar uma ligação SSL para se ligar ao servidor SMTP. Anexo A • Configurar o cloud proxy server 59 Separador Registo Utilizar autenticação SMTP Selecione para especificar que o Centrify cloud service deve fornecer um nome de utilizador e respetiva palavra-passe para a autenticação do servidor SMTP aquando da ligação ao mesmo. Nome de utilizador e Palavra-passe Se Utilizar autenticação SMTP estiver selecionado, deve fornecer o nome de utilizador e a palavra-passe para esta autenticação. Clique no botão Testar para verificar a configuração da notificação enviando uma notificação de teste por correio eletrónico com todos os valores de notificação indicados. Em caso de falha no envio do correio, é apresentada uma caixa de notificação. Tenha em atenção que este botão só fica disponível quando todos os valores de notificação obrigatórios estiverem preenchidos. Separador Registo Utilize o separador Registo para ativar o registo da aplicação de configuração do proxy, da ADUC e da extensão do editor de políticas de grupo. A aplicação escreve três ficheiros de registo em separado. Clique em Ver Registo, para ver o registo de configuração do servidor proxy, ou em Registo da ADUC ou Registo do GPOE, para ver o registo dessas extensões de dispositivos móveis. Tenha em atenção que o registo de configuração do servidor proxy não é igual ao visualizado no separador Servidor Proxy. O registo de configuração do servidor proxy comunica apenas ações de configuração do servidor proxy realizadas com esta aplicação de configuração. O registo do servidor proxy comunica ações realizadas pelo servidor proxy. Para ativar o registo: 1 Selecione Ativar registo. 2 Clique em Procurar para procurar uma pasta onde guardar as entradas do registo. Guia de Instalação e Configuração do Centrify Cloud Management SuiteCentrify for SaaS Centrify for Mobile Guia de AvaliaçãoGuia de Instalação e Configuração Anexo B Instalar servidores proxy adicionais Um único cloud proxy server é executado numa floresta para comunicar, em qualquer altura, entre o Active Directory e o cloud service. No entanto, recomenda-se a configuração de um ou vários servidores proxy adicionais para proporcionar uma ativação pós-falha caso o servidor em execução fique offline. Este anexo descreve o procedimento de instalação de várias instalações proxy–servidor para uma única conta de ID de cliente Centrify. O cloud service mantém os dados de configuração e sincroniza as informações de configuração do servidor proxy entre todos os servidores proxy registados no mesmo ID de cliente. Por exemplo, se alterar a autorização de inscrição num cloud proxy server de modo a incluir um novo grupo de inscrição e uma unidade organizacional associada, o servidor proxy envia essa alteração para o cloud service. Por sua vez, o cloud service atualiza os seus registos e propaga as informações de configuração para todos os cloud proxy servers registados nesse ID de cliente. Obter códigos de registo para servidores proxy É necessário um código de ativação único para cada servidor proxy. Pode obter o código de ativação para cada servidor proxy adicional no separador Proxies na página Definições do Centrify Cloud Manager. Necessitará de um novo código de ativação para cada servidor proxy adicional que instalar. Todos os códigos de ativação são de utilização única. Não é necessário manter um registo dos mesmos. Quando instala o primeiro cloud proxy server, o Centrify for Mobile especifica um dos servidores para comunicar entre o Centrify cloud service e o serviço Active Directory da sua rede interna. Os outros cloud proxy servers ficam suspensos, prontos para entrarem em execução em caso de falha. Se o servidor utilizado falhar, o Centrify for Mobile muda a comunicação para outro cloud proxy server em execução na instalação. Instalar um cloud proxy server adicional Para instalar um cloud proxy server adicional, siga o mesmo procedimento utilizado para instalar o servidor inicial. A única diferença é a origem do código de ativação introduzido durante a configuração do servidor proxy. Siga este procedimento para obter um código de ativação para servidores proxy redundantes. Tem de ter um código de registo separado para cada servidor proxy adicional que instalar. Antes de começar, consulte os requisitos do computador anfitrião e das permissões do Active Directory na secção "Requisitos" na página 19. 