Centrify Cloud Management Suite Installation and Configuration Guide

Transcrição

Centrify Cloud Management Suite Installation and Configuration Guide
Centrify Cloud Management Suite 2013
Guia de Instalação e Configuração
Ago 2013
Centrify Corporation
     
Aviso legal
Este documento e o software nele descrito são fornecidos sob os termos de um contrato de licença ou de um
acordo de não divulgação e estão sujeitos aos mesmos. Exceto conforme expressamente definido no contrato de
licença ou no acordo de não divulgação anteriormente referidos, a Centrify Corporation fornece este documento
e o software nele descrito "tal como estão", sem qualquer tipo de garantia, expressa ou implícita, incluindo, entre
outras, as garantias implícitas de comercialização ou adequação a um determinado fim. Alguns estados não
permitem exclusões de garantias expressas ou implícitas em determinadas transações; consequentemente, esta
declaração poderá não se aplicar ao seu caso.
Este documento e o software nele descrito não poderão ser emprestados, vendidos ou dados sem a autorização
prévia por escrito da Centrify Corporation, exceto em circunstâncias permitidas por lei. Exceto conforme
expressamente definido no contrato de licença ou no acordo de não divulgação anteriormente referidos, não é
permitida a reprodução, o armazenamento num sistema de obtenção ou a transmissão sob qualquer forma ou
através de qualquer meio, quer seja eletrónico, mecânico ou de outro tipo, de qualquer parte deste documento ou
do software nele descrito sem o consentimento prévio por escrito da Centrify Corporation. Algumas empresas,
nomes e dados presentes neste documento são utilizados a título exemplificativo e poderão não representar
empresas, indivíduos ou dados reais.
Este documento poderá incluir imprecisões técnicas ou erros tipográficos. As informações contidas neste
documento são periodicamente alteradas. Estas alterações poderão ser incorporadas em novas edições do presente
documento. A Centrify Corporation poderá melhorar ou alterar o software descrito neste documento em
qualquer altura.
© 2004-2013 Centrify Corporation. Todos os direitos reservados. Partes do Centrify DirectControl são
derivadas de software de terceiros ou de código aberto. Os avisos legais e de direitos de autor relativos a estas
origens estão listados separadamente no ficheiro Acknowledgements.txt incluído juntamente com o software.
Restrição de Direitos do Governo dos E.U.A.: Se o software e a documentação forem adquiridos pelo Governo
dos E.U.A. ou em seu nome ou por um contratante principal ou um subcontratante (a qualquer nível) do Governo
dos E.U.A., em conformidade com a cláusula 48 C.F.R. 227.7202-4 (para aquisições efetuadas pelo
Departamento de Defesa) e as cláusulas 48 C.F.R. 2.101 e 12.212 (para aquisições não efetuadas pelo
Departamento de Defesa), os direitos do governo relativamente ao software e à documentação, incluindo o direito
de utilizar, modificar, reproduzir, lançar, executar, apresentar ou divulgar o software ou a documentação, estarão
sujeitos, em todos os aspetos, aos direitos e restrições de licença comercial previstos no contrato de licença.
Centrify, DirectAudit, DirectControl e DirectSecure são marcas comerciais registadas e DirectAuthorize e
DirectManage são marcas comerciais da Centrify Corporation nos Estados Unidos e noutros países. Microsoft,
Active Directory, Windows, Windows NT e Windows Server são marcas comerciais registadas ou marcas
comerciais da Microsoft Corporation nos Estados Unidos e noutros países.
O Centrify Suite está protegido pelas Patentes dos E.U.A. 7,591,005, 8,024,360 e 8,321,523.
Os nomes de outras empresas e produtos mencionados no presente documento poderão ser marcas comerciais ou
marcas comerciais registadas dos respetivos proprietários. Salvo indicação em contrário, todos os nomes utilizados
no presente documento como exemplos de empresas, organizações, nomes de domínio, pessoas e eventos são
fictícios. Não se pretende estabelecer, nem deverá ser inferida, qualquer associação com qualquer empresa,
organização, nome de domínio, pessoa ou evento reais.

Índice
Acerca deste guia
6
Público-alvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Convenções do guia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Onde obter mais informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Contactar a Centrify Corporation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Capítulo 1
Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e
SaaS8
Como o Centrify for Mobile e o Centrify for SaaS funcionam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
O que instalar na sua rede interna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
O que os utilizadores instalam nos seus dispositivos móveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Ferramentas de gestão do administrador do Cloud service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Descrição geral do programa Cloud Proxy Server Configuration. . . . . . . . . . . . . . . . . . . . . . . 13
Descrição geral do Cloud Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Interfaces de utilizador do Cloud service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
O portal Web Centrify . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Centrify para dispositivos Android. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Centrify para dispositivos iOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
MobileManager para dispositivos iOS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
MobileManager para dispositivos iOS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
O que fazer a seguir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Capítulo 2
Instalar e configurar o Centrify Cloud Management Suite
19
Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Browsers suportados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Permissões do Active Directory necessárias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Requisitos do servidor do Exchange . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Instalar o Centrify Cloud Management Suite na sua rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Instalar o cloud proxy server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Configurar o Centrify for Mobile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Concluir o Assistente do Cloud Proxy Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Atualizar automaticamente o servidor proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3
     
Capítulo 3
Definir políticas de grupo de segurança
30
Descrição geral das políticas de grupo de dispositivos móveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Descrições da secção da política de grupo do Cloud Management Suite . . . . . . . . . . . . . . . 31
Utilizar as Definições dos Dispositivos Móveis Comuns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Utilizar as definições do iOS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Utilizar as Definições do OS X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Utilizar as Definições do Samsung KNOX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Ativar as políticas para criar o contentor Samsung KNOX e a lista de permissões de SSO para
Centrifyaplicações móveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Utilizar as Definições do Samsung SAFE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Utilizar as Definições do Touchdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Ativar políticas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Configurar perfis das Definições do Exchange ActiveSync. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Ativar as Definições do Exchange ActiveSync Básicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Ativar as Definições do Exchange ActiveSync do Samsung SAFE . . . . . . . . . . . . . . . . . . . . . . 44
Ativar as Definições do Exchange ActiveSync com TouchDown . . . . . . . . . . . . . . . . . . . . . . . 47
Configurar perfis de definições de VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Ativar a política de VPN nas Definições dos Dispositivos Móveis Comuns . . . . . . . . . . . . . . 49
Ativar a política de VPN nas definições do Samsung SAFE . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Configurar as Definições de Wi-Fi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Anexo A
Configurar o cloud proxy server
54
Acerca do Centrify cloud proxy server e da aplicação de configuração . . . . . . . . . . . . . . . . . . . . . . . 54
Separador Estado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Separador Servidor Proxy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Separador Definições dos Dispositivos Móveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Autorização de inscrição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Consulta da política de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
O separador Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Separador Registo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Anexo B
Instalar servidores proxy adicionais
61
Obter códigos de registo para servidores proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Instalar um cloud proxy server adicional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Guia de Instalação e Configuração do Centrify Cloud Management Suite
4
     
Anexo C
Desinstalar o Centrify Cloud Management Suite
63
Anexo D
Configurar a autenticação silenciosa
64
Configurar a autenticação silenciosa para o Centrify for SaaS (descrição geral) . . . . . . . . . . . . . . . 64
Configurar o Firefox para permitir a autenticação silenciosa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Configurar manualmente o Firefox para a autenticação silenciosa . . . . . . . . . . . . . . . . . . . . 65
Configurar a política de grupo do Firefox para a autenticação silenciosa <<é necessário
testar>> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Configurar as zonas de segurança do Internet Explorer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Ativar a Autenticação Integrada do Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Adicionar um Web site à zona de segurança da intranet local . . . . . . . . . . . . . . . . . . . . . . . . . 68
Configurar a política de grupo do Internet Explorer para a autenticação silenciosa. . . . . . 69
Configurar o Google Chrome no Windows para a autenticação silenciosa . . . . . . . . . . . . . . . . . . . . 69
Configurar o Apple Safari num Mac para a autenticação silenciosa . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Anexo E
Índice
Reinscrever um dispositivo em domínios com um ID de cliente diferente
71
5

Acerca deste guia
O Centrify for Mobile e o Centrify for SaaS fornecem as ferramentas necessárias à proteção e
gestão central de aplicações Web e dispositivos móveis através da sua infraestrutura do Active
Directory existente. Com os dois produtos, pode instalar o Centrify Cloud Management
Suite no seu domínio para gerir a comunicação entre o Active Directory e o Centrify cloud
service. Este manual explica como instalar o Centrify Cloud Management Suite e configurar o
servidor proxy.
Público-alvo
O presente guia inclui informações para administradores de sistemas e redes que sejam
responsáveis pela gestão do acesso a recursos de redes, nomeadamente o acesso a aplicações
Web ou o acesso de dispositivos móveis externos.
Parte-se do princípio de que conhece os princípios básicos subjacentes à utilização do Active
Directory da Microsoft e da aplicação de políticas de grupo. O Active Directory é o elemento
principal da autenticação e autorização através do Centrify for Mobile e do Centrify for SaaS.
No caso de utilizar o Centrify for Mobile, subentende-se ainda que conhece os princípios
básicos do funcionamento de dispositivos móveis, embora não seja necessário muito mais do
que utilizar um browser e definir controlos.
Convenções do guia
Este guia utiliza as seguintes convenções:

O tipo de letra de largura fixa representa exemplos de código, nomes ou saídas de
programas, nomes de ficheiros e comandos introduzidos na linha de comandos. Em
itálico, o tipo de letra de largura fixa indica variáveis.

O texto a negrito destaca comandos, botões ou texto da interface do utilizador e
apresenta novos termos.

O itálico representa títulos de livros e destaca palavras ou termos específicos.

Os termos entre [parênteses retos] na sintaxe de comandos representam opções.
Onde obter mais informações
Para além deste guia de instalação e configuração, a documentação do Centrify for Mobile e
do Centrify for SaaS inclui várias fontes de informação:
6
     






Contactar a Centrify Corporation
As Notas de Versão incluídas nos suportes de distribuição ou no pacote de transferência
fornecem as informações mais atualizadas sobre a versão atual, incluindo requisitos do
sistema e plataformas suportadas, e eventuais informações adicionais específicas desta
versão que poderão não estar incluídas noutros documentos.
A ajuda do Cloud Manager fornece detalhes específicos para a configuração de cada tipo de
aplicação que o Centrify disponibiliza: aplicações SaaS para SSO individuais, aplicações de
palavras-passe do utilizador e aplicações móveis. Para abrir esta ajuda, clique na
hiperligação de Ajuda a partir de uma aplicação do Catálogo de Aplicações ou de uma caixa
de diálogo de Definições de Aplicação.
A ajuda do MyCentrify fornece aos utilizadores informações orientadas por tarefas para a
navegação e início das respetivas aplicações implementadas, visualização da respetiva
atividade, gestão dos próprios dispositivos móveis e especificação de algumas definições do
Active Directory. Para abrir esta ajuda, clique em Ajuda no menu do nome de utilizador
no portal de utilizador MyCentrify.
O Guia de Avaliação do Centrify for Mobile fornece as informações necessárias para instalar o
Centrify Cloud Management Suite, inscrever alguns dispositivos móveis, configurar
algumas políticas de grupo para esses dispositivos móveis e gerir as funcionalidades móveis
no Centrify Cloud Manager e no portal de utilizador MyCentrify.
O Guia de Avaliação do Centrify for SaaS fornece as informações necessárias para instalar o
Centrify Cloud Management Suite, adicionar e implementar uma aplicação SaaS e gerir o
portal de utilizador MyCentrify do Centrify Cloud Manager.
A ajuda online do Cloud Manager fornece informações orientadas por tarefas para
administradores que necessitem de modificar aplicações, gerir perfis e utilizadores e
configurar definições no Cloud Manager. Para abrir esta ajuda, clique em Ajuda no menu
do nome de utilizador no Cloud Manager.
Além disso, pode obter respostas a perguntas comuns, fazer novas perguntas ou obter
orientações de melhores práticas visitando o portal de suporte ao cliente do Centrify.
Necessitará do seu nome de utilizador de cliente do Centrify e respetiva palavra-passe para
entrar neste site.
Contactar a Centrify Corporation
Teremos todo o gosto em receber as suas dúvidas ou comentários. Para obter informações
sobre como contactar a Centrify Corporation, visite o nosso Web site em www.centrify.com.
No Web site, pode consultar as notícias mais recentes e informações sobre produtos, suporte,
serviços, eventos futuros, relações de investidores e vendas.
Para obter informações sobre a aquisição ou avaliação de produtos Centrify, envie uma
mensagem de correio eletrónico para [email protected].
• Acerca deste guia
7
Capítulo 1
Uma Descrição Geral dos produtos do Centrify Cloud
Management Suite para Mobile e SaaS
O Centrify Cloud Management Suite é um conjunto de componentes de software integrado
que ajuda os administradores de TI a gerir a forma como os dispositivos móveis dos
funcionários são utilizados para fins profissionais e que simplifica a implementação e a
utilização de aplicações Web e móveis. Este conjunto de aplicações utiliza a infraestrutura
do Active Directory existente da organização para a autenticação do utilizador, os objetos de
política de grupo para dispositivos móveis e a gestão de dispositivos, tirando partido da
experiência e das ferramentas existentes para proteger os ativos de informação da
organização.
Os componentes de software do conjunto de aplicações utilizam o Centrify cloud service
para realizar as comunicações para a autenticação do utilizador, a implementação de
aplicações e a gestão de dispositivos entre um servidor proxy do Active Directory integrado
na sua rede e os dispositivos móveis.
O conjunto de aplicações é composto por duas linhas de produtos:

Com o Centrify for Mobile, os administradores podem proteger e gerir centralmente
smartphones e tablets Android e iOS e computadores OS X (por exemplo, MacBooks)
utilizando a infraestrutura do Active Directory existente, implementar aplicações
móveis para conjuntos de dispositivos móveis e utilizar ferramentas de Política de Grupo
familiares para impor definições de segurança. Um administrador de TI pode gerir os
dispositivos móveis diretamente a partir da ferramenta Utilizadores e Computadores do
Active Directory; por exemplo, um administrador pode emitir um comando de
bloqueio ou de limpeza para proteger informações da empresa num tablet ou telemóvel
Android ou iOS perdido ou furtado.
Poderá licenciar o Centrify for Mobile quando pretender obter o controlo dos
dispositivos móveis que têm acesso aos dados da sua organização e das aplicações móveis
que utilizam para aceder aos dados. O Centrify for Mobile também disponibiliza a
autenticação de início de sesão único para aplicações móveis.

Com o Centrify for SaaS (software como serviço ), os administradores de aplicações
podem gerir centralmente os serviços Web que os utilizadores executam a partir dos
seus computadores e, quando combinado com o Centrify for Mobile, os seus
dispositivos móveis. A interface de utilizador é um portal de utilizador prático no
computador e uma aplicação simples para o telemóvel ou tablet que disponibiliza uma
autenticação de início de sessão zero. O Centrify for SaaS também permite implementar
serviços Web diferentes para conjuntos de utilizadores distintos. Muitas das aplicações
SaaS populares, baseadas na Web e de orientação empresarial estão prontas para uma
implementação imediata.
8
     
Como o Centrify for Mobile e o Centrify for SaaS funcionam
Poderá licenciar o Centrify for SaaS quando pretender simplificar a implementação de
serviços Web patrocinados pela empresa e eliminar a necessidade de os utilizadores
introduzirem os nomes de utilizador e as palavras-passe para cada aplicação.
Poderá licenciar o Centrify for Mobile e o Centrify for SaaS individualmente ou em
conjunto.
Como o Centrify for Mobile e o Centrify for SaaS funcionam
O software Centrify Cloud Management Suite é composto pelos seguintes serviços e
software:

um cloud proxy server para instalar num computador ou na sua rede



o portal Web Cloud Manager que os administradores utilizam para gerir aplicações,
utilizadores, dispositivos e a configuração do cloud service
o portal Web Centrify que os utilizadores finais utilizam para iniciar as aplicações Web
que implementa e gerir os seus dispositivos
aplicações gratuitas que os seus utilizadores obtêm do Google Play ou da Apple App
store e instalam nos dispositivos
O Centrify cloud service fornece a ligação de comunicações entre o controlador de
domínio, os portais Web e os dispositivos móveis e funciona como um serviço de tokens de
segurança de autenticação. Este serviço autentica os utilizadores com Kerberos, SAML ou
um nome de utilizador e palavra-passe do Active Directory. Para garantir a segurança, o
Centrify cloud service comunica através de canais seguros com os cloud proxy servers nas
suas instalações.
O Centrify cloud proxy server é executado com a proteção de uma firewall e fornece
uma autenticação, política e acesso em tempo real a perfis de utilizadores sem expor o seu
controlador de domínio ao cloud service. Deste modo, manterá o controlo sobre os seus
dados do Active Directory valiosos enquanto fornece uma experiência de utilizador baseada
no senso comum aos seus utilizadores.
Se licenciar o Centrify for Mobile, a instalação do cloud proxy server incluirá as consolas
extensão Utilizadores e Computadores do Active Directory (ADUC) e o Editor
de Gestão de Políticas de Grupo (GPME). As extensões do Active Directory
adicionam novos separadores ao objeto do dispositivo móvel e às Propriedades do utilizador
para que possa ver os dispositivos móveis que estão ativos e os dispositivos inscritos por cada
utilizador. Também pode emitir comandos para os dispositivos a partir destes separadores.
As extensões de consola da política de grupo adicionam um conjunto abrangente de
políticas de dispositivos móveis para dispositivos Android e iOS e computadores OS X a
partir dos quais pode definir objetos de política de grupo personalizados para os seus
dispositivos móveis.
O Centrify Cloud Manager é um portal Web que os administradores utilizam para
implementar aplicações Web e móveis e monitorizar a atividade dos utilizadores. Também
Capítulo 1 • Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e SaaS
9
     
Como o Centrify for Mobile e o Centrify for SaaS funcionam
pode utilizar o Cloud Manager, em vez da ferramenta Utilizadores e Computadores do
Active Directory, para gerir dispositivos móveis e utilizadores.
O portal Web Centrify é a interface dos utilizadores para o cloud service. A partir do
portal Web Centrify, os utilizadores poderão abrir as aplicações Web que lhes foram
implementadas, monitorizar as suas atividades e gerir algumas das suas propriedades do
Active Directory.
Eis como os componentes principais na arquitetura do Centrify for SaaS funcionam em
conjunto:
O Centrify for Mobile utiliza a mesma arquitetura básica que o Centrify for SaaS, incluindo
o cloud proxy server, o Cloud Manager e o Centrify. Adiciona aplicações gratuitas que os
utilizadores instalam nos seus dispositivos móveis. Estas aplicações utilizam o cloud service
para permitir a gestão centralizada dos dispositivos móveis e simplificar o acesso dos
utilizadores às aplicações Web e móveis implementadas a partir do Cloud Manager.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
10
     
O que instalar na sua rede interna
Eis a forma como os componentes principais na arquitetura do Centrify for SaaS funcionam
em conjunto:
O que instalar na sua rede interna
Ao instalar o Centrify Cloud Management Suite na sua rede, instalará os seguintes itens para
o Centrify for SaaS e o Centrify for Mobile na sua rede interna:

O Centrify cloud proxy server

A aplicação Cloud Proxy Server Configuration
Se tiver licenciado o Centrify for Mobile, também poderá instalar as extensões da consola
Gestão de Políticas de Grupo Móveis e Utilizadores e Computadores do Active Directory
como parte da instalação do conjunto de aplicações.
O Centrify cloud proxy server é instalado num computador anfitrião associado ao seu
controlador de domínio do Active Directory e ligado à Internet. Este servidor gere as
comunicações entre o Active Directory e o Centrify cloud service.
Capítulo 1 • Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e SaaS
11
     
O que os utilizadores instalam nos seus dispositivos móveis
A aplicação Centrify Cloud Proxy Server Configuration fornece uma interface de
utilizador para configurar um Centrify cloud proxy server. A aplicação será instalada
automaticamente quando instalar o cloud proxy server.
A extensão ADUC móvel Centrify é um snap-in de Utilizadores e Computadores do
Active Directory (ADUC) que apresenta propriedades de dispositivos específicas para
dispositivos móveis e fornece comandos de gestão de dispositivos móveis.
A extensão das políticas de grupo móveis Centrify é uma extensão do Editor de
Gestão de Políticas de Grupo (GPME) que oferece políticas específicas para dispositivos
móveis ao criar políticas de grupo para dispositivos móveis.
Assim que tiver instalado estes componentes, estará pronto para abrir o Cloud Manager.
O que os utilizadores instalam nos seus dispositivos móveis
<< A frase e as duas marcas de lista seguintes aplicar-se-ão até à implementação da fusão do
MobileManager nos dispositivos iOS.>>
Os utilizadores instalam os seguintes componentes móveis Centrify nos seus dispositivos

Os proprietários de dispositivos Android instalam a aplicação Centrify a partir do
Google Play e, em seguida, utilizam esse programa para inscrever os seus dispositivos no
cloud service. Esta aplicação liga os utilizadores ao Centrify cloud service para que
possam inscrever os dispositivos e a uma interface de utilizador para iniciar aplicações
Web e móveis implementadas.