61 Instalar um cloud proxy server adicional Depois de obter o código de registo, siga os procedimentos indicados na secção "Instalar o Centrify Cloud Management Suite na sua rede" na página 22 para efetuar a instalação. Para obter o código de ativação: 1 Inicie sessão no computador em que pretende instalar o servidor proxy. Este computador tem de estar associado ao controlador de domínio. 2 Abra um browser e utilize este URL para abrir o Cloud Manager: https://cloud.centrify.com/manage 3 Introduza o seu nome de utilizador do Active Directory completo (username@domain) e a palavra-passe. 4 Clique em Definições, selecione o separador Proxies e clique no botão Adicionar Servidor Proxy. 5 Copie o Código de Ativação e clique em OK. Se necessitar de uma cópia do instalador do cloud proxy server, clique na ligação correspondente à arquitetura do processador do computador para transferir um ficheiro zip, copie o ficheiro para uma localização conveniente e deszipe-o. Nota 6 Feche o Cloud Manager. Esta ação conclui o processo de obtenção de um código de ativação. Avance para "Instalar o Centrify Cloud Management Suite na sua rede" na página 22 para consultar os passos seguintes. Guia de Instalação e Configuração do Centrify Cloud Management Suite 62 Anexo C Desinstalar o Centrify Cloud Management Suite Este anexo descreve o processo de desinstalação do Centrify Cloud Management Suite. Se for necessário, poderá remover o Centrify Cloud Management Suite do seu ambiente em qualquer altura. Antes de proceder à desinstalação, tenha em atenção que, ao fazê-lo, os seus dispositivos inscritos deixarão de ser controlados por políticas de grupo. Além disso, pode desinstalar o Centrify Cloud Management Suite num computador, mas manter um ou vários proxies instalados noutros computadores. ** É necessário monitorizar exatamente o que acontece quando se remove o servidor proxy.** Para desinstalar o Centrify Cloud Management Suite: 1 Num computador Windows com o Cloud Management Suite instalado, feche todas as Consolas de Gestão da Microsoft, como Utilizadores e Computadores do Active Directory, que possam estar a utilizar o Cloud Management Suite. 2 Clique em Iniciar > Painel de Controlo > (Programas) Desinstalar Programa e, em seguida, faça duplo clique em Centrify Cloud Management Suite versão. 3 Quando a mensagem de confirmação aparecer, clique em Sim. Se não estiverem aplicações da Consola de Gestão da Microsoft abertas, o instalador conclui e remove o Cloud Management Suite. Se estiverem aplicações abertas, receberá instruções para as fechar. 4 Se lhe for pedido que feche aplicações abertas, siga este procedimento: Deixe a seguinte opção selecionada e clique em OK. Feche automaticamente as aplicações e tente reiniciá-las após a conclusão da configuração. Se receber a indicação de que uma aplicação da Consola de Gestão da Microsoft deixou de funcionar, clique em Fechar o programa. O Cloud Management Suite foi removido do computador. No entanto, um diretório e alguns ficheiros continuarão a residir no computador. Para remover estes ficheiros, execute o passo seguinte. 5 Opcionalmente, se pretender remover os ficheiros de registo e os diretórios do Cloud Management Suite, navegue até: C:\Program Cloud Management Suite e o seu conteúdo. Files\Centrify e elimine o diretório 63 Anexo D Configurar a autenticação silenciosa Este anexo descreve o procedimento de modificação das definições de modo a permitir a autenticação silenciosa. A autenticação silenciosa permite que os utilizadores da sua rede interna iniciem sessão no portal de utilizador MyCentrify ou no Cloud Manager sem terem de iniciar expressamente a sessão. Para que a autenticação silenciosa funcione, aceda ao portal de utilizador MyCentrify ou ao Cloud Manager com um URL que inclua o ID de cliente. Por exemplo: Nota https://cloud.centrify.com/my?customerID=AB123 Se a sua organização tiver escolhido uma região alternativa ou se lhe tiver sido atribuído um anfitrião