Os proprietários de dispositivos iOS instalarão o Centrify MobileManager da Apple
App Store se estiverem a utilizar o Centrify for Mobile. Utilizam esta aplicação para
inscrever os seus dispositivos no cloud service. O MobileManager instalará os perfis de
política de grupo imediatamente após um dispositivo ter sido inscrito e pedirá ao
utilizador que instale as aplicações móveis implementadas através do cloud service.
Os proprietários de dispositivos iOS instalarão a aplicação Centrify da Apple App Store
se estiverem a utilizar o Centrify for SaaS. A aplicação Centrify disponibiliza o início de
sessão zero para as aplicações Web implementadas através do cloud service.
Os utilizadores do Centrify for Mobile instalam os seguintes componentes nos seus
dispositivos móveis:

Os proprietários de dispositivos Android instalam a aplicação Centrify a partir do
Google Play.
Começam por utilizar este programa para inscrever os seus dispositivos no cloud service.
Após a inscrição do dispositivo, os utilizadores deverão utilizar esta aplicação para abrir
as aplicações móveis que foram implementadas para eles.
Quando licenciar o Centrify for SaaS em conjunto com o Centrify for Mobile, a aplicação
Centrify também apresentará as aplicações Web implementadas para o utilizador e
fornecerá a autenticação de início de sessão único.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
12
     
Ferramentas de gestão do administrador do Cloud service
No caso dos dispositivos que suportam o contentor Samsung KNOX, os utilizadores
também devem instalar a aplicação móvel Centrify no contentor Samsung KNOX. Isto
permite-lhes iniciar as aplicações Web implementadas por si a partir do interior do
contentor.

Os proprietários de dispositivos iOS instalam a aplicação MobileManager para
inscreverem os seus dispositivos iOS no cloud service.
Quando licenciar o Centrify for SaaS em conjunto com o Centrify for Mobile, o
MobileManager também apresentará as aplicações Web implementadas para o utilizador
e fornecerá a autenticação de início de sessão único.
Após a inscrição do dispositivo móvel, o Centrify em dispositivos Android e o
MobileManager em dispositivos iOS instalarão as políticas de grupo ligadas ao dispositivo,
manterão uma comunicação constante com o cloud service para atualizar as políticas de
grupo quando as mesmas forem alteradas, notificarão o utilizador quando forem
implementadas aplicações móveis e fornecerão o estado em tempo real para o Cloud
Manager e o portal Web MyCentrify.
Os proprietários de computadores Mac não instalam qualquer software Centrify. Em
vez disso, utilizam o portal Web de inscrição do cloud service para inscrever o computador
e, em seguida, utilizam o portal Web MyCentrify para iniciar as aplicações Web. Após a
inscrição do Mac, o cloud service instalará os perfis de política de grupo.
Nota
Ferramentas de gestão do administrador do Cloud service
Após a instalação do cloud proxy server, terá duas ferramentas Centrify para gerir a
configuração do cloud service:

Aplicação Centrify Cloud Proxy Server Configuration

Gestor de Nuvens
Além disso, poderá utilizar a ferramenta Utilizadores e Computadores do Active Directory
para gerir dispositivos e utilizadores e o Editor de Gestão de Políticas de Grupo para criar
objetos de política de grupo para os dispositivos móveis.
Descrição geral do programa Cloud Proxy Server Configuration
O programa Cloud Proxy Server Configuration é instalado no seu servidor proxy durante a
instalação do Cloud Management Suite. Utilize o programa Cloud Proxy Server
Configuration para gerir o proxy, nomeadamente para executar as seguintes tarefas:

obter informações sobre a sua configuração (por exemplo, o seu ID de cliente)


configurar definições operacionais, incluindo intervalos de sincronização da nuvem e do
Active Directory
iniciar e parar o servidor proxy
Capítulo 1 • Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e SaaS
13
     
Ferramentas de gestão do administrador do Cloud service

adicionar grupos de utilizadores do Active Directory que possam inscrever dispositivos

definir um contacto para os alertas de correio eletrónico
Inicie a aplicação Cloud Proxy Server Configuration a partir do menu Iniciar do Windows
no computador anfitrião do servidor proxy. Consulte "Configurar a autenticação silenciosa"
na página 64 para obter uma explicação dos separadores e das propriedades.
Descrição geral do Cloud Manager
Utilize o portal Web Cloud Manager para realizar tarefas administrativas, incluindo o
seguinte:

implementar aplicações Web e móveis

gerir dispositivos

gerir perfis e utilizadores do cloud service

monitorizar a atividade do cloud service e gerar relatórios

configurar opções e definições do cloud service, incluindo a autenticação multifator e a
cor e os ícones das janelas do Cloud Manager e do MyCentrify.
A seguinte figura ilustra a página Aplicações do Cloud Manager. Esta página é a página de
destino quando abre o portal e apresenta todas as aplicações Web e móveis que
implementou. Estará vazia até que adicione aplicações.
Clique no separador na parte superior da página para realizar diferentes tarefas
administrativas.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
14
     
Interfaces de utilizador do Cloud service
Abra o Cloud Manager introduzindo o seguinte URL no browser:
https://cloud.centrify.com/manage
Inicie sessão no Cloud Manager com o seu nome de utilizador do Active Directory
completo (<nome de utilizador >@ <nome de domínio>) e palavra-passe.
O funcionamento do Cloud Manager está descrito na ajuda online. Clique no menu
pendente do nome de utilizador (veja a imagem) e clique em Ajuda.
Interfaces de utilizador do Cloud service
O cloud service disponibiliza as seguintes interfaces de utilizador:

O portal Web MyCentrify para computadores Windows e Mac

A aplicação Centrify para dispositivos Android

A aplicação MobileManager para dispositivos iOS
<< Remova a marca de lista seguinte quando for implementada a fusão entre as aplicações
MobileManager e Centrify.>>

A aplicação Centrify os dispositivos iOS
O portal Web Centrify
Os utilizadores de dispositivos Android, iOS e computadores Mac utilizam o portal Web
Centrify para iniciar as aplicações Web que lhes foram implementadas a partir dos seus
computadores, adicionar aplicações Web, gerir os seus dispositivos e rever as suas
atividades.
Os utilizadores abrem o portal Web Centrify introduzindo o seguinte URL no browser:
https://cloud.centrify.com/my
A aplicação Centrify irá pedir a introdução do seu nome de utilizador do Active Directory
completo (<nome de utilizador>@<nome de domínio>) e palavra-passe. O Web site irá
abrir na página Aplicações, que apresentará uma lista de todas as aplicações Web que o
administrador de TI implementou no perfil deste utilizador.
Capítulo 1 • Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e SaaS
15
     
Interfaces de utilizador do Cloud service
A imagem seguinte ilustra a home page do portal Web Centrify já preenchida com
aplicações Web.
Abra a ajuda online do portal Web MyCentrify para obter a descrição de cada página e os
procedimentos utilizados para adicionar aplicações e gerir dispositivos. A ajuda do
MyCentrify também explica aos utilizadores como instalar as aplicações Centrify e
MobileManager no dispositivo e inscrever dispositivos no cloud service.
Centrify para dispositivos Android
Os seus utilizadores de dispositivos Android instalam a aplicação Centrify a partir do
Google Play e podem utilizá-la de imediato para inscrever os dispositivos. Após a inscrição
do dispositivo, o Centrify apresentará as aplicações Web e móveis que lhes foram
implementadas. Também apresentará as políticas de grupo instaladas pelo cloud service e as
definições do cloud service.
As instruções de utilização para instalar o Centrify e inscrever os dispositivos encontram-se
na ajuda online do portal Web Centrify.
<< Removeu-se quando a fusão das aplicações MobileManager e Centrify foi
implementada.>>
Centrify para dispositivos iOS
Os seus utilizadores de dispositivos iOS obtêm a aplicação Centrify a partir da Apple App
Store. Após a instalação e inscrição do dispositivo, o Centrify apresentará as aplicações Web
implementadas no perfil do utilizador num ecrã e as definições de aplicações noutro.
As instruções de utilização para instalar o Centrify encontram-se na ajuda online do portal
Web Centrify.
MobileManager para dispositivos iOS
Os seus utilizadores de dispositivos iOS obtêm a aplicação MobileManager a partir da Apple
App Store. Após a sua instalação e inscrição dos dispositivos, o MobileManager apresentará
Guia de Instalação e Configuração do Centrify Cloud Management Suite
16
     
O que fazer a seguir
as suas informações de conta num dos ecrãs e as definições de aplicações noutro. Os
utilizadores poderão utilizar a página Definições se precisarem de anular a inscrição do
dispositivo.
As aplicações móveis implementadas nos dispositivos iOS serão apresentadas no ecrã
principal de cada dispositivo com as outras aplicações e não nas aplicações MobileManager
ou Centrify.
Nota
<<Remover para aqui.>>
MobileManager para dispositivos iOS
Os utilizadores de dispositivos iOS instalam a aplicação MobileManager a partir da Apple
App Store e podem utilizá-la de imediato para inscrever os dispositivos. Após a inscrição do
dispositivo, o MobileManager apresenta uma lista das aplicações Web implementadas para
eles e as definições do dispositivo.
As aplicações móveis implementadas nos dispositivos iOS serão apresentadas no ecrã
principal do dispositivo e não no MobileManager.
Nota
As instruções de utilização para instalar o MobileManager e inscrever os dispositivos
encontram-se na ajuda online do portal Web Centrify.
O que fazer a seguir
A tarefa seguinte para os administradores do Centrify for SaaS e do Centrify for Mobile será
instalar e configurar o Cloud Management Suite. O capítulo seguinte fornece as instruções
necessárias.
Depois disso, os administradores do Centrify for SaaS podem avançar diretamente para o
Cloud Manager para configurar as definições, definir os perfis de administrador e de
utilizador e implementar aplicações.
Após a instalação do Cloud Management Suite, os administradores do Centrify for Mobile
devem avançar para "Definir políticas de grupo de segurança" na página 30 para saberem
mais sobre as políticas de grupo dos dispositivos móveis do Centrify. Depois de criar os seus
objetos de política de grupo de dispositivos móveis e de os atribuir às unidades
organizacionais dos dispositivos móveis, deve avançar para o Cloud Manager para configurar
as definições, definir os perfis de administrador e de utilizador e implementar aplicações.
Consulte a ajuda do Cloud Manager para obter uma descrição das suas opções de definições
e das instruções correspondentes. Depois de concluir as outras definições do Cloud
Manager e de implementar as aplicações, os utilizadores do Centrify for SaaS poderão
iniciar sessão no MyCentrify e começar a utilizar as aplicações implementadas, enquanto os
utilizadores do Centrify for Mobile poderão inscrever os seus dispositivos móveis.
Consulte os anexos neste livro conforme necessário.
Capítulo 1 • Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e SaaS
17
     





O que fazer a seguir
"Configurar o cloud proxy server" na página 54: utilize este anexo se precisar de
compreender os separadores ou de modificar as propriedades na aplicação Cloud Proxy
Server Configuration.
"Instalar servidores proxy adicionais" na página 61: utilize este anexo se necessitar de
instalar um cloud proxy server redundante para a ativação pós-falha e a continuidade do
serviço.
"Desinstalar o Centrify Cloud Management Suite" na página 63: utilize este anexo se
necessitar de desinstalar o Cloud Management Suite, por exemplo, se estiver apenas a
avaliar o software.
"Configurar a autenticação silenciosa" na página 64: utilize este anexo para
disponibilizar a autenticação silenciosa para o Centrify e o Cloud Manager.
"Reinscrever um dispositivo em domínios com um ID de cliente diferente" na
página 71: utilize este anexo quando algum utilizador do Centrify for Mobile estiver a
mover um dispositivo de um cloud proxy server para outro.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
18
Capítulo 2
Instalar e configurar o Centrify Cloud Management
Suite
O processo de configuração da sua rede interna para trabalhar com o Centrify é simples.
Comece por utilizar um instalador para instalar o Centrify Cloud Management Suite num
computador anfitrião na sua rede. Depois de instalar o cloud proxy server, defina esse
anfitrião para estabelecer ligação aos Centrify cloud services.
Requisitos
Para instalar e configurar o Centrify, são necessários os seguintes itens:
Item
Descrição
Código de ativação do Centrify
cloud proxy server
Neste momento, já criou uma conta e efetuou o registo para utilizar o cloud
service. A página de registo fornece-lhe o seu ID de cliente e o código de ativação
do cloud proxy server. Também recebe uma mensagem de correio eletrónico com
o mesmo código.
Tenha o código de ativação por perto. Precisará dele quando configurar o cloud
proxy server.
Se estiver a instalar servidores proxy adicionais, não utilize este código de
ativação para os instalar. Em vez disso, receberá um novo código de ativação para
cada servidor proxy adicional que utilize o Cloud Manager.
Nota: O código de ativação só pode ser utilizado uma vez e expira após 24 horas.
Instalador do Centrify Cloud
Management Suite
Este programa instala os componentes no local na sua rede interna. O ficheiro do
instalador está incluído na sua transferência de avaliação.
Também utiliza este programa para instalar os servidores proxy adicionais e, se
licenciar o Gestão do Contentor Móvel baseada no Samsung KNOX Active
Directory, para instalar apenas as extensões de consola ADUC e da política de
grupo nos computadores dos administradores do cloud service.
computador anfitrião
Instale o Centrify Cloud Management Suite neste computador para poder ligar o
seu serviço do Active Directory ao Centrify cloud service. Este computador da sua
rede interna deve cumprir ou exceder os seguintes requisitos:
• Windows Server 2008 R2 (64 bits) ou Windows 7 (32 bits ou 64 bits) <<e o
Windows Server 2012? não está indicado na matriz de teste>>
• Estar associado ao domínio no qual pretende conceder acesso às aplicações
Web por parte dos utilizadores
• Ter acesso à Internet
• Ser um computador servidor sempre acessível e em execução
• Possuir a versão 4.0 ou superior do Microsoft .NET; se o Microsoft .NET ainda
não estiver instalado, o instalador do Centrify instala-o por si.
conta de utilizador com acesso
A conta de utilizador que instala o Centrify Cloud Management Suite deve ter
administrativo ao seu controlador capacidade para "Modificar Permissões". O Centrify adiciona automaticamente
de domínio do Active Directory este utilizador ao perfil sysadmin no Cloud Manager.
19
     
Requisitos
Item
Descrição
Vários domínios e florestas
Instala o cloud proxy server num único domínio. No entanto, é possível utilizar o
mesmo ID de cliente e servidor proxy para utilizadores do Centrify for Mobile e
SaaS noutros domínios na mesma árvore que o domínio do servidor proxy e em
domínios noutras florestas. Para incluir utilizadores em vários domínios e
florestas, tem de configurar a fidedignidade bidirecional entre o controlador de
domínio do servidor proxy e os domínios na mesma árvore e entre florestas.
Servidor Proxy Web (opcional)
Um servidor proxy Web na sua rede interna. Se a sua rede estiver configurada
com um servidor proxy Web que pretende utilizar para estabelecer ligação ao
Centrify cloud service, pode especificar este servidor durante o processo de
instalação. É necessário saber o URL e o número de porta a utilizar. O ambiente
também deve manter abertas as portas TCP de saída 9350 a 9355, ou a porta TCP
de saída 443, ou a porta TCP de saída 80, se utilizar um proxy (é necessário um
proxy 1.1 compatível com HTTP).
Dispositivos móveis e
computadores a inscrever
O cloud service suporta a inscrição dos seguintes dispositivos e computadores no
cloud service:
• Um dispositivo Android com o Android 2.3 ou superior.
• Um dispositivo iOS (por exemplo, um iPhone, iPad ou iPod Touch) com o iOS 5.1
ou superior.
• Um computador da Apple com o OS X 10.8 ou superior.
Pode consultar a lista mais atualizada dos dispositivos testados e certificados no
Web site do Centrify, em http://www.centrify.com/mobile/directcontrol-formobile-supported-platforms.asp.
**Temos uma lista? No Web site, existe apenas a indicação 2.2+ para android
e 4.x e 5.x para ios**.
Conta Apple
Se pretender inscrever dispositivos iOS, será necessário utilizar uma conta Apple
separada para criar e atualizar um certificado Apple Push Notification Service
(APNS) da Apple. Necessita de utilizar esta mesma conta anualmente para
renovar o seu certificado APNS. Por exemplo, poderá ser mais simples criar um
Apple ID geral para utilizar apenas na criação de um certificado APNS.
Conta da Apple App Store (para
dispositivos iOS)
Uma conta da Apple App Store para transferir a aplicação MyCentrify num
dispositivo móvel.
Conta Google (apenas para
dispositivos Android)
Uma conta Google para o dispositivo (normalmente, uma conta do Gmail), para
que este possa receber notificações do Centrify cloud service. A conta estará
indicada na aplicação Definições em Pessoal > Contas e Sincronização. Também
utiliza esta conta para transferir a aplicação Centrify Mobile a partir do Google
Play.
Aplicação Touchdown (apenas
para dispositivos Android)
Se pretender sincronizar correio no seu dispositivo Android, será necessário
instalar a aplicação Touchdown, versão 7.3.00015 ou posterior. Existe uma versão
de avaliação da aplicação Touchdown no Google Play.
NOTA: Isto não se aplica a dispositivos Android com Samsung SAFE. Estes
dispositivos podem utilizar a aplicação de correio eletrónico nativa.
Para obter informações sobre a configuração das definições da autenticação
silenciosa no computador anfitrião ou nos seus browsers, consulte "Configurar a
autenticação silenciosa" na página 64.<<ocultar este xref porque este ficheiro é utilizado em
vários livros; no GI, consultar o anexo; nos guias de avaliação, consultar o GI>>
Sugestão
Guia de Instalação e Configuração do Centrify Cloud Management Suite
20
     
Requisitos
<<suportamos fidedignidades, em que os dispositivos pertencem a um domínio e os
utilizadores que possuem esses dispositivos pertencem a um domínio diferente? agora não;
partimos do princípio de que está tudo na mesma floresta>>
Browsers suportados
Esta versão do Centrify for Saas/Centrify for Mobile foi testada com os seguintes browsers:

Internet Explorer:
versão 8 no Windows XP – apenas para o portal de utilizador MyCentrify
 versão 9 e 10 no Windows 7 e no Windows Server 2008 R2
 versão 10 no Windows Server 2012 e Windows 8

Mozilla Firefox: versão 23 e posterior

Google Chrome: versão 28 e posterior

Apple Safari: versão 6
Para que a autenticação silenciosa funcione corretamente, alguns browsers necessitam de
uma configuração adicional. Consulte "Configurar a autenticação silenciosa" na página 64
para obter uma explicação.