alternativo por motivos de escalabilidade quando se registou no Centrify cloud service, poderá ser necessário substituir "cloud.centrify.com" pelo nome de anfitrião adequado. Este nome de anfitrião está disponível no URL do browser ou no campo de localização depois de iniciar sessão no portal de utilizador MyCentrify ou no Cloud Manager. Configurar a autenticação silenciosa para o Centrify for SaaS (descrição geral) Para que a autenticação silenciosa funcione quando iniciar sessão no MyCentrify ou no Cloud Manager, é necessário executar algumas tarefas de configuração. Para configurar o MyCentrify para a autenticação silenciosa (uma descrição geral) 1 Instale o Centrify Cloud Management Suite no computador anfitrião. 2 Configure os browsers, conforme necessário. Firefox: Adicione o nome de anfitrião do cloud proxy server à lista de sites fidedignos network.negotiate-auth.trusted-uris. Internet Explorer: Certifique-se de que a Autenticação Integrada do Windows (IWA) está ativada e, na maioria dos casos, a autenticação silenciosa funcionará sem que seja necessário efetuar mais configurações. No caso de necessitar de efetuar alterações à configuração, incluímos aqui detalhes adicionais. Chrome e Safari: Na maioria dos casos, a autenticação silenciosa funciona sem que seja necessário efetuar mais configurações. No caso de necessitar de efetuar alterações à configuração, incluímos aqui detalhes adicionais. 64 Configurar o Firefox para permitir a autenticação silenciosa A autenticação silenciosa funciona tal como está instalada com a Firewall do Windows. Se estiver a utilizar um sistema de firewall diferente, certifique-se de que permite o tráfego na porta especificada nas definições de proxy do Cloud Manager. A predefinição é a porta 80. Para alterar o número de porta, modifique as definições de proxy no Cloud Manager (Definições > Proxies). Nota Configurar o Firefox para permitir a autenticação silenciosa Configurar manualmente o Firefox para a autenticação silenciosa O nome de anfitrião predefinido utilizado pelo Centrify Cloud service tem o formato http://hostname, em que hostname corresponde ao nome de anfitrião do servidor proxy. Para configurar o Firefox para a autenticação silenciosa, adicione o URL do cloud proxy server à lista de sites fidedignos. Para configurar a autenticação silenciosa no Firefox 1 Abra o Firefox. 2 Escreva about:config como o URL de destino. 3 Escreva neg no campo Filtro. 4 Selecione e clique com o botão direito do rato em network.negotiate-auth.trusted- e selecione Modificar. Introduza uma lista separada por vírgulas de URLs ou nomes de domínio como valores de cadeia e, em seguida, clique em OK. uris Por exemplo, se o seu cloud proxy server for executado num computador com um nome de anfitrião de acme, escreva acme e clique em OK. Por motivos de segurança, deverá ser tão restrito quanto possível na especificação da lista de sites fidedignos. Nota Configurar a política de grupo do Firefox para a autenticação silenciosa <<é necessário testar>> O procedimento que se segue adiciona estas duas definições de política de grupo ao Mozilla Firefox: Configuração do Computador > Modelo Administrativo > Modelos Administrativos Clássicos (ADM) > Definições do Mozilla Firefox > Ativar autenticação SPNEGO para sites fidedignos Configuração do Utilizador > Modelo Administrativo > Modelos Administrativos Clássicos (ADM) > Definições do Mozilla Firefox > Ativar autenticação SPNEGO para sites fidedignos <<este procedimento adiciona 5 itens, não 2--??>> Guia de Instalação e Configuração do Centrify Cloud Management Suite 65 Configurar o Firefox para permitir a autenticação silenciosa Para configurar o Mozilla Firefox para suportar SSO através da política de grupo 1 Adicione o modelo administrativo do Firefox: a Em Gestão de Políticas de Grupo, edite o objeto de política de grupo pretendido (clique com o botão direito do rato no objeto e clique em Editar). b No editor de Gestão de Políticas de Grupo, clique em Configuração do Utilizador > Políticas. c Na pasta Políticas, clique com o botão direito do rato em Modelos Administrativos e escolha Adicionar/Remover Modelos. d Na caixa de diálogo Adicionar/Remover Modelos, clique em Adicionar, selecione firefox.adm, localizado no ficheiro zip da Política de grupo do Firefox, e clique em Fechar. <<onde é que os clientes podem obter isto??