Permissões do Active Directory necessárias
Para instalar e administrar o Centrify Cloud proxy server, a conta de utilizador que utiliza
para instalar o Centrify Cloud Management Suite tem de estar autorizada a modificar
permissões. Esta função é ativada nas Funcionalidades Avançadas de Utilizadores e
Computadores do Active Directory.
<<o erro 38243 refere a capacidade de instalação como administrador local, mas a
informação é confusa e pouco clara; pedir esclarecimentos a Johnson>>
Para adicionar as permissões necessárias a um utilizador ou grupo do Active Directory:
1 Em Utilizadores e Computadores do Active Directory, certifique-se de que ativou as
Funcionalidades Avançadas (Consulte > Funcionalidades Avançadas).
2 Abra as propriedades para o utilizador ou grupo desejado e clique no separador
Segurança.
3 No separador Segurança, clique em Avançadas.
4 Na caixa de diálogo Definições de Segurança Avançadas, clique em Adicionar.
5 Introduza o nome da conta de serviço ou utilizador que irá utilizar para executar o Cloud
Proxy server e clique em OK.
6 Na caixa de diálogo Introdução de permissão, clique em Permitir em "Modificar
Permissões" e clique em OK.
Capítulo 2 • Instalar e configurar o Centrify Cloud Management Suite
21
     
Instalar o Centrify Cloud Management Suite na sua rede
O separador Permissões da caixa de diálogo Definições de Segurança Avançadas
apresentará uma lista com o utilizador especificado e a capacidade de Modificar
Permissões.
7 Na caixa de diálogo Definições de Segurança Avançadas, clique em OK.
8 Na caixa de diálogo Propriedades, clique em OK.
Requisitos do servidor do Exchange
O bloqueio está disponível para os servidores do Exchange 2010 e do Office 365. Não está
disponível para os servidores do Exchange 2007. O SP1 tem de estar instalado nos
servidores do Exchange 2010.
Tem de ativar o PowerShell Remoto no servidor do Exchange ou do Office 365. Depois de
ativar o PowerShell Remoto, o servidor do Exchange cria uma aplicação de Serviços de
Informação Internet (IIS) denominada PowerShell. É necessário ativar um método de
autenticação para esta aplicação. (Por predefinição, não está selecionado nenhum método de
autenticação.) Siga este procedimento para ativar um método de autenticação para a
aplicação PowerShell.
O procedimento seguinte é necessário apenas para Servidores do Exchange. Se estiver
a utilizar um servidor do Office 365, ignore este procedimento.
Nota
Para ativar o método de autenticação para a aplicação PowerShell:
1 Inicie o Gestor de IIS.
2 No painel esquerdo, selecione Site > Web Site Predefinido > PowerShell.
3 No painel direito, selecione IIS > Autenticação, clique com o botão direito do rato,
clique e selecione Abrir Funcionalidade.
4 Selecione Autenticação do Windows ou Autenticação Básica, clique com o botão
direito do rato e selecione Ativar.
Se selecionar a Autenticação Básica, certifique-se de que seleciona a caixa de
verificação quando ativar o servidor do Exchange nas definições do Cloud Manager.
Nota
5 Faça uma cópia de segurança das suas definições originais. Neste caso, utilizaria um script
do PowerShell para extrair as definições originais.
Instalar o Centrify Cloud Management Suite na sua rede
O instalador do Centrify Cloud Management Suite instala o cloud proxy server e,
opcionalmente, as ferramentas de Gestão do Contentor Móvel baseada no Samsung KNOX
Active Directory num computador Windows na sua rede interna. Após a conclusão da
instalação, o instalador inicia o Assistente do Cloud Proxy Server Configuration para o
ajudar a configurar o cloud proxy server instalado.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
22
     
Instalar o Centrify Cloud Management Suite na sua rede
Para executar o instalador:
1 No computador anfitrião, execute o instalador do Centrify Cloud Management Suite
adequado ao seu sistema: Cloud-Mgmt-Suite-<version>-win32.exe para Windows de
32 bits ou Cloud-Mgmt-Suite-<version>-win64.exe para Windows de 64 bits.
Se a versão 4.0 ou superior do Microsoft .NET ainda não estiver instalada no seu
computador, o instalador instala-a por si. Após a instalação do .NET, reinicie o
computador e poderá continuar a instalação do Cloud Management Suite. <<é
necessário reiniciar?>>
2 No instalador do Centrify Cloud Management Suite, clique no ecrã de boas-vindas
(Seguinte) e no contrato de licença de utilizador final (caixa de verificação e Seguinte).
3 Na caixa de diálogo Configuração Personalizada, selecione os itens a instalar.
Se estiver a instalar o cloud proxy server, instale todos os componentes (a predefinição).
Se não estiver a instalar os componentes do administrador de dispositivos móveis ou de
políticas de grupo, desmarque a opção Centrify for Mobile.
Se estiver a instalar os componentes para os computadores dos administradores de
dispositivos móveis ou de políticas de grupo ou um servidor proxy de ativação pós-falha
(consulte "Instalar servidores proxy adicionais" na página 61 para saber mais sobre
servidores de ativação pós-falha), não instale todos os componentes. Em vez disso, instale
os componentes conforme as indicações abaixo:
 Para uma consola de administrador de dispositivos móveis: Selecione apenas a
Extensão de Consola de Utilizadores e Computadores do AD.
Uma consola de administrador de dispositivos móveis é um computador Windows
associado ao controlador de domínio utilizado por um administrador para gerir
dispositivos móveis através da utilização da funcionalidade Utilizadores e
Computadores do Active Directory e/ou do Centrify Cloud Manager.

Para uma consola de administrador de políticas de grupo de dispositivos móveis:
Selecione apenas a Extensão de Consola de Políticas de Grupo.
Capítulo 2 • Instalar e configurar o Centrify Cloud Management Suite
23
     
Instalar o Centrify Cloud Management Suite na sua rede

Uma consola de administrador de políticas de grupo de dispositivos móveis é um
computador Windows associado ao controlador de domínio utilizado por um
administrador para criar objetos de política de grupo para os dispositivos móveis com
o Editor de Gestão de Políticas de Grupo.
Para um cloud proxy server de ativação pós-falha: Selecione apenas o Cloud Proxy
Server. As ferramentas do Centrify for Mobile são opcionais.<<kh: não alterei este
CfM pois está na IU>>
4 Pode clicar em Procurar para especificar uma localização de instalação diferente.
Clique em Seguinte.
5 Na página Pronto para Instalar o Cloud Management Suite, clique em Instalar para
efetuar a instalação.
Se estiver a atualizar o servidor proxy, o instalador pede-lhe, neste momento, que
feche as aplicações que estão a utilizar ficheiros que precisam de ser atualizados. Selecione
a opção para fechar as aplicações e clique em OK.
Nota
6 Quando a instalação estiver concluída, mantenha Executar Teste de Ligação
selecionado e clique em Concluir.
É executado um teste de ligação para verificar se o servidor está ligado de forma correta
para que o servidor proxy seja executado. Se forem devolvidos erros, terá de os corrigir
antes de continuar.
7 Clique em Fechar para fechar a caixa de diálogo Teste de Ligação e, em seguida, é
iniciado o Assistente do Cloud Proxy Server Configuration.
Esta ação conclui a instalação do cloud proxy server e das extensões de consola. Se
instalou apenas as extensões de consola de Utilizadores e Computadores do AD ou de
políticas de grupo, já concluiu o processo. Se instalou o cloud proxy server, é necessário
configurá-lo.
Instalar o cloud proxy server
Utilize este procedimento apenas se estiver a instalar o cloud proxy server. O Assistente do
Cloud Proxy Server Configuration abre automaticamente.
Para executar novamente este assistente, clique em Voltar a Registar no separador Servidor
Proxy da aplicação Cloud Proxy Configuration. Esta ação volta a registar o seu servidor
proxy no Centrify cloud. <<o que queremos dizer sobre voltar a registar com um ID de
cliente diferente?>>
Para instalar o cloud proxy server utilizando o assistente de configuração:
1 Na página de Boas-vindas do Assistente do Cloud Proxy Server Configuration, clique em
Seguinte.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
24
     
Instalar o Centrify Cloud Management Suite na sua rede
2 Na página Configuração do Proxy, introduza o seu código de ativação monouso no campo
Código de Registo e clique em Seguinte.
Um único cloud proxy server é executado numa floresta em qualquer altura para
comunicar entre o Active Directory e o cloud service. No entanto, recomenda-se a
configuração de um ou vários servidores adicionais num ambiente de produção para
proporcionar uma ativação pós-falha caso o servidor em execução fique offline.
Nota
3 << PSB: Isto é mesmo necessário? Porquê? kh: adicionámos durante a versão beta porque
foi necessário alterar o endereço para nuvens beta; já não fazemos versões beta, mas saber
para que é utilizado o botão deve ser útil para eles, embora não me consiga lembrar de
um caso de utilização para o alterarem>>Na caixa de diálogo Definições Avançadas,
verifique se cloud.centrify.com está definido como o endereço do cloud service e
clique em OK.
4 Clique em Seguinte.
5 Na página Configuração do Proxy Web, se a sua rede tiver um servidor proxy Web que
pretende utilizar para a ligação ao Centrify cloud service, selecione a opção Utilizar um
servidor proxy Web....
Se não tiver um servidor proxy Web, clique em Seguinte sem selecionar a opção; o
cloud proxy server não estabelecerá ligação através do servidor proxy Web.
Se selecionou a opção do proxy Web, introduza as seguintes informações:
 Endereço O URL do servidor proxy Web.
 Porta O número de porta a utilizar para estabelecer ligação ao servidor proxy Web.
6 Clique em Seguinte para continuar.
<<o que acontece aqui? o que determina o que aparece aqui ou não?>>
Aparecerá o ecrã Configurar a Utilização Móvel.
7 Se for um utilizador do Centrify for Mobile, mantenha a opção selecionada para
Configurar o Centrify for Mobile e avance para "Configurar o Centrify for Mobile"
Capítulo 2 • Instalar e configurar o Centrify Cloud Management Suite
25
     
Instalar o Centrify Cloud Management Suite na sua rede
na página 26. Caso contrário, desmarque a opção e avance para "Concluir o Assistente do
Cloud Proxy Server Configuration" na página 28.<<isto é apresentado no guia de
Avaliação do Mobile e no guia de Instalação>>
8 Se for um utilizador do Centrify for Mobile, mantenha a opção selecionada para
Configurar o Centrify for Mobile. Caso contrário, desmarque a opção e avance para
"Concluir o Assistente do Cloud Proxy Server Configuration" na página 28.<<isto é
apresentado apenas no guia de Avaliação do SaaS>>
Configurar o Centrify for Mobile
Se selecionou a opção para Configurar o Centrify for Mobile, aparecerá a caixa de diálogo
Configurar a Utilização Móvel seguinte. Pode utilizar esta caixa de diálogo para indicar ao
cloud service que grupos de utilizadores do Active Directory podem inscrever dispositivos e
em que unidade organizacional devem ser armazenados os objetos de dispositivo desse
grupo. O grupo de utilizadores e a unidade organizacional são sempre especificados como
um par.
Por predefinição, o grupo de utilizadores é "Utilizadores do Domínio" e a unidade
organizacional é "Computadores". Isto significa que todos os utilizadores do Active
Directory podem inscrever dispositivos móveis e os objetos de dispositivo móvel são
armazenados na mesma unidade organizacional que os computadores do domínio.
Pode alterar o par predefinido e criar pares adicionais. Por exemplo, se pretender que
apenas um subconjunto dos utilizadores do seu domínio inscreva dispositivos e pretender
armazenar os objetos de dispositivo móvel numa unidade organizacional separada, poderá
criar um grupo e um contentor, como UtilizadoresMóveis e DispositivosMóveis, e editar a
predefinição. Se considerar que a criação de grupos mais pequenos de utilizadores facilitaria
a gestão de utilizadores e dispositivos, poderá adicionar mais grupos com o mesmo
contentor ou um contentor diferente para os objetos de dispositivo móvel.
A ativação de diferentes objetos de política de grupo para diferentes conjuntos de
dispositivos é outro dos motivos para criar grupos e contentores adicionais. Consulte
"Definir políticas de grupo de segurança" na página 30para saber mais sobre as políticas de
Guia de Instalação e Configuração do Centrify Cloud Management Suite
26
     
Instalar o Centrify Cloud Management Suite na sua rede
grupo dos dispositivos móveis do Centrify. Para atribuir diferentes objetos de política de
grupo, terá de utilizar unidades organizacionais para os contentores do dispositivo.
Crie uma unidade organizacional denominada "Dispositivos Móveis" e modifique
o par grupo-para-contentor predefinido para armazenar todos os objetos de dispositivo
móvel separadamente dos computadores do domínio. Assim, será mais fácil definir uma
política de grupo apenas para os seus dispositivos móveis.
Sugestão
Não é necessário definir todos os grupos e unidades organizacionais neste momento. Pode
utilizar o programa Centrify Cloud Proxy Server no seu servidor proxy para adicionar e
eliminar grupos de utilizadores de dispositivos móveis e os respetivos contentores. Consulte
"Configurar o cloud proxy server" na página 54 para obter a descrição deste programa.
Utilize o separador Definições Móveis para modificar os pares grupo-para-contentor.
Para modificar o par grupo e unidade organizacional predefinido:
1 Se o grupo e a unidade organizacional ainda não existirem, abra a funcionalidade
Utilizadores e Computadores do Active Directory e crie o grupo e a unidade
organizacional.
2 Adicione os utilizadores do dispositivo móvel ao grupo criado.
3 No ecrã Configurar a Utilização Móvel do Assistente do Cloud Proxy Service
Configuration, selecione o grupo predefinido e clique no botão Editar.
4 Na caixa de diálogo Modificar Grupo de Inscrição, clique em Procurar para selecionar o
grupo que criou.
5 Em seguida, clique em Procurar para selecionar o contentor.
6 Clique em OK.
7 Clique em Aplicar.
Quando os membros do grupo selecionado inscreverem os seus dispositivos, os objetos
de dispositivo serão armazenados no contentor selecionado.
8 Quando concluir o processo, clique em Fechar.
Para adicionar mais pares grupo-para-unidade organizacional:
1 Em Utilizadores e Computadores do Active Directory, crie a nova ou as novas unidades
organizacionais para os dispositivos móveis.
2 No ecrã Configurar a Utilização Móvel do Assistente do Cloud Proxy Service
Configuration, clique no botão Adicionar.
3 Para Grupo, selecione o botão Criar e selecione o contentor, introduza o nome do
grupo, selecione o âmbito (domínio local, global ou universal) e clique em OK.
4 Para Contentor, clique em Procurar e selecione o contentor criado para este grupo.
Capítulo 2 • Instalar e configurar o Centrify Cloud Management Suite
27
     
Instalar o Centrify Cloud Management Suite na sua rede
É possível emparelhar vários grupos com o mesmo contentor. No entanto, um
grupo pode ter apenas um contentor associado.
Nota
5 Clique em OK.
6 Quando concluir o processo de definição de pares, clique em Aplicar.
7 Clique em Fechar.
8 Adicione os utilizadores ao grupo criado.
Concluir o Assistente do Cloud Proxy Server Configuration
A caixa de diálogo A Iniciar o Cloud Proxy Server aparecerá enquanto o assistente regista o
proxy junto do Centrify cloud service e inicia o proxy. Quando a configuração e o arranque
estiverem concluídos, aparecerá a caixa de diálogo Configuração Concluída.
Clique em Concluir para sair do assistente.
Agora, o cloud proxy server está instalado e em execução. A aplicação Centrify cloud proxy
server configuration é iniciada automaticamente. No entanto, não é necessário efetuar
qualquer outra configuração.
Se pretender instalar servidores proxy adicionais em diferentes computadores anfitriões,
por exemplo, para proporcionar uma ativação pós-falha automática em caso de falha de um
servidor proxy, consulte Anexo B, “Instalar servidores proxy adicionais.”
<< PSB: Penso que o resto deste capítulo e o capítulo seguinte, Configurar o cloud proxy
server, deveriam ser fundidos num anexo. Este é um material de referência
fundamental.>>
Atualizar automaticamente o servidor proxy
Pode atualizar automaticamente o seu servidor proxy sem ser necessário executar um novo
instalador. O servidor proxy verifica regularmente a existência de atualizações e pode
executá-las automaticamente.
No entanto, se a aplicação Centrify Cloud Proxy Server Configuration estiver aberta, o
servidor proxy não poderá atualizar-se automaticamente. Neste caso, execute a atualização
manualmente.
Para atualizar o Cloud Proxy Server:
1 Abra a aplicação Centrify Cloud Proxy Configuration.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
28
     
Instalar o Centrify Cloud Management Suite na sua rede
2 Na parte inferior esquerda do painel Estado, clique com o botão direito do rato no ícone
de atualização e selecione Atualizar.
Clique com o botão direito do rato no ícone de atualização e
selecione Atualizar para atualizar manualmente o Cloud Proxy
Server.
O Cloud Proxy Server efetua a atualização e, em seguida, apresenta uma mensagem com
a indicação de que o software está atualizado. <<sugerir a reformulação de atualizado,
mas posteriormente>>
Capítulo 2 • Instalar e configurar o Centrify Cloud Management Suite
29
Capítulo 3
Definir políticas de grupo de segurança
Este capítulo apresenta as políticas de grupo do Centrify específicas para dispositivos móveis
e explica como defini-las num objeto de política de grupo. As políticas de grupo são
utilizadas para permitir aos utilizadores criar um contentor Samsung KNOX nos respetivos
dispositivos e a lista de permissões que autoriza as aplicações móveis, incluindo o Centrify,
a utilizar a funcionalidade de início de sessão único do contentor. Certifique-se de que
executa os procedimentos referidos no fim do presente capítulo para ativar os contentores
Samsung KNOX e criar listas de permissões.
O Cloud Management Suite inclui uma extensão de consola de políticas de grupo que
adiciona uma ampla variedade de políticas que pode utilizar na gestão dos dispositivos
móveis. A extensão de consola é instalada aquando da instalação do cloud proxy server.
Consulte a ajuda do Cloud Manager para obter uma tabela das políticas de grupo de
dispositivos móveis do Centrify com uma breve descrição.
Para utilizar estas políticas, abra o Editor de Gestão de Políticas de Grupo da Microsoft para
criar um objeto de política de grupo para os dispositivos móveis e ative as políticas
necessárias. Em seguida, deve ligar o objeto de política de grupo à unidade organizacional
do Active Directory que contém os dispositivos móveis.
É possível ativar políticas de grupo para diferentes tipos de dispositivos, por exemplo,
Android, iOS e Samsung SAFE, no mesmo objeto de política de grupo.
Nota
Os perfis de política de grupo encontram-se listados, em dispositivos Android, no ecrã
Configuração da aplicação móvel do Centrify e, em dispositivos iOS e OS-X, no ecrã
Geral/Perfis da aplicação Definições.
Descrição geral das políticas de grupo de dispositivos móveis
<<introduza o GroupPolicy-overview-shared.fm a partir da pasta DocsPartilhados>>
As políticas de grupo do Centrify cloud service são apresentadas com as políticas de grupo
da Configuração do Computador Windows ao abrir um objeto de política de grupo para
edição. A seguinte figura ilustra a lista das políticas de grupo dos dispositivos móveis do
Centrify apresentadas no Editor de Gestão de Políticas de Grupo.
30
     
Descrição geral das políticas de grupo de dispositivos móveis
Se as Definições do Centrify Cloud Management não forem apresentadas ao abrir o
Editor de Gestão de Políticas de Grupo, necessita de instalar a Extensão Consola de Políticas
de Grupo no seu computador. Consulte as instruções de instalação do Cloud Management
Suite para instalar a extensão de consola GPME.
Nota
O Centrify cloud proxy server cria um conjunto de políticas para dispositivos Android e
perfis para dispositivos iOS e computadores OS X e instala-os quando o utilizador inscreve o
dispositivo. Os perfis são atualizados automaticamente de forma periódica. Este intervalo de
consulta é definido no programa Cloud Proxy Server Configuration, no separador
Definições dos Dispositivos Móveis. Se efetuar muitas alterações (por exemplo, mais de
20), o servidor proxy poderá emitir as atualizações para os dispositivos em vários lotes, em
vez de o fazer de uma só vez. Também é possível emitir uma atualização imediata utilizando
os comandos da ferramenta Utilizadores e Computadores do Active Directory e do Cloud
Manager (consulte a ajuda do Cloud Manager).
Descrições da secção da política de grupo do Cloud Management Suite
As políticas do dispositivo móvel estão organizadas nos seguintes nós na secção Definições
do Centrify Cloud Management:

Definições dos Dispositivos Móveis Comuns: Políticas de grupo para dispositivos iOS ou
Android.
Capítulo 3 • Definir políticas de grupo de segurança
31
     
Utilizar as Definições dos Dispositivos Móveis Comuns

Definições do iOS: Políticas de grupo que apenas se aplicam aos dispositivos iOS.

Definições do OS X: Políticas de grupo apenas para computadores Macintosh.



Definições do Samsung KNOX: Políticas de grupo que se aplicam a aplicações e serviços
executados no contentor Samsung KNOX.
Definições do Samsung SAFE: Políticas de grupo para gerir um dispositivo Samsung
SAFE.
Definições do Touchdown: Uma política de grupo que utiliza para configurar as
comunicações do Exchange ActiveSync nos dispositivos Android que utilizam a aplicação
de correio eletrónico Touchdown.
As políticas de grupo do Samsung SAFE e KNOX requerem uma licença válida. Não é
possível ativar estas políticas a menos que tenha adquirido uma licença. Se a licença expirar,
as políticas de grupo permanecem ativadas. Contudo, depois de a licença expirar, não é
possível ativar políticas do Samsung SAFE ou KNOX adicionais nem pode alterar as
definições para quaisquer políticas que tenha ativado. A única alteração da política de grupo
do Samsung SAFE ou KNOX que poderá efetuar após a licença expirar é definir uma política
ativada para Não Configurada. Consulte "Apresentar o estado das suas licenças de
subscrição" na página 64 para determinar o estado da sua licença.
Nota
A parte restante deste capítulo apresenta as políticas do Samsung KNOX e informa-o sobre
como ativar as políticas da lista de permissões da aplicação e contentor. Para uma introdução
às restantes políticas, consulte a ajuda do Cloud Manager.
Utilizar as Definições dos Dispositivos Móveis Comuns
As tabelas seguintes resumem as políticas e os nós de políticas nas Definições dos
Dispositivos Móveis Comuns. Consulte o separador Explicar para obter as instruções de
configuração de cada política.
Políticas de grupo
Para fazê-lo
Encriptar/não encriptar o
armazenamento do dispositivo
Encripte automaticamente a área de armazenamento nos dispositivos
Android não SAFE.
Definições do Exchange ActiveSync Configure os perfis do Exchange ActiveSync relativamente às comunicações
de servidor e à sincronização de contas para dispositivos iOS.
Nota: Se tiver um servidor POP ou IMAP, utilize a política de grupo Definições
do iOS > Definições do correio em vez desta.
Definições de VPN
Configure os perfis da VPN para dispositivos iOS.
Definições de Wi-Fi
Configure os perfis de Wi-Fi para outros dispositivos iOS e Android que não os
dispositivos Samsung SAFE e Samsung KNOX.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
32
     
Utilizar as definições do iOS
Secções de políticas de grupo
Para fazê-lo
Definições do Código de Acesso
Defina as regras que regem a utilização do código de acesso – por exemplo, o
limite máximo de tentativas falhadas, o comprimento mínimo do código de
acesso e a longevidade máxima do código de acesso. Na maioria dos casos,
estas políticas aplicam-se a dispositivos iOS e Android, exceto para as políticas
com o prefixo do iOS.
Definições de Restrições
Defina as regras que regem a utilização das funcionalidades do dispositivo –
por exemplo, permitir ou proibir a utilização da câmara e revelar ou não
revelar a localização do dispositivo.
Utilizar as definições do iOS
As tabelas seguintes resumem as políticas e os nós de políticas nas Definições do iOS.
Consulte o separador Explicar para obter as instruções de configuração de cada política.
Políticas de grupo
Para fazê-lo
Definições do calendário
Sincronize os dados do calendário com os dispositivos iPad, iPhone e iPod
touch.
Definições dos contactos
Sincronize os dados de contacto com os dispositivos iPad, iPhone e iPod
touch.
Definições LDAP
Configure os perfis das informações dos contactos para as comunicações de
servidor LDAP para dispositivos iOS.
Definições de correio
Configure perfis de conta para servidores de correio IMAP e POP para
dispositivos iOS e OS X.
Secções de políticas de grupo
Para fazê-lo
Definições de Restrições
Defina as regras que regem a utilização das funcionalidades do dispositivo –
por exemplo, permitir ou proibir a utilização do Safari, do YouTube e do
Photos Stream e definir requisitos para cópias de segurança encriptadas e a
palavra-passe da iTunes Store.
Capítulo 3 • Definir políticas de grupo de segurança
33
     
Utilizar as Definições do OS X
Utilizar as Definições do OS X
As definições do OS X apenas se aplicam aos computadores Mac inscritos. A seguinte tabela
resume as políticas nas secções das Definições do OS X. Consulte o separador Explicar para
obter as instruções de configuração de cada política.
Definições de Restrições
Para fazê-lo
Aplicações
Defina as pastas a partir das quais os utilizadores podem ou não podem
iniciar aplicações.
Nota: Tem de ativar a política Restringir aplicações para definir as pastas
Multimédia
Ative ou desative o acesso do utilizador aos suportes de multimédia do
dispositivo – por exemplo, DVDs, discos externos e discos graváveis.
Preferências
Restrinja as preferências do sistema disponíveis para o utilizador.
Se tiver um dispositivo OS X inscrito no Centrify cloud service e adicionado ao seu
controlador de domínio utilizando o Centrify for Servers, pode ter perfis de segurança com
diferentes definições para a mesma política. (O Centrify for Servers é um SSO, um controlo
de acesso, uma solução de auditoria e uma autenticação no local para redes empresariais
Windows, Mac, UNIX e Linux mistas.) Por exemplo, a política para a utilização no local
poderia permitir o acesso ao DVD, enquanto a definição da política fora do local proibiria o
acesso ao DVD. Quando o dispositivo foi adicionado e inscrito, a definição da política para a
utilização no local sobrepõe-se à definição da política nas Definições do Centrify Cloud
Management quando o dispositivo está no local e fora do local.
Nota
Utilizar as Definições do Samsung KNOX
As políticas de grupo Definições do Samsung KNOX permitem que o utilizador crie uma
utilização do contentor Samsung KNOX e permitem a gestão das definições das aplicações
que apenas se aplicam quando o utilizador alternar para o contentor. Por exemplo, pode
configurar definições de restrições para o Exchange ActiveSync, VPN, correio IMAP/POP,
firewall e dispositivo separadas para o contentor Samsung KNOX.
As tabelas seguintes resumem as políticas e as secções das políticas nas Definições do
Samsung KNOX. Consulte o separador Explicar para obter as instruções de configuração de
cada política.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
34
     
Utilizar as Definições do Samsung KNOX
Depois da tabela, são fornecidos vários procedimentos que mostram como permitir que os
utilizadores criem um contentor Samsung KNOX e adicionem uma aplicação móvel a uma
lista de permissões.
Políticas de grupo
Para fazê-lo
Criar/Não criar contentor na
inscrição
Permita que o utilizador crie um contentor Samsung KNOX depois de o
utilizador inscrever o dispositivo.
Utilize o procedimento que se segue a esta tabela para ativar esta política.
Esta política não cria o contentor Samsung KNOX. Depois de a ativar e de a
definir para verdadeira, o dispositivo apresentará um ícone na barra de estado
depois de o utilizador inscrever o dispositivo. Se a definir para falsa, o ícone
não será apresentado depois da inscrição por parte do utilizador.
Em alternativa, pode permitir que o utilizador crie um contentor Samsung
KNOX utilizando os comandos das funcionalidades Utilizadores e
Computadores do Active Directory e Criar Contentor do Cloud Manager.
Além disso, os utilizadores podem, eles próprios, ativá-lo utilizando o
comando Criar Contentor do portal de utilizador Centrify.
Eliminar/Não eliminar o contentor << Esta não aparece no Comboio 6. Talvez tenha sido removida.>>
ao anular a inscrição
Elimine o contentor Samsung KNOX quando o utilizador ou o administrador
da nuvem anular a inscrição do dispositivo.
Todas as aplicações instaladas no contentor Samsung KNOX serão
desinstaladas e todos os ficheiros de dados serão perdidos quando o
contentor for eliminado.
Ativar/Não ativar o início
automático da VPN para pacotes
Inicie uma VPN automaticamente quando uma aplicação for iniciada.
Pode especificar várias VPN e pares de aplicações. Pode configurar cada VPN
na política Definições de VPN.
Definições do Exchange ActiveSync Configure os perfis do Exchange ActiveSync para as comunicações de servidor
e a sincronização de contas para a aplicação de correio eletrónico executada
no contentor Samsung KNOX.
Definições de IMAP/POP
Configure perfis de conta para servidores de correio IMAP e POP.
Estas definições apenas se aplicam à aplicação de correio executada no
contentor Samsung KNOX.
Definições de VPN
Configure os perfis da VPN.
Esta definição apenas se aplica às ligações VPN
Capítulo 3 • Definir políticas de grupo de segurança
35
     
Utilizar as Definições do Samsung KNOX
Secções de políticas de grupo
Para fazê-lo
Gestão de aplicações
Defina que aplicações podem utilizar o início de sessão único (SSO) e que
aplicações estão desativadas (proibidas).
Os dispositivos com Samsung KNOX incluem uma extensão SSO no sistema
operativo que fornece uma autenticação silenciosa para aplicações móveis
instaladas no contentor Samsung KNOX. Se tiver aplicações móveis que
utilizem a extensão SSO, tem de as adicionar a uma lista de permissões.
Nota: Caso pretenda que os seus utilizadores de dispositivos móveis instalem
a aplicação móvel Centrify no contentor KNOX, tem de ativar a política Lista
de permissões de aplicações e adicionar Centrify à lista. (A aplicação móvel
Centrify instalada no contentor KNOX permite que os utilizadores iniciem as
aplicações Web que implementa dentro do contentor KNOX.)
Definições do Browser
Controle o comportamento do browser – por exemplo, ative ou desative as
janelas de pop-up, os cookies e o JavaScript
Definições de Correio Eletrónico
Controle o comportamento da aplicação do correio eletrónico – por exemplo,
proíba a adição de novas contas e o reencaminhamento de correio eletrónico
através de uma conta pessoal.
Definições de Firewall
Configure as regras de permissão e de negação da iptable e a filtragem de
URLs.
Definições do Código de Acesso
Configure as regras que regem as propriedades dos códigos de acesso (por
exemplo, comprimento mínimo, ocorrência de caracteres e comprimento da
sequência) e a utilização (por exemplo, número de tentativas falhadas,
visibilidade e histórico)
Definições de Restrições
Permita ou proíba a utilização das funcionalidades do dispositivo, tais como a
câmara, a captura de ecrã e a "partilha em lista".
Ativar as políticas para criar o contentor Samsung KNOX e a lista de
permissões de SSO para Centrifyaplicações móveis
Caso pretenda utilizar o contentor KNOX e aplicações móveis que utilizem a extensão SSO
do Samsung KNOX, deve ativar as seguintes políticas de Definições do Samsung KNOX:

Criar/Não criar contentor na inscrição: Defina esta política para iniciar
automaticamente o produto de criação do contentor KNOX assim que o utilizador
inscrever o dispositivo.

Gestão de aplicações > Lista de permissões de aplicações: Depois de ativar esta política,
adicione todas as aplicações móveis que utilizam a extensão SSO e que os seus
utilizadores instalarão no contentor KNOX.
Não é necessário adicionar as aplicações móveis que não utilizam a extensão SSO à lista de
permissões.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
36
     
Utilizar as Definições do Samsung KNOX
Além disso, caso pretenda implementar aplicações Web para utilizadores e pretenda que
estes as possam iniciar a partir do interior do contentor KNOX, será necessário adicionar a
aplicação móvel Centrify à Lista de permissões de aplicações.
Para permitir que um utilizador crie um contentor Samsung KNOX:
Ative a política "Criar/Não criar contentor na inscrição" para pedir ao utilizador que crie
um contentor Samsung KNOX imediatamente depois de inscrever o dispositivo. Se não
utilizar esta política, poderá enviar um comando para o dispositivo no Cloud Manager para
iniciar o processo – consulte a ajuda do Cloud Manager para obter a descrição do comando.
Em alternativa, o utilizador também pode enviar um comando para o dispositivo (consulte a
ajuda do MyCentrify).
1 Abra o Editor de Gestão de Políticas de Grupo e selecione o objeto de política de grupo
que associou à unidade organizacional com os dispositivos Samsung KNOX.
2 Expanda a secção Definições do Centrify Cloud Management e selecione
Definições do Samsung KNOX.
3 Faça duplo clique em Criar/Não criar contentor na inscrição.
4 Selecione Ativada e Criar contentor na inscrição e clique em OK.
Para adicionar uma aplicação móvel à lista de permissões:
As aplicações móveis que instalar no contentor Samsung KNOX e que utilizarem a extensão
SSO do Samsung KNOX têm de estar na lista de permissões de aplicações.
1 Abra o Editor de Gestão de Políticas de Grupo e selecione o objeto de política de grupo
que associou à unidade organizacional com os dispositivos Samsung KNOX.
2 Expanda a secção Definições do Centrify Cloud Management para Definições
do Samsung KNOX > Gestão de Aplicações.
3 Faça duplo clique em Lista de permissões de aplicações.
4 Clique em Ativada e no botão Adicionar.
5 Introduza o nome do pacote para a aplicação e clique em OK.
O nome do pacote não é o nome da aplicação. Se estiver a instalar a aplicação a partir da
loja de aplicações do Samsung KNOX, pode obter o nome do pacote a partir do URL.
Por exemplo, no seguinte URL, o nome do pacote está a negrito.
https://play.google.com/store/apps/details?id=net.oxdb.AnaClock
Se estiver a instalar uma aplicação móvel interna, pergunte o nome do pacote ao
programador.
6 Clique em OK para sair da caixa de diálogo.
Capítulo 3 • Definir políticas de grupo de segurança
37
     
Utilizar as Definições do Samsung SAFE
Para adicionar o Centrify à lista de permissões SSO:
Ative a política de grupo Lista de permissões de aplicações e adicione a aplicação móvel
Centrify à lista de permissões para que os seus utilizadores possam iniciar as aplicações Web
que implementa dentro do contentor Samsung KNOX.
1 Abra o Editor de Gestão de Políticas de Grupo e selecione o objeto de política de grupo
que associou à unidade organizacional com os dispositivos Samsung KNOX.
2 Expanda a secção Definições do Centrify Cloud Management para Definições
do Samsung KNOX > Gestão de Aplicações.
3 Faça duplo clique em Lista de permissões de aplicações.
4 Clique em Ativada e no botão Adicionar.
5 Introduza o seguinte nome do pacote e clique em OK.
com.centrify.sso.myapps
6 Clique em OK para sair da caixa de diálogo.
Utilizar as Definições do Samsung SAFE
Utilize as políticas nesta secção para definir políticas de grupo que regem as comunicações
de VPN, Wi-Fi de dispositivos móveis e as comunicações do Exchange ActiveSync de
dispositivos que implementem o Samsung SAFE.
As políticas de grupo do SAFE foram introduzidas ao longo do tempo com cada nova versão
do software MDM do dispositivo. A versão do MDM exigida para a política de grupo é
apresentada nos textos que explicam as políticas. Para visualizar o número da versão do
MDM do dispositivo, abra as Propriedades do dispositivo em Utilizadores e Computadores
do Active Directory e selecione o separador Centrify Mobile. A versão é a versão do SDK
do MDM.
As tabelas seguintes resumem as políticas e os nós das políticas nas Definições do Samsung
SAFE. Consulte o separador Explicar para obter as instruções de configuração de cada
política.
Políticas de grupo
Para fazê-lo
Definições do Exchange ActiveSync Configure os perfis do Exchange ActiveSync para as comunicações de servidor
e a sincronização de contas para a aplicação de correio eletrónico executada
num dispositivo com o SAFE.
Definições de VPN
Configure os perfis da VPN para dispositivos SAFE.
Definições de Wi-Fi
Configure perfis de Wi-Fi para dispositivos SAFE.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
38
     