>> 2 Copie o script de início de sessão do Firefox: a No Explorador do Windows, copie o ficheiro firefox_logon.vbs. b No editor de Gestão de Políticas de Grupo, navegue até Configuração do Utilizador > Políticas > Configuração do Utilizador > Definições do Windows > Scripts (Início de sessão/Fim de sessão). c Clique com o botão direito do rato em Início de sessão e escolha Propriedades. d No separador Scripts, clique em Mostrar Ficheiros. e Cole o ficheiro firefox_logon.vbs na localização aberta. f Na caixa de diálogo Propriedades de Início de sessão, clique em Adicionar, selecione o ficheiro firefox_logon.vbs na localização para onde acabou de o copiar e clique em OK. (Não é necessário introduzir parâmetros.) 3 Copie o script de fim de sessão do Firefox: a No Explorador do Windows, copie o ficheiro firefox_logoff.vbs. b No editor de Gestão de Políticas de Grupo, navegue até Configuração do Utilizador > Políticas > Configuração do Utilizador > Definições do Windows > Scripts (Início de sessão/Fim de sessão). c Clique com o botão direito do rato em Fim de sessão e escolha Propriedades. d No separador Scripts, clique em Mostrar Ficheiros. e Cole o ficheiro firefox_logoff.vbs na localização aberta. f Na caixa de diálogo Propriedades de Fim de sessão, clique em Adicionar, selecione o ficheiro firefox_logoff.vbs na localização para onde acabou de o copiar e clique em OK. (Não é necessário introduzir parâmetros.) 4 Copie o script de arranque do Firefox: a No Explorador do Windows, copie o ficheiro firefox_startup.vbs. Guia de Instalação e Configuração do Centrify Cloud Management Suite 66 Configurar as zonas de segurança do Internet Explorer b No editor de Gestão de Políticas de Grupo, navegue até Configuração do Computador > Políticas > Definições do Windows > Scripts (Arranque/Encerramento). c Clique com o botão direito do rato em Arranque e escolha Propriedades. d No separador Scripts, clique em Mostrar Ficheiros. e Cole o ficheiro firefox_startup.vbs na localização aberta. f Na caixa de diálogo Propriedades de Arranque, clique em Adicionar, selecione o ficheiro firefox_startup.vbs na localização para onde acabou de o copiar e clique em OK. (Não é necessário introduzir parâmetros.) 5 Copie o script de encerramento do Firefox: a No Explorador do Windows, copie o ficheiro firefox_shutdown.vbs. b No editor de Gestão de Políticas de Grupo, navegue até Configuração do Computador > Políticas > Definições do Windows > Scripts (Arranque/Encerramento). c Clique com o botão direito do rato em Encerramento e escolha Propriedades. d No separador Scripts, clique em Mostrar Ficheiros. e Cole o ficheiro firefox_shutdown.vbs na localização aberta. f Na caixa de diálogo Propriedades de Encerramento, clique em Adicionar, selecione o ficheiro firefox_shutdown.vbs na localização para onde acabou de o copiar e clique em OK. (Não é necessário introduzir parâmetros.) Configurar as zonas de segurança do Internet Explorer Para que os utilizadores possam desfrutar da autenticação silenciosa quando utilizarem o Internet Explorer para aceder a uma aplicação no servidor Web com a autenticação Kerberos ou NTLM, é necessário respeitar duas condições: A autenticação integrada do Windows tem de estar ativada no Internet Explorer. Para mais detalhes, consulte "Ativar a Autenticação Integrada do Windows" na página 68. O cloud proxy server tem de estar na zona de segurança da intranet local do Internet Explorer ou estar expressamente configurado como parte da zona de segurança da intranet local. No Internet Explorer, existem duas formas de reconhecimento de um servidor como parte da zona de segurança da intranet local: Quando o utilizador especifica um URL que não é um nome de domínio DNS completamente qualificado. Por exemplo, se aceder a uma aplicação com um URL como http://acme/index.html, o Internet Explorer interpreta-o como um site na zona de segurança da intranet local. Guia de Instalação e Configuração do Centrify Cloud Management Suite 67 Configurar as zonas de segurança do Internet Explorer Quando o utilizador especifica um URL com um nome completamente qualificado que foi expressamente configurado como um site da intranet local no Internet Explorer (consulte as instruções abaixo). Por exemplo, se aceder a uma aplicação com um URL como http://acme.mycompany.com/index.html, o Internet Explorer interpreta-o como um site que não faz parte da intranet local, exceto se o site tiver sido manualmente adicionado à zona de segurança da intranet local. Consoante os utilizadores iniciem sessão em aplicações Web com um URL da intranet local ou com um caminho completamente qualificado no URL, a autenticação silenciosa poderá exigir a modificação da zona de segurança da intranet local no Internet Explorer. Ativar a Autenticação Integrada do Windows Siga este procedimento para ativar a autenticação silenciosa em cada computador. <<é possível fazer isto também através da política de grupo?>> Para ativar a Autenticação Integrada do Windows para o Internet Explorer 1 Abra o Internet Explorer e selecione Ferramentas > Opções da Internet 2 Clique no separador Avançadas. 3 Desloque-se para baixo até às definições de Segurança. 4 Marque a caixa Ativar Autenticação Integrada do Windows. 5 Reinicie o Internet Explorer. Adicionar um Web site à zona de segurança da intranet local Se alguns utilizadores iniciarem sessão em aplicações Web com um caminho completamente qualificado no URL, poderá ser necessário modificar as definições da zona de segurança da intranet local do seu browser do Internet Explorer para ativar a autenticação silenciosa. Para configurar a zona de segurança da intranet local no Internet Explorer 1 Abra o Internet Explorer e selecione Ferramentas > Opções da Internet 2 Clique no separador Segurança. 3 Clique no ícone Intranet local. 4 Clique em Sites. 5 Clique em Avançadas. 6 Escreva o URL do Web site que pretende adicionar à intranet local e, em seguida, clique em Adicionar. Pode utilizar carateres universais no endereço do site, por exemplo *://*.mycompany.com. Quando terminar de adicionar URLs ou padrões de URL, clique em Fechar. <<introduza o que eles necessitam de introduzir para o DirectControl for SaaS>> Guia de Instalação e Configuração do Centrify Cloud Management Suite 68 Configurar o Google Chrome no Windows para a autenticação silenciosa 7 Clique em OK para aceitar as definições de configuração da intranet local e, em seguida, clique em OK para fechar a caixa de diálogo Opções da Internet. Depois de configurar a zona de segurança da Intranet local no Internet Explorer, poderá iniciar sessão em aplicações Web ou Java através de Kerberos ou NTLM sem que lhe seja pedido que introduza um nome de utilizador e uma palavra-passe. Configurar a política de grupo do Internet Explorer para a autenticação silenciosa <<aplica-se ao SSO e à autenticação silenciosa? -- problemas de formulação>> Para configurar a política de grupo do Internet Explorer para suportar a autenticação silenciosa 1 Em Gestão de Políticas de Grupo, edite o objeto de política de grupo pretendido. 2 No Editor de Gestão de Políticas de Grupo, clique em Configuração do Computador > Políticas > Modelos Administrativos > Componentes do Windows > Internet Explorer > Opção Internet do Painel de Controlo > Página Segurança. 3 Com a Página Segurança selecionada no painel esquerdo, faça duplo clique em Site para a Lista de Atribuições de Zona no painel direito para abrir a lista. 4 Clique em Ativado e em Mostrar... para abrir a caixa de diálogo Mostrar Conteúdo. 5 No campo Nome do Valor, introduza o endereço do Web site, por exemplo https://cloud.centrify.com. 6 No campo Valor, introduza 1 para especificar uma Zona de Intranet Local. Clique em OK. 7 Clique novamente em OK para fechar a caixa de diálogo Site para a Lista de Atribuições de Zona. Configurar o Google Chrome no Windows para a autenticação silenciosa Na maioria dos casos, se o nome de anfitrião do cloud proxy server estiver disponível no seu DNS, a autenticação silenciosa funcionará no Google Chrome sem que seja necessária uma configuração adicional. O Chrome verifica a Zona de Segurança da Intranet Local para determinar qual é o seu domínio local e, se estiver protegido pela firewall, utiliza a autenticação Kerberos. Para garantir que o Chrome autentica os utilizadores corretamente, adicione o domínio à lista de permissões do servidor de autenticação quando iniciar o browser do Chrome. <<há alguma forma de fazer isto através da política de grupo?