Utilizar as Definições do Touchdown
Secções de políticas de grupo
Para fazê-lo
Gestão de aplicações
Defina uma variedade de restrições de utilização de aplicações, incluindo
aplicações que o utilizador pode ou não instalar, iniciar ou parar, permissões
de aplicações e listas de permissões e listas de proibições de aplicações.
Definições de Bluetooth
Configurar a interface de Bluetooth do dispositivo
Definições de Inventário do
Dispositivo
Ative ou desative os registos do dispositivo (por exemplo, informações de
chamada, bytes de dados da rede de Wi-Fi e utilização a rede de dados).
Definições de Firewall
Configure as regras de permissão e de negação da iptable e a filtragem de
URLs.
Definições de palavra-passe
Defina as regras que regem a utilização de palavras-passe nos dispositivos
Samsung SAFE – por exemplo, cadeias de caracteres proibidas, aplicação de
um padrão de palavras-passe e número mínimo de caracteres alterados numa
nova palavra-passe. Este nó também inclui políticas que gerem outros
comportamentos relacionados com palavras-passe, incluindo a visibilidade
do bloqueio de ecrã e palavra-passe e a eliminação do armazenamento
externo caso o utilizador não consiga introduzir a palavra-passe correta.
Nota: Os requisitos predefinidos da Samsung configurados no dispositivo
podem ser mais rigorosos do que os valores que definiu no grupo Centrify. Se
definir um valor mais fraco, será aplicada a política mais rigorosa.
Definições de Restrições
Defina as regras que regem a utilização das funcionalidades do dispositivo.
Existe uma longa lista de políticas disponíveis para ativar ou desativar essas
funcionalidades, tais como o acesso ao Bluetooth, a utilização do Android e
do S Beam, a gravação de áudio e a funcionalidade da tecla página inicial.
Nota: A ativação ou desativação do Wi-Fi e da VPN é efetuada utilizando as
políticas nesta secção de políticas de grupo. Contudo, os perfis do Wi-Fi e da
VPN definem-se em nós separados.
Definições de Roaming
Ative ou desative o funcionamento do dispositivo em modo de roaming.
Definições de Segurança
Ative ou desative a inscrição com um servidor MDM e encripte ou não
encripte o armazenamento externo.
Definições de VPN
Configure para permitir apenas ligações VPN IPsec ou SSL/TLS.
Definições de Wi-Fi
Configure uma grande variedade de privilégios de utilizador e propriedades
do ponto de acesso da rede de Wi-Fi.
Utilizar as Definições do Touchdown
Utilize estas Definições do Exchange ActiveSync para definir o perfil do Exchange
ActiveSync em dispositivos Android que utilizem a aplicação Touchdown para fazer a
interface com os servidores do Exchange.
Capítulo 3 • Definir políticas de grupo de segurança
39
     
Ativar políticas
Ativar políticas
Para definir as políticas de grupo para os seus dispositivos móveis, ative as definições das
políticas dos dispositivos móveis num objeto de política de grupo (GPO) existente ou crie
um novo GPO especificamente para dispositivos móveis. Em qualquer caso, certifique-se de
que o GPO está associado à unidade organizacional do Active Directory que contém os
dispositivos móveis inscritos.
Pode ter uma mistura de políticas semelhantes (por exemplo, políticas de configuração do
Exchange ActiveSync e do Wi-Fi) que se aplicam a diferentes tipos de dispositivos no
mesmo GPO. A aplicação do Centrify cloud service executada no dispositivo pode
identificar as políticas que se aplicam a esse tipo de dispositivo.
A única situação na qual necessita de um GPO separado para um tipo de dispositivo é se
necessitar de definir a mesma política de forma diferente para diferentes conjuntos de
dispositivos semelhantes. Por exemplo, se tiver um grupo de dispositivos iOS que
necessitem que as definições do Exchange ActiveSync estejam configuradas de uma forma e
outro grupo que necessite de uma definição do Exchange ActiveSync diferente, terá de
colocar cada grupo numa unidade organizacional separada.
Por predefinição, todas as políticas de grupo do Centrify têm a definição "Não
Configurada". Uma política pode ser definida para "Ativada", "Verdadeira", "Falsa" ou
"Desativada". Estas definições estão configuradas da seguinte forma:

Não Configurada: Se mantiver o estado desta política, o dispositivo permanecerá na
sua predefinição até que o utilizador (utilizando a aplicação Definições do dispositivo,
por exemplo) ou um objeto de política de grupo (por exemplo, um GPO associado a
uma unidade organizacional principal) a modifique. A predefinição pode ser diferente
para fornecedores de dispositivos diferentes.


Desativada: Ao definir a política para este estado, o dispositivo reverte para a sua
predefinição, independentemente das definições configuradas pelo utilizador ou por um
GPO principal. A predefinição pode ser diferente para fornecedores de dispositivos
diferentes.
Ativada: Isto significa que ativou a definição desta propriedade do dispositivo.
Contudo, "Ativada" tem diferentes opções, dependendo da política. Para muitas
políticas, significa que está a "ligar" esta funcionalidade e a definir as propriedades que
regem a sua utilização. Por exemplo, "Ativa" o histórico de códigos de acesso para que o
dispositivo guarde os códigos de acesso ao longo do tempo e, em seguida, define a
quantidade de códigos de acesso que pretende guardar. Para outras políticas, ativa a
política e, em seguida, determina se é "Verdadeira" ou "Falsa". A definição "Verdadeira"
ou "Falsa" está normalmente associada às políticas de Restrições que permitem ou
proíbem uma funcionalidade ou comportamento.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
40
     


Configurar perfis das Definições do Exchange ActiveSync
Verdadeira: Isto significa que vai impor a política e que vai permiti-la. Por exemplo, ao
ativar a política de acesso ao Bluetooth está a dizer "Importo-me acerca desta política" e
define-a como "Verdadeira" para permiti-la.
Falsa: Isto significa que vai impor esta política e que não vai permiti-la. Por exemplo, ao
ativar a política de acesso ao Bluetooth está a dizer "Importo-me acerca desta política" e
define-a como "Falsa" para impedir que o utilizador utilize o Bluetooth.
Se definiu políticas dos dispositivos móveis na Política Predefinida de Domínio ou criou
unidades organizacionais hierárquicas para os seus dispositivos móveis e associou diferentes
GPOs a cada unidade organizacional, utilize a seguinte tabela para determinar qual a
definição da política que está em vigor:
Definição para os Pais
Definição para as
Crianças
Ativado
Desativado
Não Configurada
Ativado
Ativado
Ativado
Ativado
Desativado
Desativado
Desativado
Desativado
Não Configurada
Ativado
Desativado
Não Configurada
Para ativar uma definição de política de grupo do Centrify:
1 Selecione o objeto de política de grupo, clique com o botão direito do rato e selecione
Editar para abrir o Editor de Gestão de Políticas de Grupo.
2 Faça duplo clique na definição e selecione Ativada.
3 Selecione as opções e introduza ou selecione os valores necessários.
4 Clique em OK ou Aplicar para guardar a definição.
Se tiver vários tipos de dispositivos no mesmo objeto de política de grupo, terá de definir
algumas políticas, tais como políticas de configuração do Exchange ActiveSync, VPN e WiFi, em separado para cada dispositivo. Por exemplo, terá de definir as Definições do
Exchange ActiveSync separadamente se a unidade organizacional contiver dispositivos iOS,
Samsung SAFE e Touchdown.
Configurar perfis das Definições do Exchange ActiveSync
Utilize a política Definições do Exchange ActiveSync para configurar perfis de conta
do Exchange que são transferidos para dispositivos pelo Centrify cloud service. Cada perfil
define as propriedades de sincronização e segurança atribuídas a um servidor do Exchange
ActiveSync específico.
Configure o perfil do servidor do Exchange ActiveSync separadamente para cada tipo de
dispositivo na unidade organizacional associada ao GPO. Por exemplo, se o GPO estiver
associado a uma unidade organizacional que tem dispositivos com SAFE, dispositivos
Capítulo 3 • Definir políticas de grupo de segurança
41
     
Configurar perfis das Definições do Exchange ActiveSync
Samsung KNOX, dispositivos iOS e dispositivos que utilizem o Touchdown, defina perfis
nos seguintes nós:

Definições dos Dispositivos Móveis Comuns – para os dispositivos iOS que utilizam
servidores do Exchange ActiveSync.
Se tiver um servidor POP ou IMAP para o seu correio eletrónico iOS, não utilize
esta política de grupo. Se tiver um servidor POP ou IMAP, utilize a política de grupo
Definições do iOS > Definições de correio.
Definições do Samsung KNOX – para dispositivos com um contentor Samsung KNOX
Nota



Definições do Samsung SAFE – para dispositivos com o Samsung SAFE
Definições do Touchdown – para dispositivos que utilizem o Touchdown para comunicar
com o servidor do Exchange ActiveSync
Se um dispositivo estiver ligado a mais do que um servidor do Exchange, terá de criar um
perfil separado para cada servidor.
Não crie vários perfis para uma plataforma (iOS, Samsung SAFE, Samsung KNOX ou
Touchdown) no mesmo objeto de política de grupo, a menos que cada perfil se aplique a um
servidor do Exchange diferente.
Nota
Utilize as instruções que se seguem para ativar as políticas do Exchange ActiveSync para os
seus dispositivos.

Para dispositivos iOS: "Ativar as Definições do Exchange ActiveSync Básicas" na
página 42


Para dispositivos Samsung SAFE: "Ativar as Definições do Exchange ActiveSync do
Samsung SAFE" na página 44
Para dispositivos Android que utilizem o Touchdown: "Ativar as Definições do Exchange
ActiveSync com TouchDown" na página 47
Ativar as Definições do Exchange ActiveSync Básicas
Utilize esta política para ativar o Exchange ActiveSync apenas para dispositivos iOS. Depois
de o Centrify cloud service atualizar o dispositivo iOS com as novas definições do Exchange
ActiveSync, será pedida uma palavra-passe aos utilizadores para perfis do servidor do
Exchange ActiveSync novos ou atualizados.
Para dispositivos iOS, os utilizadores deverão remover manualmente um perfil de
conta do Correio do Exchange ActiveSync existente antes da inscrição do dispositivo. (Se o
perfil existente especificar o mesmo servidor do Exchange, não será possível instalar o perfil
do Centrify.) Será pedida uma nova palavra-passe aos utilizadores dos dispositivos iOS para
perfis do Exchange ActiveSync novos ou atualizados.
Nota
Guia de Instalação e Configuração do Centrify Cloud Management Suite
42
     
Configurar perfis das Definições do Exchange ActiveSync
Para criar um Perfil do Exchange para dispositivos iOS:
1 Abra o objeto de política de grupo para edição associado à unidade organizacional com os
dispositivos iOS.
2 No Editor de Gestão de Políticas de Grupo, faça duplo clique em Definições dos
Dispositivos Móveis Comuns > Definições do Exchange ActiveSync.
Esta ação abre a caixa de diálogo Propriedades das Definições do Exchange
ActiveSync.
3 Selecione Ativada para ativar a política.
4 Clique no botão Adicionar para mostrar a caixa de diálogo Perfil do Exchange.
Utilize a seguinte tabela para preencher os campos e ativar os elementos do protocolo:
Definição
O que fazer
Nome do perfil
Introduza um nome para o perfil. O nome tem de ser exclusivo e não pode
duplicar outros nomes de perfis do Exchange ActiveSync, incluindo nomes
utilizados nos perfis do Exchange para outros dispositivos.
Anfitrião do Exchange ActiveSync
Introduza o URL de um servidor do Exchange ao qual um dispositivo poderá
estabelecer ligação Poderá especificar um URL num domínio diferente do
domínio onde está localizado o servidor proxy.
Utilizar SSL
Selecione esta caixa de verificação para exigir que um dispositivo utilize
uma ligação SSL para o servidor do Exchange.
Utilize o Nome Principal de
Se a conta de utilizador do Active Directory não tiver um endereço de
Utilizador (UPN) se não houver um correio eletrónico especificado, esta definição especifica a utilização do UPN
endereço de correio eletrónico
como o endereço de correio eletrónico. Se esta opção não estiver
selecionada e a conta de utilizador do Active Directory não tiver um
endereço de correio eletrónico, o dispositivo não receberá o perfil do
Exchange ActiveSync.
Domínio de autenticação
Capítulo 3 • Definir políticas de grupo de segurança
Introduza o domínio de autenticação se for diferente do domínio dos
utilizadores do Active Directory com dispositivos inscritos. Por exemplo, os
seus utilizadores do AD podem estar em acme.com, mas os utilizadores do
ActiveSync são autenticados através de subdomínios como qa.acme.com e
eng.acme.com ou através de um domínio alojado como gmail.com ou
Office 365. Se especificar um domínio de autenticação, também terá de
introduzir um valor em "Nome de utilizador" para especificar qual o
atributo de utilizador que deve ser usado para identificar a conta do
utilizador para a autenticação.
43
     
Configurar perfis das Definições do Exchange ActiveSync
Definição
O que fazer
Nome de utilizador
Introduza um atributo variável para especificar nomes de utilizador se
estiver a utilizar um domínio de autenticação separado. Poderá especificar
qualquer atributo do Active Directory, mas os atributos mais úteis para o
utilizador são aqueles que contêm o nome do utilizador, tais como
userPrincipalName e samAccountName. Por exemplo, para
especificar o samAccountName:
%{samAccountName}
Quando um utilizador inscreve um dispositivo, o Centrify cloud service
contacta o Active Directory para resolver o valor do atributo do nome de
utilizador e também prefixa o domínio de autenticação e uma barra
invertida ao nome. Por exemplo, o cloud service resolve os três atributos
seguintes para gmail.com\j.weeks:
Utilizador do Active Directory: [email protected]
Domínio de autenticação: gmail.com
Atributo variável: %{samAccountName}
Dias passados de correio a
sincronizar
Selecione quantos dias de correio eletrónico anteriores (calculados a partir
da data e hora atuais) pretende sincronizar com o dispositivo. As opções
incluem Sem Limite (todo o correio armazenado para a conta no servidor
do Exchange é sincronizado), 1 dia, 3 dias, 1 semana, 2 semanas ou 1 mês.
Fornecer o certificado de cliente
Selecione para que o Centrify cloud proxy server tente obter um certificado
para o utilizador a partir do servidor de AC do domínio e inclui-lo no perfil
do Exchange. Se não for selecionado, o certificado não será incluído no
perfil.
Impedir que a mensagem seja
movida
Selecione para impedir que outras aplicações num dispositivo iOS movam
mensagens de correio eletrónico desta conta do Exchange para outras
contas do Exchange através do dispositivo iOS.
Não permitir utilização da conta
por terceiros
Selecione para impedir que outras aplicações num dispositivo iOS enviem
correio através desta conta do Exchange.
Desativar sincronização de
endereços recentes
Selecione para impedir que dois dispositivos que utilizam a mesma conta
de correio eletrónico sincronizem os endereços de correio eletrónico
recentemente utilizados. Se esta caixa não estiver marcada (predefinição),
os endereços de correio eletrónico recentemente utilizados serão
automaticamente sincronizados entre os dois dispositivos.
Ativar S/MIME
Selecione para ativar o envio de mensagens de correio eletrónico seguras.
Se selecionar esta opção, o remetente terá de ter o certificado do
destinatário (para a chave pública). Se o destinatário estiver na lista de
contactos ou na lista de endereços geral do remetente, o iOS obterá o
certificado do destinatário automaticamente. Se o destinatário não for uma
conta do Exchange ou não estiver no ambiente do Exchange do remetente,
o certificado do destinatário terá de estar no dispositivo.
Ativar as Definições do Exchange ActiveSync do Samsung SAFE
Utilize esta política para ativar o Exchange ActiveSync para dispositivos Android com SAFE
API MDM 3.0 ou superior.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
44
     
Configurar perfis das Definições do Exchange ActiveSync
Se um dispositivo tiver o Touchdown instalado, as políticas do SAFE ativadas e perfis
definidos em separado, o perfil das políticas do SAFE prevalecerá e o perfil do Touchdown
será ignorado.
Nota
Para criar um Perfil do Exchange para dispositivos Samsung SAFE:
1 Abra o objeto de política de grupo para edição associado à unidade organizacional com os
dispositivos iOS.
2 No Editor de Gestão de Políticas de Grupo, faça duplo clique em Definições do
Samsung SAFE > Definições do Exchange ActiveSync.
Esta ação abre a caixa de diálogo Propriedades das Definições do Exchange
ActiveSync.
3 Selecione Ativada para ativar a política.
4 Clique no botão Adicionar para mostrar a caixa de diálogo Perfil do Exchange.
O perfil tem vários separadores com opções para ativar e campos para preencher. Utilize
as seguintes tabelas para obter instruções sobre o separador correspondente.
Separador do servidor.
Definição
O que fazer
Nome do perfil
Introduza um nome para o perfil. O nome tem de ser exclusivo e não pode
duplicar qualquer outro nome de perfil do Exchange ActiveSync.
Anfitrião do Exchange ActiveSync
Introduza o URL de um servidor do Exchange ao qual um dispositivo poderá
estabelecer ligação Poderá especificar um URL num domínio diferente do
domínio onde está localizado o servidor proxy.
Utilize SSL (Secure Sockets Layer)
Selecione para exigir que o dispositivo utilize uma ligação SSL para o
servidor do Exchange.
Utilize a TLS (Transport Layer
Security)
Selecione para exigir que o dispositivo utilize uma ligação TLS para o
servidor do Exchange.
Aceitar todos os certificados
relacionados com SSL
Selecione para aceitar todos os certificados relacionados com SSL
Utilize o Nome Principal de
Selecione para utilizar o UPN como o endereço de correio eletrónico se a
Utilizador (UPN) se não houver um conta de utilizador do Active Directory não tiver um endereço de correio
endereço de correio eletrónico
eletrónico especificado. Se esta definição estiver selecionada e a conta de
utilizador do Active Directory não tiver um endereço de correio eletrónico, o
dispositivo não recebe o perfil do Exchange ActiveSync.
Capítulo 3 • Definir políticas de grupo de segurança
45
     
Configurar perfis das Definições do Exchange ActiveSync
Definição
O que fazer
Domínio de autenticação
Introduza o domínio de autenticação se for diferente do domínio dos
utilizadores do Active Directory com dispositivos inscritos. Por exemplo, os
seus utilizadores do AD podem estar em acme.com, mas os utilizadores do
ActiveSync são autenticados através de subdomínios como qa.acme.com e
eng.acme.com ou através de um domínio alojado como gmail.com ou
Office 365. Se especificar um domínio de autenticação, também terá de
introduzir um valor em "Nome de utilizador" para especificar qual o
atributo de utilizador que deve ser usado para identificar a conta do
utilizador para a autenticação.
Nome de utilizador
Introduza um atributo variável para especificar nomes de utilizador se
estiver a utilizar um domínio de autenticação separado. Pode especificar
qualquer atributo do Active Directory, mas os mais úteis para o utilizador
são aqueles que contêm o nome do utilizador, tais como
userPrincipalName e samAccountName. Por exemplo, para
especificar o samAccountName:
%{samAccountName}
Quando um utilizador inscreve um dispositivo, o Centrify cloud service
contacta o Active Directory para resolver o valor do atributo do nome de
utilizador e também prefixa o domínio de autenticação e uma barra
invertida ao nome. Por exemplo, o cloud service resolve os três atributos
seguintes:
Utilizador do Active Directory: [email protected]
Domínio de autenticação: gmail.com
Atributo variável: %{samAccountName}
para
gmail.com\j.weeks
Fornecer o certificado de cliente
Selecione para que o Centrify cloud proxy server tente obter um certificado
para o utilizador a partir do servidor de AC do domínio e inclui-lo no perfil
do Exchange.
Separador Exchange ActiveSync
Definição
O que fazer
Tamanho da obtenção do correio
eletrónico
Utilize a lista pendente para selecionar o tamanho máximo.
Período para sincronizar o correio
eletrónico
Utilize a lista pendente para selecionar o tempo máximo.
Período para sincronizar o
calendário
Utilize a lista pendente para selecionar o tempo máximo.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
46
     
Configurar perfis das Definições do Exchange ActiveSync
Separador Agenda de Sincronização
Definição
O que fazer
Dias de ponta
Selecione os dias nos quais pretende sincronizar os dispositivos com o
servidor.
Início da hora de ponta
Selecione a hora do dia para o início do período de sincronização.
Fim da hora de ponta
Selecione a hora do dia para o fim do período de sincronização.
Agenda do período de ponta
Selecione Push, Manual ou um período de tempo.
Agenda fora do período de ponta
Selecione Push, Manual ou um período de tempo
Em roaming
Selecione as definições atuais ou as definições manuais para as
propriedades de sincronização quando o dispositivo estiver em roaming.
Geral
Definição
O que fazer
Definir como conta predefinida
Selecione para especificar que o nome de utilizador no separador Servidor é
a conta predefinida do utilizador.
Adicionar assinatura
Selecione para adicionar uma assinatura. Introduza a assinatura na caixa.
Sincronização...
Selecione os dados que pretende sincronizar.
Notificar o utilizador ao receber
uma nova mensagem de correio
eletrónico
Selecione se pretender que o utilizador seja notificado sempre que uma
nova mensagem de correio eletrónico seja enviada para a conta.
Notificação
Selecione quando pretende que o dispositivo vibre.
Ativar as Definições do Exchange ActiveSync com TouchDown
Utilize esta política para ativar o Exchange ActiveSync em dispositivos Android que utilizem
a aplicação do Touchdown.
Se um dispositivo tiver o Touchdown instalado, as políticas do SAFE ativadas e perfis
definidos em separado, o perfil das políticas do SAFE prevalecerá e o perfil do Touchdown
será ignorado.
Nota
Para criar um Perfil do Exchange para dispositivos Android que executem o Touchdown:
1 Abra o objeto de política de grupo para edição associado à unidade organizacional com os
dispositivos Android.
2 No Editor de Gestão de Políticas de Grupo, faça duplo clique em Definições do
Touchdown > Definições do Exchange ActiveSync.
Esta ação abre a caixa de diálogo Propriedades das Definições do Exchange
ActiveSync.
3 Selecione Ativada para ativar a política.
Capítulo 3 • Definir políticas de grupo de segurança
47
     
Configurar perfis das Definições do Exchange ActiveSync
4 Clique no botão Adicionar para mostrar a caixa de diálogo Perfil do Exchange.
Utilize a seguinte tabela para preencher os campos e selecionar as propriedades.
Definição
O que fazer
Nome do perfil
Introduza um nome para o perfil. O nome tem de ser exclusivo e não pode
duplicar qualquer outro nome de perfil do Exchange ActiveSync.
Anfitrião do Exchange ActiveSync
Introduza o URL de um servidor do Exchange ao qual um dispositivo poderá
estabelecer ligação Poderá especificar um URL num domínio diferente do
domínio onde está localizado o servidor proxy.
Utilize o Nome Principal de
Se a conta de utilizador do Active Directory não tiver um endereço de
Utilizador (UPN) se não houver um correio eletrónico especificado, esta definição especifica a utilização do UPN
endereço de correio eletrónico
como o endereço de correio eletrónico. Se esta opção não estiver
selecionada e a conta de utilizador do Active Directory não tiver um
endereço de correio eletrónico, o dispositivo não receberá o perfil do
Exchange ActiveSync.
Domínio de autenticação
Introduza o domínio de autenticação se for diferente do domínio dos
utilizadores do Active Directory com dispositivos inscritos. Por exemplo, os
seus utilizadores do AD podem estar em acme.com, mas os utilizadores do
ActiveSync são autenticados através de subdomínios como qa.acme.com e
eng.acme.com ou através de um domínio alojado como gmail.com ou
Office 365. Se especificar um domínio de autenticação, também terá de
introduzir um valor em "Nome de utilizador" para especificar qual o
atributo de utilizador que deve ser usado para identificar a conta do
utilizador para a autenticação.
Nome de utilizador
Introduza um atributo variável para especificar nomes de utilizador se
estiver a utilizar um domínio de autenticação separado. Pode especificar
qualquer atributo do Active Directory, mas os atributos mais úteis para os
utilizadores são aqueles que contêm o nome do utilizador, tais como
userPrincipalName e samAccountName. Por exemplo, para
especificar o samAccountName:
%{samAccountName}
Quando um utilizador inscreve um dispositivo, o Centrify cloud service
contacta o Active Directory para resolver o valor do atributo do nome de
utilizador e também prefixa o domínio de autenticação e uma barra
invertida ao nome. Por exemplo, o cloud service resolve os três atributos
seguintes para gmail.com\j.weeks:
Utilizador do Active Directory: [email protected]
Domínio de autenticação: gmail.com
Atributo variável: %{samAccountName}
Dias passados de correio a
sincronizar
Selecione quantos dias de correio eletrónico anteriores (calculados a partir
da data e hora atuais) pretende sincronizar com o dispositivo. As opções
incluem Sem Limite (todo o correio armazenado para a conta no servidor
do Exchange é sincronizado), 1 dia, 3 dias, 1 semana, 2 semanas ou 1 mês.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
48
     
Configurar perfis de definições de VPN
Configurar perfis de definições de VPN
Utilize a política Definições de VPN para configurar perfis que são transferidos para
dispositivos pelo Centrify cloud service. Cada perfil define um nome da ligação, o nome do
servidor, o tipo de VPN (PPTP, IPsec, VPN de terceiros) e as propriedades.
Configure o perfil do servidor da VPN separadamente para cada tipo de dispositivo na
unidade organizacional associada ao GPO. Por exemplo, se o GPO estiver associado a uma
unidade organizacional que tem dispositivos com SAFE, dispositivos Samsung KNOX,
dispositivos iOS, defina perfis nos seguintes nós:

Definições dos Dispositivos Móveis Comuns – para os dispositivos iOS.

Definições do Samsung KNOX – para dispositivos com um contentor Samsung KNOX.

Definições do Samsung SAFE – para dispositivos com o Samsung SAFE.
Não defina vários perfis para o mesmo servidor de VPN para o mesmo tipo de dispositivo.
As Definições do Samsung SAFE fornecem uma política de grupo separada através da qual
pode especificar se permite ou não ligações VPN IPsec e SSL/TLS.
Ativar a política de VPN nas Definições dos Dispositivos Móveis Comuns
Para ativar a política de VPN para dispositivos iOS:
1 Abra o objeto de política de grupo para edição associado à unidade organizacional com os
dispositivos iOS.
2 No Editor de Gestão de Políticas de Grupo, faça duplo clique em Definições dos
Dispositivos Móveis Comuns > Definições da VPN.
Esta ação abre a caixa de diálogo Propriedades das Definições de VPN.
3 Selecione Ativada para ativar a política.
4 Clique no botão Adicionar para mostrar a caixa de diálogo Perfil da VPN.
O perfil tem vários separadores. Utilize as seguintes tabelas para preencher os campos e
selecionar as propriedades.
Separador Geral
Definição
O que fazer
Nome da Ligação
Introduza um nome para o perfil. O nome tem de ser exclusivo e não pode
duplicar qualquer outro nome de perfil de VPN.
Servidor
Introduza o URL do servidor de VPN ao qual os dispositivos móveis
estabelecem ligação.
Separador Segurança: No separador Segurança, defina o tipo de VPN: PPTP, IPsec
ou Terceiros. Os parâmetros que necessita de introduzir dependem do seu tipo de VPN.
Capítulo 3 • Definir políticas de grupo de segurança
49
     
Configurar perfis de definições de VPN
Separador PPTP
Definição
O que fazer
Tipo de VPN: PPTP
Selecione esta opção se a sua VPN utilizar PPTP.
Este tipo de VPN não suporta a autenticação PKI.
Autenticação de Utilizador
Selecione uma das seguintes opções para especificar o modo como o
proprietário do dispositivo móvel autentica para o servidor de VPN:
• Palavra-passe Requer um nome de conta de utilizador e uma palavra-passe.
• RSA SecurID Requer um valor RSA SecurID.
Nível de encriptação
Especifique o nível de encriptação da ligação selecionando uma das seguintes
opções da lista pendente:
• Nenhum Sem encriptação.
• Automático O servidor estabelece o nível de encriptação.
• Máximo (128 bits) Encriptação de 128 bits.
Enviar Todo o Tráfego
Selecione esta opção para exigir que todo o tráfego de rede passe pela ligação
VPN. Remova a seleção para permitir que o tráfego de rede passe pela ligação
VPN e por qualquer outra ligação do dispositivo.
Separador IPsec
Definição
O que fazer
Tipo de VPN: IPsec (Cisco)
Selecione esta opção se a sua VPN utilizar IPsec (Cisco). Com este tipo de VPN, a
autenticação PKI é suportada em dispositivos iOS que utilizam o cliente VPN
nativo iOS. Não é necessária qualquer transferência em separado a partir da
Apple App Store.
Tipo de autenticação
Selecione uma das seguintes opções para especificar o modo como o
proprietário do dispositivo móvel autentica para o servidor de VPN:
• Certificado
• Segredo Partilhado/Nome do Grupo
Incluir PIN de Utilizador
Apenas para a autenticação Certificado: Selecione esta opção para incluir o PIN
de utilizador com o certificado
Nome do Grupo
Apenas para a autenticação Segredo Partilhado/Nome do Grupo: Introduza o
nome do grupo a utilizar se os utilizadores autenticarem os seus dispositivos
através de um segredo partilhado e de um nome do grupo.
Segredo Partilhado
Apenas para a autenticação Segredo Partilhado/Nome do Grupo: Introduza o
texto do segredo partilhado se os utilizadores autenticarem os seus
dispositivos através de um segredo partilhado e de um nome do grupo.
Utilizar a Autenticação Híbrida
Apenas para a autenticação Segredo Partilhado/Nome do Grupo com o Nome
do Grupo: Selecione esta opção para incluir um certificado com a autenticação
segredo partilhado/nome do grupo.
Pedir Palavra-passe
Apenas para a autenticação Segredo Partilhado/Nome do Grupo com o Nome
do Grupo: Selecione esta opção para pedir uma palavra-passe ao utilizador
durante a autenticação.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
50
     
Configurar perfis de definições de VPN
Separador Terceiros
Definição
O que fazer
Tipo de VPN: VPN de Terceiros
Utilize esta opção se a sua VPN utilizar um dos produtos da lista pendente Tipo
de Ligação.
Nota: A utilização de uma VPN de terceiros num dispositivo iOS exige a
transferência de uma aplicação VPN em separado da Apple App Store.
Tipo de Ligação
Selecione um dos seguintes:
• Cisco AnyConnect
• Juniper SSL
• F5 SSL
• SonicWALL Mobile Connect
• Aruba VIA
Os campos adicionais que necessita de preencher dependem do Tipo de
Ligação selecionado.
Autenticação de Utilizador
Para todos os tipos: Selecione uma das seguintes opções para especificar o
modo como o proprietário do dispositivo móvel autentica para o servidor de
VPN:
• Palavra-passe: Requer um nome de conta de utilizador e uma palavra-passe.
• Certificado: Requer um certificado PKI.
Grupo
Apenas Cisco: Introduza o nome do grupo utilizado para a autenticação
(opcional).
Realm
Apenas Juniper SSL: Introduza o nome do realm utilizado para a autenticação
(opcional).
Função
Apenas Juniper SSL: Introduza o nome do perfil utilizado para autenticação
(opcional).
Domínio ou Grupo de Início de
Sessão
Apenas SonicWALL Mobile Connect: Introduza o nome do domínio ou grupo
de início de sessão a utilizar para a autenticação (opcional).
Separador Proxy: Apenas necessita de configurar estas definições se a VPN exigir o
encaminhamento através de um servidor proxy:
Definição
O que fazer
Configuração do proxy
Selecione uma das seguintes opções da lista pendente para especificar o tipo
de encaminhamento que a VPN necessita através de um servidor proxy:
• Nenhum
• Manual
• Automático
Nenhum
Capítulo 3 • Definir políticas de grupo de segurança
Não foi configurado qualquer proxy.
51
     
Configurar perfis de definições de VPN
Definição
O que fazer
Manual
Defina um perfil de VPN manualmente. Após selecionar Manual, configure as
seguintes definições:
• Servidor Introduza o URL do servidor proxy manual e especifique a porta
utilizada para a ligação do proxy escrevendo ou utilizando as teclas de seta.
• Nome de utilizador Introduza o nome de conta utilizado para a
autenticação.
• Palavra-passe Introduza a palavra-passe utilizada para a autenticação.
Automático
O perfil de VPN define um proxy automático. Após selecionar Automático,
aparecerá o campo adicional URL do servidor proxy. Neste campo, introduza o
URL do servidor proxy a utilizar para criar o proxy automático.
Ativar a política de VPN nas definições do Samsung SAFE
Para ativar a política de VPN para dispositivos Samsung SAFE:
1 Abra o objeto de política de grupo para edição associado à unidade organizacional com os
dispositivos Samsung SAFE.
2 No Editor de Gestão de Políticas de Grupo, faça duplo clique em Definições do
Samsung SAFE > Definições de VPN.
Esta ação abre a caixa de diálogo Propriedades das Definições de VPN.
3 Selecione Ativada para ativar a política.
4 Clique no botão Adicionar para mostrar a caixa de diálogo Perfil da VPN.
O perfil tem vários separadores. Utilize a seguinte tabela para preencher os campos e
selecionar as propriedades:
Definição
O que fazer
Nome da Ligação
Introduza um nome para o perfil. O nome tem de ser exclusivo e não pode
duplicar qualquer outro nome de perfil de VPN.
Servidor
Introduza o URL de um servidor de VPN ao qual um dispositivo móvel poderá
estabelecer ligação.
Tipo de VPN
Utilize a lista pendente para selecionar PPTP, IPsec ou AnyConnect
Encriptação PPP (MPPE)
Se tiver selecionado PPTP como o tipo de VPN, selecione a caixa de verificação
para permitir a encriptação PPP.
Tipo de autenticação
Se tiver selecionado AnyConnect, utilize a lista pendente para selecionar
Automático, Utilizar Certificado ou Não utilizar certificado.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
52
     
Configurar as Definições de Wi-Fi
Configurar as Definições de Wi-Fi
Utilize a política Definições de VPN para configurar os perfis que são transferidos para
dispositivos pelo Centrify cloud service. Cada perfil define o protocolo do tipo de
segurança (por exemplo, WPA ou WEP) e outras propriedades para um SSID.
Configure um perfil SSID separadamente para cada tipo de dispositivo na unidade
organizacional associada ao GPO. Por exemplo, se o GPO estiver associado a uma unidade
organizacional que tem dispositivos com SAFE, dispositivos Samsung KNOX, dispositivos
Android e dispositivos iOS, defina perfis nos seguintes nós:

Definições dos Dispositivos Móveis Comuns – para os dispositivos iOS e Android.


Definições do Samsung KNOX – para dispositivos que tenham um contentor Samsung
KNOX.
Definições do Samsung SAFE – para dispositivos com o Samsung SAFE.
Não defina vários perfis para o SSID de Wi-Fi para um tipo de dispositivo específico.
As Definições do Samsung SAFE fornecem políticas de grupo adicionais que regem a
utilização do Wi-Fi. No entanto, defina-os após definir os perfis de Wi-Fi.
Capítulo 3 • Definir políticas de grupo de segurança
53
Anexo A
Configurar o cloud proxy server
Este anexo descreve como utilizar a aplicação Cloud Proxy Server Configuration para
configurar e monitorizar o seu cloud proxy server. São abordados os seguintes tópicos:

Acerca do Centrify cloud proxy server e da aplicação de configuração

Separador Estado

Separador Servidor Proxy

Separador Definições dos Dispositivos Móveis

O separador Alertas

Separador Registo
Inicie a aplicação Cloud Proxy Server Configuration a partir do menu Iniciar no
computador anfitrião. Modifique as definições selecionando diferentes separadores na
janela. Pode ver os separadores na seguinte imagem.
Acerca do Centrify cloud proxy server e da aplicação de configuração
O cloud proxy server é executado num computador anfitrião e gere as comunicações entre
o Active Directory e o Centrify Cloud service. Especifica os grupos cujos membros podem
inscrever dispositivos e um grupo cujos membros podem gerir dispositivos. Além disso,
realiza a monitorização do Active Directory para alterações de políticas de grupo, enviadas
para o Centrify Cloud service para a atualização dos dispositivos inscritos.
A configuração inicial do cloud proxy server segue a instalação com o assistente do cloud
proxy server configuration, que é iniciado automaticamente. Para concluir o assistente,
deve identificar um grupo de utilizadores cujos membros possam inscrever dispositivos e
54
     
Separador Estado
um contentor que armazene contas para dispositivos inscritos. Deve ainda identificar um
grupo cujos utilizadores tenham permissão para gerir dispositivos inscritos e a configuração.
A aplicação Cloud Proxy Server Configuration permite-lhe concluir a configuração inicial,
efetuar eventuais alterações e configurar funcionalidades adicionais, tais como o registo e o
envio de alertas estabelecidos para valores predefinidos durante a configuração inicial. Esta
aplicação também pode ser executada para monitorização do estado do seu cloud proxy
server.
Também pode monitorizar os proxies através da aplicação Web do Centrify Cloud
Manager. Contudo, o Cloud Manager apenas permite monitorizar proxies, não permitindo,
de forma alguma, a configuração de um cloud proxy server.
Nota
Embora seja possível configurar vários cloud proxy servers para uma única instalação do
Centrify for Mobile, apenas um deles fica ativo de cada vez, sendo que os restantes ficam
suspensos para utilização em caso de falha. Cada servidor possui a sua própria aplicação de
configuração do servidor proxy, que deve ser iniciada no computador que aloja o servidor
proxy. No entanto, se efetuar uma alteração a qualquer um dos servidores proxy numa
instalação (ou seja, servidores registados com o mesmo ID de cliente), as alterações são
aplicadas a todos os servidores da instalação para garantir que todos ficam sincronizados.
A aplicação Centrify cloud proxy server configuration pode ser instalada em qualquer
computador que tenha um cloud proxy server instalado. Inicie-a através do menu Iniciar do
Windows, a partir da pasta Centrify/Cloud Management Suite onde está localizada . A
aplicação é apresentada sob a forma de janela com cinco separadores:

Estado, que indica o estado do servidor proxy.