>> Guia de Instalação e Configuração do Centrify Cloud Management Suite 69 Configurar o Apple Safari num Mac para a autenticação silenciosa Para configurar o Chrome no Windows para a autenticação silenciosa e o início de sessão único 1 Localize o seu atalho do Windows para o Chrome. 2 Clique com o botão direito do rato no atalho e escolha Propriedades. 3 Clique no final do campo Destino e adicione um espaço. 4 Após o espaço, introduza o seguinte texto: --auth-server-whitelist="*.centrify.com, *.domain.com" em que domain.com corresponde ao domínio no qual pretende que seja realizada a autenticação silenciosa dos utilizadores. Por exemplo, o conteúdo do campo Destino terá o seguinte aspeto: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --auth-serverwhitelist="*.centrify.com" 5 Clique em OK para fechar a caixa de diálogo. Configurar o Apple Safari num Mac para a autenticação silenciosa Se tiver um agente Centrify instalado num computador Mac, a autenticação silenciosa funcionará automaticamente no browser Safari. Para obter mais informações sobre produtos Centrify em computadores Mac, consulte o Guia do Administrador do Centrify Suite para Mac OS X. <<ou também é necessário configurar o browser? >> Guia de Instalação e Configuração do Centrify Cloud Management Suite 70 Anexo E Reinscrever um dispositivo em domínios com um ID de cliente diferente <<erro 29604>> Se a sua organização tiver vários servidores proxy com IDs de cliente diferentes na mesma floresta, verificam-se algumas situações em que os utilizadores não podem anular a inscrição de um dispositivo num domínio e inscrevê-lo noutro. Ao tentarem, é emitida a mensagem "Ocorreu uma falha na transação com o servidor em <nome do servidor> com o estado "403"." Esta situação pode ocorrer se tiver vários servidores proxy, cada um com um ID de cliente diferente e cada servidor proxy utilizar uma unidade organizacional do Active Directory diferente para armazenar o objeto de dispositivo. Existem algumas situações comuns em que tal pode acontecer: Se tiver implementações de teste e produção em domínios separados e cada domínio tiver um ID de cliente do cloud service separado. Se a sua organização tiver divisões diferentes, por exemplo, uma divisão na América do Norte e outra na Ásia-Pacífico, com domínios e IDs de cliente do cloud service separados. O problema em termos administrativos é o seguinte: o mesmo dispositivo não pode ter objetos separados em duas unidades organizacionais diferentes dentro da mesma floresta. Isto representa um problema, pois a anulação da inscrição de um dispositivo não o elimina da unidade organizacional. Quando o utilizador anula a inscrição de um dispositivo, o cloud service altera apenas o estado de "inscrito" para "não inscrito". Para permitir ao utilizador inscrever o mesmo dispositivo noutro domínio com um ID de cliente separado, é necessário que um administrador execute um dos seguintes procedimentos: Conceder permissão ao servidor proxy de destino para mover ou remover objetos (neste caso, o objeto de dispositivo) na unidade organizacional do servidor proxy original. Eliminar manualmente o objeto de dispositivo da unidade organizacional do servidor proxy original quando o utilizador anula a inscrição do dispositivo. Pode fazê-lo no Active Directory ou através do Cloud Manager. Quando o utilizador voltar a inscrever o dispositivo, o cloud service criará um novo objeto na unidade organizacional de destino no momento da inscrição. Mover manualmente o objeto de dispositivo da unidade organizacional do servidor proxy original para o destino após a anulação da inscrição pelo utilizador. Quando o utilizador voltar a inscrever o dispositivo, o cloud service atualizará o estado para dispositivo inscrito na unidade organizacional de destino. <<Há mais alguma coisa que os clientes necessitem de saber acerca disto??>> 71