Servidor Proxy, que controla a funcionamento do servidor proxy.
Definições dos Dispositivos Móveis, que especifica os grupos autorizados a
inscrever dispositivos, o grupo autorizado a gerir dispositivos e o intervalo com que o
proxy consulta o Active Directory.
Alertas, que especifica se e quando devem ser enviados alertas por correio eletrónico
quando o Centrify for Mobile deteta dispositivos móveis inutilizados.
Registo, que ativa e desativa o registo para esta aplicação de configuração e para as
extensões ADUC e de editor de políticas de grupo. É ainda especificada a localização de
armazenamento do ficheiro de registo.
Separador Estado
O separador Estado apresenta as seguintes informações só de leitura acerca do servidor
proxy:

O Nome do servidor apresenta o nome atribuído a este cloud proxy server.

O ID de cliente apresenta o ID de cliente com o qual este cloud proxy server está
registado. Forneça este ID aos utilizadores para a inscrição de dispositivos móveis. Este
Anexo A • Configurar o cloud proxy server
55
     
Separador Servidor Proxy
ID também é utilizado para iniciar sessão no Centrify cloud manager. É possível instalar
vários cloud proxy servers com este ID para criar servidores proxy suspensos para
situações de falha. Apenas é executado um servidor proxy de cada vez.
O Centrify cloud service atribui o ID de cliente quando regista o cloud proxy server
(durante a instalação) através do assistente do cloud proxy server configuration. Embora
seja possível alterar o ID de cliente no separador Servidor Proxy, nunca deverá fazê-lo,
salvo indicação em contrário do suporte ao cliente do Centrify.
O Cloud Proxy Server está ligado|desligado indica se o cloud proxy server está
ligado (em execução) ou não.
Nota


Ligação ao Centrify Cloud Service indica a data, hora e o resultado da última
ligação ao Centrify cloud service.
Separador Servidor Proxy
O separador Servidor Proxy indica o ID de cliente com o qual o servidor proxy está
registado e se o servidor está ligado ou desligado. Disponibiliza ainda os seguintes
controlos:

O botão Voltar a registar inicia o assistente do Centrify cloud proxy server
configuration e permite-lhe voltar a registar este cloud proxy server. Geralmente, o
proxy é registado novamente com o mesmo ID de cliente e apenas depois, se o proxy
apresentar problemas de comunicação com o Centrify Cloud service, o suporte ao
cliente recomenda que volte a efetuar o registo para resolver o problema.
Voltar a registar com outro ID pode desestabilizar o ambiente e apenas deve ser
efetuado depois de consultar o suporte ao cliente do Centrify. Ao alterar o ID, o servidor
proxy é movido de uma instalação para outra. Se o servidor proxy for o único servidor
numa instalação, a remoção do servidor da mesma provocará a falha da inscrição de
qualquer dispositivo na instalação e os dispositivos inscritos deixarão de receber
alterações de políticas.
Clique em Iniciar para iniciar o cloud proxy server caso esteja desligado.
Nota




Clique em Parar para desligar o cloud proxy server caso esteja em execução.
Selecione Autorizar o suporte a aceder aos registos de serviço do proxy local
para permitir ao fornecedor do cloud service abrir os ficheiros de registo do servidor
proxy. (Consulte Program Files\Centrify\Cloud Management Suite\log.txt.*
Estes ficheiros podem ser úteis para resolver um problema e são os únicos ficheiros que
o fornecedor de serviços consegue abrir. Está selecionada a predefinição.
Clique em Ver Registo para ver o registo do servidor proxy. Tenha em atenção que este
não é o mesmo registo de configuração do servidor proxy visualizado no separador
Registo. O registo do servidor proxy é ativado em todas as situações e grava todas as
ações do servidor proxy. O registo de configuração do servidor proxy não está ativado
Guia de Instalação e Configuração do Centrify Cloud Management SuiteCentrify for SaaS Centrify for Mobile Guia de AvaliaçãoGuia de Instalação e Configuração
     
Separador Definições dos Dispositivos Móveis
por predefinição. Se estiver ativado, grava as atividades de configuração do servidor
proxy realizadas com esta aplicação, mas não as ações do servidor proxy.

Utilize a caixa de texto Intervalo de atualização de definições para definir o
número de minutos que este servidor proxy demora entre verificações das definições de
proxy com o Centrify cloud service.
Quando as definições de um servidor proxy numa instalação são alteradas, estas
definições são enviadas para o cloud service. Quando um servidor proxy verifica as
definições com o cloud service, no caso de existirem novas definições comunicadas por
qualquer um dos outros servidores proxy da instalação, o proxy de verificação transfere
e aceita essas definições. Deste modo, garante-se que todos os proxies de uma instalação
têm as mesmas definições.



Utilize a caixa de texto Intervalo de verificação de utilizadores do Active
Directory para definir o número de minutos que este servidor proxy demora entre
verificações de contas de utilizadores do AD ativas. Quando o servidor proxy verifica as
contas de utilizadores do AD, contacta o Active Directory para confirmar se a conta de
utilizador listada para cada dispositivo inscrito está ativa. Se a conta de utilizador
associada a um dispositivo não estiver ativa (estiver desativada ou removida), o Centrify
for Mobile anula a inscrição do dispositivo.
Selecione a caixa de verificação Ativar a atualização automática para ativar (se
marcada) ou desativar (se desmarcada) a atualização automática do servidor proxy.
Quando a atualização automática está ativada, o servidor proxy verifica o Centrify cloud
service periodicamente para confirmar se está disponível alguma atualização do servidor
proxy. Se estiver disponível, o servidor proxy transfere e instala e atualização e reinicia.
Deste modo, garante-se que o software do servidor proxy está atualizado.
Recomendamos que ative esta opção, que se encontra desativada por predefinição.
Selecione a caixa de verificação Utilizar um servidor proxy Web para ligação ao
Centrify Cloud Service se a sua rede estiver configurada com um servidor proxy
Web que pretende utilizar para a ligação ao Centrify cloud service. Tenha em atenção
que o proxy Web tem de suportar HTTP 1.1 para que uma correta ligação ao Centrify
cloud service. O ambiente também deve manter abertas as portas TCP de saída 9350 a
9354. Depois de selecionar esta opção, introduza as seguintes informações para ativar a
ligação ao proxy Web:


O Endereço é o URL do servidor proxy Web.
A Porta corresponde ao número da porta a utilizar para estabelecer ligação ao servidor
proxy Web.
Separador Definições dos Dispositivos Móveis
O separador Definições dos Dispositivos Móveis é composto por três painéis:
Anexo A • Configurar o cloud proxy server
57
     



Separador Definições dos Dispositivos Móveis
O painel Grupos autorizados a inscrever dispositivos especifica pares de grupo
de utilizadores/contentor que definem que grupos de utilizadores do Active Directory
podem inscrever dispositivos móveis e onde são armazenados os registos desses
dispositivos.
O painel Intervalo de consulta da política de grupo (minutos) especifica o
período de tempo para consultas do cloud proxy server ao Active Directory para
verificar a existência de alterações às políticas de grupo móveis.
A lista pendente Autoridade de certificação permite-lhe selecionar a autoridade de
certificação (AC). A autoridade de certificação predefinida é a AC de raiz empresarial. A
lista pendente contém todas as AC empresariais encontradas no Active Directory. Para
selecionar uma AC subordinada, clique na lista pendente, selecione a AC e clique em
Aplicar.
Autorização de inscrição
O painel "Grupos autorizados a inscrever dispositivos" inclui uma lista de um ou mais pares
de grupo de utilizadores/contentores (unidade organizacional). Cada par especifica um
grupo de utilizadores cujos dispositivos móveis podem ser inscritos no Centrify for Mobile
e o contentor onde o objeto de dispositivos inscritos está armazenado.
O servidor proxy armazena esta lista de pares de grupo de utilizadores/contentor. Quando
um utilizador solicita a inscrição de um dispositivo móvel, o Centrify for Mobile percorre a
lista e procura o grupo de utilizadores a que pertence o utilizador em questão. Quando se
trata de um par que inclui o grupo de utilizadores a que o requerente pertence, o servidor
proxy inscreve o dispositivo e coloca o respetivo registo no contentor especificado pelo par.
Em seguida, o servidor proxy interrompe a consulta da lista, pelo que, se o utilizador for
um membro de um grupo de utilizadores especificado num par posterior, esse par não afeta
a inscrição.
O painel tem um conjunto de botões que controla as entradas da lista:

Mover para cima move o par selecionado para a parte superior da lista.




Mover para baixo move o par selecionado para a parte inferior da lista.
Adicionar abre a caixa de diálogo Adicionar Grupo de Inscrição, onde um
administrador pode criar um novo par de grupo/contentor. A caixa de diálogo inclui
controlos padrão do Active Directory que lhe permitem criar um novo grupo de
utilizadores ou procurar um grupo de utilizadores existente e procurar um contentor
existente.
Editar abre a caixa de diálogo Modificar Grupo Adicionado, onde o administrador pode
modificar o par selecionado. Esta caixa de diálogo tem os mesmos controlos da caixa de
diálogo Adicionar Grupo de Inscrição, mas com uma diferença: já estão preenchidos
alguns valores que definem o grupo e o contentor.
Remover elimina o par selecionado da lista.
Guia de Instalação e Configuração do Centrify Cloud Management SuiteCentrify for SaaS Centrify for Mobile Guia de AvaliaçãoGuia de Instalação e Configuração
     
O separador Alertas
Consulta da política de grupo
O painel Política de Grupo tem um único controlo: a caixa de texto Intervalo de
consulta. Este campo aceita um valor inteiro que define o número de minutos entre
consultas do Active Directory realizadas pelo cloud proxy server. O cloud proxy server
consulta o Active Directory para procurar políticas de grupo novas e modificadas.
O separador Alertas
O separador Alertas permite-lhe ativar as notificações por correio eletrónico para
dispositivos móveis inutilizados e configurar o endereço de correio eletrónico e o servidor
para a receção das notificações. Para ativar as notificações por correio eletrónico para
dispositivos inutilizados, selecione Enviar notificação por correio eletrónico para
dispositivos inativos.
O Centrify cloud service envia pings a dispositivos inscritos uma vez por dia para
confirmar que estão ativos. Se um determinado dispositivo não responder à mensagem ping
num período de cinco dias, é considerado "inutilizado" e o Centrify cloud service altera o
seu estado para "terminado". Se, após esse período de tempo, o dispositivo se ligar
novamente, o Centrify cloud service volta a alterar o estado para GPApplied e ativa o
dispositivo no Active Directory.
Nota
<<erro 33443 altera – inutilizado de volta para GPApplied>>
Após a ativação das notificações por correio eletrónico, introduza as seguintes informações
para especificar o endereço de correio eletrónico e o assunto da notificação e para
especificar o endereço de correio eletrónico para receber a notificação:

Endereço De Especifique o endereço "de" fornecido na notificação por correio
eletrónico. Este valor é obrigatório. Tem de ser um endereço de correio eletrónico
verdadeiro?





Endereço Para Especifique o endereço de destino da notificação. Este valor é
obrigatório.
O Assunto do correio Especifique a linha de assunto da notificação por correio
eletrónico. Este valor é opcional.
Servidor SMTP Especifique o servidor SMTP utilizado para enviar a notificação por
correio eletrónico. Este valor é obrigatório.
Porta SMTP Especifique o número da porta utilizada para estabelecer a ligação ao
servidor SMTP. Este valor é opcional.
Utilizar SSL Selecione para especificar que o Centrify cloud service deve utilizar uma
ligação SSL para se ligar ao servidor SMTP.
Anexo A • Configurar o cloud proxy server
59
     


Separador Registo
Utilizar autenticação SMTP Selecione para especificar que o Centrify cloud service
deve fornecer um nome de utilizador e respetiva palavra-passe para a autenticação do
servidor SMTP aquando da ligação ao mesmo.
Nome de utilizador e Palavra-passe Se Utilizar autenticação SMTP estiver
selecionado, deve fornecer o nome de utilizador e a palavra-passe para esta autenticação.
Clique no botão Testar para verificar a configuração da notificação enviando uma
notificação de teste por correio eletrónico com todos os valores de notificação indicados.
Em caso de falha no envio do correio, é apresentada uma caixa de notificação. Tenha em
atenção que este botão só fica disponível quando todos os valores de notificação obrigatórios
estiverem preenchidos.
Separador Registo
Utilize o separador Registo para ativar o registo da aplicação de configuração do proxy, da
ADUC e da extensão do editor de políticas de grupo.
A aplicação escreve três ficheiros de registo em separado. Clique em Ver Registo, para ver
o registo de configuração do servidor proxy, ou em Registo da ADUC ou Registo do
GPOE, para ver o registo dessas extensões de dispositivos móveis. Tenha em atenção que o
registo de configuração do servidor proxy não é igual ao visualizado no separador Servidor
Proxy. O registo de configuração do servidor proxy comunica apenas ações de configuração
do servidor proxy realizadas com esta aplicação de configuração. O registo do servidor
proxy comunica ações realizadas pelo servidor proxy.
Para ativar o registo:
1 Selecione Ativar registo.
2 Clique em Procurar para procurar uma pasta onde guardar as entradas do registo.
Guia de Instalação e Configuração do Centrify Cloud Management SuiteCentrify for SaaS Centrify for Mobile Guia de AvaliaçãoGuia de Instalação e Configuração
Anexo B
Instalar servidores proxy adicionais
Um único cloud proxy server é executado numa floresta para comunicar, em qualquer
altura, entre o Active Directory e o cloud service. No entanto, recomenda-se a
configuração de um ou vários servidores proxy adicionais para proporcionar uma ativação
pós-falha caso o servidor em execução fique offline. Este anexo descreve o procedimento de
instalação de várias instalações proxy–servidor para uma única conta de ID de cliente
Centrify.
O cloud service mantém os dados de configuração e sincroniza as informações de
configuração do servidor proxy entre todos os servidores proxy registados no mesmo ID de
cliente. Por exemplo, se alterar a autorização de inscrição num cloud proxy server de modo
a incluir um novo grupo de inscrição e uma unidade organizacional associada, o servidor
proxy envia essa alteração para o cloud service. Por sua vez, o cloud service atualiza os seus
registos e propaga as informações de configuração para todos os cloud proxy servers
registados nesse ID de cliente.
Obter códigos de registo para servidores proxy
É necessário um código de ativação único para cada servidor proxy. Pode obter o código de
ativação para cada servidor proxy adicional no separador Proxies na página Definições do
Centrify Cloud Manager. Necessitará de um novo código de ativação para cada servidor
proxy adicional que instalar. Todos os códigos de ativação são de utilização única. Não é
necessário manter um registo dos mesmos.
Quando instala o primeiro cloud proxy server, o Centrify for Mobile especifica um dos
servidores para comunicar entre o Centrify cloud service e o serviço Active Directory da
sua rede interna. Os outros cloud proxy servers ficam suspensos, prontos para entrarem em
execução em caso de falha. Se o servidor utilizado falhar, o Centrify for Mobile muda a
comunicação para outro cloud proxy server em execução na instalação.
Instalar um cloud proxy server adicional
Para instalar um cloud proxy server adicional, siga o mesmo procedimento utilizado para
instalar o servidor inicial. A única diferença é a origem do código de ativação introduzido
durante a configuração do servidor proxy. Siga este procedimento para obter um código de
ativação para servidores proxy redundantes. Tem de ter um código de registo separado para
cada servidor proxy adicional que instalar.
Antes de começar, consulte os requisitos do computador anfitrião e das permissões do
Active Directory na secção "Requisitos" na página 19.
61
     
Instalar um cloud proxy server adicional
Depois de obter o código de registo, siga os procedimentos indicados na secção "Instalar o
Centrify Cloud Management Suite na sua rede" na página 22 para efetuar a instalação.
Para obter o código de ativação:
1 Inicie sessão no computador em que pretende instalar o servidor proxy. Este computador
tem de estar associado ao controlador de domínio.
2 Abra um browser e utilize este URL para abrir o Cloud Manager:
https://cloud.centrify.com/manage
3 Introduza o seu nome de utilizador do Active Directory completo (username@domain) e
a palavra-passe.
4 Clique em Definições, selecione o separador Proxies e clique no botão Adicionar
Servidor Proxy.
5 Copie o Código de Ativação e clique em OK.
Se necessitar de uma cópia do instalador do cloud proxy server, clique na ligação
correspondente à arquitetura do processador do computador para transferir um ficheiro
zip, copie o ficheiro para uma localização conveniente e deszipe-o.
Nota
6 Feche o Cloud Manager.
Esta ação conclui o processo de obtenção de um código de ativação. Avance para "Instalar o
Centrify Cloud Management Suite na sua rede" na página 22 para consultar os passos
seguintes.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
62
Anexo C
Desinstalar o Centrify Cloud Management Suite
Este anexo descreve o processo de desinstalação do Centrify Cloud Management Suite. Se for
necessário, poderá remover o Centrify Cloud Management Suite do seu ambiente em
qualquer altura. Antes de proceder à desinstalação, tenha em atenção que, ao fazê-lo, os seus
dispositivos inscritos deixarão de ser controlados por políticas de grupo. Além disso, pode
desinstalar o Centrify Cloud Management Suite num computador, mas manter um ou vários
proxies instalados noutros computadores.
** É necessário monitorizar exatamente o que acontece quando se remove o servidor
proxy.**
Para desinstalar o Centrify Cloud Management Suite:
1 Num computador Windows com o Cloud Management Suite instalado, feche todas as
Consolas de Gestão da Microsoft, como Utilizadores e Computadores do Active
Directory, que possam estar a utilizar o Cloud Management Suite.
2 Clique em Iniciar > Painel de Controlo > (Programas) Desinstalar Programa
e, em seguida, faça duplo clique em Centrify
Cloud Management Suite versão.
3 Quando a mensagem de confirmação aparecer, clique em Sim.
Se não estiverem aplicações da Consola de Gestão da Microsoft abertas, o instalador
conclui e remove o Cloud Management Suite. Se estiverem aplicações abertas, receberá
instruções para as fechar.
4 Se lhe for pedido que feche aplicações abertas, siga este procedimento:

Deixe a seguinte opção selecionada e clique em OK.
Feche automaticamente as aplicações e tente reiniciá-las após a conclusão
da configuração.

Se receber a indicação de que uma aplicação da Consola de Gestão da Microsoft deixou
de funcionar, clique em Fechar o programa.
O Cloud Management Suite foi removido do computador. No entanto, um diretório e
alguns ficheiros continuarão a residir no computador. Para remover estes ficheiros,
execute o passo seguinte.
5 Opcionalmente, se pretender remover os ficheiros de registo e os diretórios do Cloud
Management Suite, navegue até: C:\Program
Cloud Management Suite e o seu conteúdo.
Files\Centrify
e elimine o diretório
63
Anexo D
Configurar a autenticação silenciosa
Este anexo descreve o procedimento de modificação das definições de modo a permitir a
autenticação silenciosa. A autenticação silenciosa permite que os utilizadores da sua rede
interna iniciem sessão no portal de utilizador MyCentrify ou no Cloud Manager sem terem
de iniciar expressamente a sessão.
Para que a autenticação silenciosa funcione, aceda ao portal de utilizador MyCentrify
ou ao Cloud Manager com um URL que inclua o ID de cliente. Por exemplo:
Nota
https://cloud.centrify.com/my?customerID=AB123
Se a sua organização tiver escolhido uma região alternativa ou se lhe tiver sido atribuído um
anfitrião alternativo por motivos de escalabilidade quando se registou no Centrify cloud
service, poderá ser necessário substituir "cloud.centrify.com" pelo nome de anfitrião
adequado. Este nome de anfitrião está disponível no URL do browser ou no campo de
localização depois de iniciar sessão no portal de utilizador MyCentrify ou no Cloud
Manager.
Configurar a autenticação silenciosa para o Centrify for SaaS
(descrição geral)
Para que a autenticação silenciosa funcione quando iniciar sessão no MyCentrify ou no
Cloud Manager, é necessário executar algumas tarefas de configuração.
Para configurar o MyCentrify para a autenticação silenciosa (uma descrição geral)
1 Instale o Centrify Cloud Management Suite no computador anfitrião.
2 Configure os browsers, conforme necessário.



Firefox: Adicione o nome de anfitrião do cloud proxy server à lista de sites fidedignos
network.negotiate-auth.trusted-uris.
Internet Explorer: Certifique-se de que a Autenticação Integrada do Windows
(IWA) está ativada e, na maioria dos casos, a autenticação silenciosa funcionará sem
que seja necessário efetuar mais configurações. No caso de necessitar de efetuar
alterações à configuração, incluímos aqui detalhes adicionais.
Chrome e Safari: Na maioria dos casos, a autenticação silenciosa funciona sem que
seja necessário efetuar mais configurações. No caso de necessitar de efetuar alterações
à configuração, incluímos aqui detalhes adicionais.
64
     
Configurar o Firefox para permitir a autenticação silenciosa
A autenticação silenciosa funciona tal como está instalada com a Firewall do Windows.
Se estiver a utilizar um sistema de firewall diferente, certifique-se de que permite o tráfego
na porta especificada nas definições de proxy do Cloud Manager. A predefinição é a porta
80. Para alterar o número de porta, modifique as definições de proxy no Cloud Manager
(Definições > Proxies).
Nota
Configurar o Firefox para permitir a autenticação silenciosa
Configurar manualmente o Firefox para a autenticação silenciosa
O nome de anfitrião predefinido utilizado pelo Centrify Cloud service tem o formato
http://hostname, em que hostname corresponde ao nome de anfitrião do servidor proxy.
Para configurar o Firefox para a autenticação silenciosa, adicione o URL do cloud proxy
server à lista de sites fidedignos.
Para configurar a autenticação silenciosa no Firefox
1 Abra o Firefox.
2 Escreva about:config como o URL de destino.
3 Escreva neg no campo Filtro.
4 Selecione e clique com o botão direito do rato em network.negotiate-auth.trusted-
e selecione Modificar. Introduza uma lista separada por vírgulas de URLs ou
nomes de domínio como valores de cadeia e, em seguida, clique em OK.
uris
Por exemplo, se o seu cloud proxy server for executado num computador com um nome
de anfitrião de acme, escreva acme e clique em OK.
Por motivos de segurança, deverá ser tão restrito quanto possível na especificação
da lista de sites fidedignos.
Nota
Configurar a política de grupo do Firefox para a autenticação silenciosa <<é
necessário testar>>
O procedimento que se segue adiciona estas duas definições de política de grupo ao Mozilla
Firefox:

Configuração do Computador > Modelo Administrativo > Modelos Administrativos
Clássicos (ADM) > Definições do Mozilla Firefox > Ativar autenticação SPNEGO para
sites fidedignos


Configuração do Utilizador > Modelo Administrativo > Modelos Administrativos
Clássicos (ADM) > Definições do Mozilla Firefox > Ativar autenticação SPNEGO para
sites fidedignos
<<este procedimento adiciona 5 itens, não 2--??>>
Guia de Instalação e Configuração do Centrify Cloud Management Suite
65
     
Configurar o Firefox para permitir a autenticação silenciosa
Para configurar o Mozilla Firefox para suportar SSO através da política de grupo
1 Adicione o modelo administrativo do Firefox:
a Em Gestão de Políticas de Grupo, edite o objeto de política de grupo pretendido
(clique com o botão direito do rato no objeto e clique em Editar).
b No editor de Gestão de Políticas de Grupo, clique em Configuração do
Utilizador > Políticas.
c Na pasta Políticas, clique com o botão direito do rato em Modelos
Administrativos e escolha Adicionar/Remover Modelos.
d Na caixa de diálogo Adicionar/Remover Modelos, clique em Adicionar,
selecione firefox.adm, localizado no ficheiro zip da Política de grupo do Firefox,
e clique em Fechar. <<onde é que os clientes podem obter isto??>>
2 Copie o script de início de sessão do Firefox:
a No Explorador do Windows, copie o ficheiro firefox_logon.vbs.
b No editor de Gestão de Políticas de Grupo, navegue até Configuração do
Utilizador > Políticas > Configuração do Utilizador > Definições do
Windows > Scripts (Início de sessão/Fim de sessão).
c Clique com o botão direito do rato em Início de sessão e escolha
Propriedades.
d No separador Scripts, clique em Mostrar Ficheiros.
e Cole o ficheiro firefox_logon.vbs na localização aberta.
f Na caixa de diálogo Propriedades de Início de sessão, clique em Adicionar,
selecione o ficheiro firefox_logon.vbs na localização para onde acabou de o
copiar e clique em OK. (Não é necessário introduzir parâmetros.)
3 Copie o script de fim de sessão do Firefox:
a No Explorador do Windows, copie o ficheiro firefox_logoff.vbs.
b No editor de Gestão de Políticas de Grupo, navegue até Configuração do
Utilizador > Políticas > Configuração do Utilizador > Definições do
Windows > Scripts (Início de sessão/Fim de sessão).
c Clique com o botão direito do rato em Fim de sessão e escolha Propriedades.
d No separador Scripts, clique em Mostrar Ficheiros.
e Cole o ficheiro firefox_logoff.vbs na localização aberta.
f Na caixa de diálogo Propriedades de Fim de sessão, clique em Adicionar,
selecione o ficheiro firefox_logoff.vbs na localização para onde acabou de o
copiar e clique em OK. (Não é necessário introduzir parâmetros.)
4 Copie o script de arranque do Firefox:
a No Explorador do Windows, copie o ficheiro firefox_startup.vbs.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
66
     
Configurar as zonas de segurança do Internet Explorer
b No editor de Gestão de Políticas de Grupo, navegue até Configuração do
Computador > Políticas > Definições do Windows > Scripts
(Arranque/Encerramento).
c Clique com o botão direito do rato em Arranque e escolha Propriedades.
d No separador Scripts, clique em Mostrar Ficheiros.
e Cole o ficheiro firefox_startup.vbs na localização aberta.
f Na caixa de diálogo Propriedades de Arranque, clique em Adicionar, selecione o
ficheiro firefox_startup.vbs na localização para onde acabou de o copiar e clique
em OK. (Não é necessário introduzir parâmetros.)
5 Copie o script de encerramento do Firefox:
a No Explorador do Windows, copie o ficheiro firefox_shutdown.vbs.
b No editor de Gestão de Políticas de Grupo, navegue até Configuração do
Computador > Políticas > Definições do Windows > Scripts
(Arranque/Encerramento).
c Clique com o botão direito do rato em Encerramento e escolha Propriedades.
d No separador Scripts, clique em Mostrar Ficheiros.
e Cole o ficheiro firefox_shutdown.vbs na localização aberta.
f Na caixa de diálogo Propriedades de Encerramento, clique em Adicionar,
selecione o ficheiro firefox_shutdown.vbs na localização para onde acabou de o
copiar e clique em OK. (Não é necessário introduzir parâmetros.)
Configurar as zonas de segurança do Internet Explorer
Para que os utilizadores possam desfrutar da autenticação silenciosa quando utilizarem o
Internet Explorer para aceder a uma aplicação no servidor Web com a autenticação
Kerberos ou NTLM, é necessário respeitar duas condições:

A autenticação integrada do Windows tem de estar ativada no Internet Explorer. Para
mais detalhes, consulte "Ativar a Autenticação Integrada do Windows" na página 68.

O cloud proxy server tem de estar na zona de segurança da intranet local do Internet
Explorer ou estar expressamente configurado como parte da zona de segurança da
intranet local.
No Internet Explorer, existem duas formas de reconhecimento de um servidor como
parte da zona de segurança da intranet local:

Quando o utilizador especifica um URL que não é um nome de domínio DNS
completamente qualificado. Por exemplo, se aceder a uma aplicação com um URL
como http://acme/index.html, o Internet Explorer interpreta-o como um site na
zona de segurança da intranet local.
Guia de Instalação e Configuração do Centrify Cloud Management Suite
67
     
Configurar as zonas de segurança do Internet Explorer

Quando o utilizador especifica um URL com um nome completamente qualificado que
foi expressamente configurado como um site da intranet local no Internet Explorer
(consulte as instruções abaixo). Por exemplo, se aceder a uma aplicação com um URL
como http://acme.mycompany.com/index.html, o Internet Explorer interpreta-o
como um site que não faz parte da intranet local, exceto se o site tiver sido
manualmente adicionado à zona de segurança da intranet local.
Consoante os utilizadores iniciem sessão em aplicações Web com um URL da intranet
local ou com um caminho completamente qualificado no URL, a autenticação silenciosa
poderá exigir a modificação da zona de segurança da intranet local no Internet Explorer.
Ativar a Autenticação Integrada do Windows
Siga este procedimento para ativar a autenticação silenciosa em cada computador.
<<é possível fazer isto também através da política de grupo?>>
Para ativar a Autenticação Integrada do Windows para o Internet Explorer
1 Abra o Internet Explorer e selecione Ferramentas > Opções da Internet
2 Clique no separador Avançadas.
3 Desloque-se para baixo até às definições de Segurança.
4 Marque a caixa Ativar Autenticação Integrada do Windows.
5 Reinicie o Internet Explorer.
Adicionar um Web site à zona de segurança da intranet local
Se alguns utilizadores iniciarem sessão em aplicações Web com um caminho completamente
qualificado no URL, poderá ser necessário modificar as definições da zona de segurança da
intranet local do seu browser do Internet Explorer para ativar a autenticação silenciosa.
Para configurar a zona de segurança da intranet local no Internet Explorer
1 Abra o Internet Explorer e selecione Ferramentas > Opções da Internet
2 Clique no separador Segurança.
3 Clique no ícone Intranet local.
4 Clique em Sites.
5 Clique em Avançadas.
6 Escreva o URL do Web site que pretende adicionar à intranet local e, em seguida, clique em
Adicionar. Pode utilizar carateres universais no endereço do site, por exemplo
*://*.mycompany.com. Quando terminar de adicionar URLs ou padrões de URL, clique em
Fechar. <<introduza o que eles necessitam de introduzir para o DirectControl for SaaS>>
Guia de Instalação e Configuração do Centrify Cloud Management Suite
68
     
Configurar o Google Chrome no Windows para a autenticação silenciosa
7 Clique em OK para aceitar as definições de configuração da intranet local e, em seguida,
clique em OK para fechar a caixa de diálogo Opções da Internet.
Depois de configurar a zona de segurança da Intranet local no Internet Explorer,
poderá iniciar sessão em aplicações Web ou Java através de Kerberos ou NTLM sem que
lhe seja pedido que introduza um nome de utilizador e uma palavra-passe.
Configurar a política de grupo do Internet Explorer para a autenticação
silenciosa
<<aplica-se ao SSO e à autenticação silenciosa? -- problemas de formulação>>
Para configurar a política de grupo do Internet Explorer para suportar a autenticação silenciosa
1 Em Gestão de Políticas de Grupo, edite o objeto de política de grupo pretendido.
2 No Editor de Gestão de Políticas de Grupo, clique em Configuração do Computador >
Políticas > Modelos Administrativos > Componentes do Windows > Internet Explorer >
Opção Internet do Painel de Controlo > Página Segurança.
3 Com a Página Segurança selecionada no painel esquerdo, faça duplo clique em Site
para a Lista de Atribuições de Zona no painel direito para abrir a lista.
4 Clique em Ativado e em Mostrar... para abrir a caixa de diálogo Mostrar Conteúdo.
5 No campo Nome do Valor, introduza o endereço do Web site, por exemplo
https://cloud.centrify.com.
6 No campo Valor, introduza 1 para especificar uma Zona de Intranet Local. Clique em
OK.
7 Clique novamente em OK para fechar a caixa de diálogo Site para a Lista de Atribuições
de Zona.
Configurar o Google Chrome no Windows para a autenticação
silenciosa
Na maioria dos casos, se o nome de anfitrião do cloud proxy server estiver disponível no seu
DNS, a autenticação silenciosa funcionará no Google Chrome sem que seja necessária uma
configuração adicional.
O Chrome verifica a Zona de Segurança da Intranet Local para determinar qual é o seu
domínio local e, se estiver protegido pela firewall, utiliza a autenticação Kerberos. Para
garantir que o Chrome autentica os utilizadores corretamente, adicione o domínio à lista de
permissões do servidor de autenticação quando iniciar o browser do Chrome.
<<há alguma forma de fazer isto através da política de grupo?>>
Guia de Instalação e Configuração do Centrify Cloud Management Suite
69
     
Configurar o Apple Safari num Mac para a autenticação silenciosa
Para configurar o Chrome no Windows para a autenticação silenciosa e o início de sessão único
1 Localize o seu atalho do Windows para o Chrome.
2 Clique com o botão direito do rato no atalho e escolha Propriedades.
3 Clique no final do campo Destino e adicione um espaço.
4 Após o espaço, introduza o seguinte texto:
--auth-server-whitelist="*.centrify.com, *.domain.com"
em que domain.com corresponde ao domínio no qual pretende que seja realizada a
autenticação silenciosa dos utilizadores. Por exemplo, o conteúdo do campo Destino terá
o seguinte aspeto:
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --auth-serverwhitelist="*.centrify.com"
5 Clique em OK para fechar a caixa de diálogo.
Configurar o Apple Safari num Mac para a autenticação silenciosa
Se tiver um agente Centrify instalado num computador Mac, a autenticação silenciosa
funcionará automaticamente no browser Safari. Para obter mais informações sobre
produtos Centrify em computadores Mac, consulte o Guia do Administrador do Centrify Suite
para Mac OS X.
<<ou também é necessário configurar o browser? >>
Guia de Instalação e Configuração do Centrify Cloud Management Suite
70
Anexo E
Reinscrever um dispositivo em domínios com um ID
de cliente diferente
<<erro 29604>>
Se a sua organização tiver vários servidores proxy com IDs de cliente diferentes na mesma
floresta, verificam-se algumas situações em que os utilizadores não podem anular a inscrição de
um dispositivo num domínio e inscrevê-lo noutro. Ao tentarem, é emitida a mensagem
"Ocorreu uma falha na transação com o servidor em <nome do servidor> com o estado "403"."
Esta situação pode ocorrer se tiver vários servidores proxy, cada um com um ID de cliente
diferente e cada servidor proxy utilizar uma unidade organizacional do Active Directory
diferente para armazenar o objeto de dispositivo. Existem algumas situações comuns em
que tal pode acontecer:

Se tiver implementações de teste e produção em domínios separados e cada domínio
tiver um ID de cliente do cloud service separado.

Se a sua organização tiver divisões diferentes, por exemplo, uma divisão na América do
Norte e outra na Ásia-Pacífico, com domínios e IDs de cliente do cloud service
separados.
O problema em termos administrativos é o seguinte: o mesmo dispositivo não pode ter
objetos separados em duas unidades organizacionais diferentes dentro da mesma floresta.
Isto representa um problema, pois a anulação da inscrição de um dispositivo não o elimina
da unidade organizacional. Quando o utilizador anula a inscrição de um dispositivo, o cloud
service altera apenas o estado de "inscrito" para "não inscrito".
Para permitir ao utilizador inscrever o mesmo dispositivo noutro domínio com um ID de
cliente separado, é necessário que um administrador execute um dos seguintes
procedimentos:

Conceder permissão ao servidor proxy de destino para mover ou remover objetos (neste
caso, o objeto de dispositivo) na unidade organizacional do servidor proxy original.


Eliminar manualmente o objeto de dispositivo da unidade organizacional do servidor
proxy original quando o utilizador anula a inscrição do dispositivo. Pode fazê-lo no
Active Directory ou através do Cloud Manager. Quando o utilizador voltar a inscrever o
dispositivo, o cloud service criará um novo objeto na unidade organizacional de destino
no momento da inscrição.
Mover manualmente o objeto de dispositivo da unidade organizacional do servidor
proxy original para o destino após a anulação da inscrição pelo utilizador. Quando o
utilizador voltar a inscrever o dispositivo, o cloud service atualizará o estado para
dispositivo inscrito na unidade organizacional de destino.
<<Há mais alguma coisa que os clientes necessitem de saber acerca disto??>>
71