Перейти к основному содержимому

Indeed Mobile Device Provisioning

Когда пользователь настраивает почтовый аккаунт на новом устройстве через Exchange ActiveSync, устройство автоматически попадает в карантин. Чтобы начать получать почту, необходимо вывести устройство из карантина. Сделать это можно с помощью модуля Indeed Mobile Device Provisioning (MDP).

Чтобы сформировать список устройств в карантине, модуль обращается к Active Directory через сервисную учетную запись, от имени которой происходит поиск по электронному адресу пользователя. Настройте сервисную учетную запись.

Модуль представляет собой дополнительную вкладку в User Console (Мобильные устройства Exchange), в которой пользователь может самостоятельно вывести устройство из карантина. Настройте отображение вкладки в User Console.

Для Indeed Mobile Device Provisioning предусмотрена двухфакторная аутентификация через Identity Provider. Если пользователь прошел аутентификацию в User Console, он автоматически проходит аутентификацию в модуль.

Для работы с MDP требуется лицензия. При авторизации в модуль происходит захват лицензии.

Сервисная учетная запись

В Active Directory создайте сервисную учетную запись, добавьте запись в Exchange и назначьте следующие роли:

  • Mail Recipients — роль необходима для получения данных по устройствам;
  • Mailbox Search — роль необходима для получения электронного адреса. Если этой роли не будет, то под сервисной учетной записью можно будет получить только свой электронный адрес;
  • Organization Client Access — роль необходима для предоставления доступа к устройству и для блокировки.

После установки сервиса добавьте сервисную учетную запись в удостоверение пула приложений в Internet Information Services и выставьте параметр Загрузить профиль пользователя в значение true.

Установка

Файл для установки IndeedAM.MobileDevProv-v8.2.2.x64.ru-ru.msi расположены в директории indeed AM <номер версии>/Indeed AM Mobile Device Provisioning/<номер версии>.

По завершении установки будет предложено сгенерировать новый сертификат IDP. Сертификат необходим для аутентификации через Identity Provider.

Настройка в Internet Information Services

После установки выполните следующие настройки в Internet Information Services:

  • добавьте сервисную учетную запись в удостоверение пула приложений;
  • измените версию среды CLR.

Добавление сервисной учетной записи

Чтобы добавить сервисную учетную запись в пул приложений, выполните следующее:

  1. Откройте оснастку Internet Information Services.
  2. В меню слева разверните узел, соответствующий вашему серверу Indeed Access Manager.
  3. Выберите Пулы приложений.
  4. В списке выберите IndeedAM.MDP. В открывшемся меню справа выберите Дополнительные параметры.
  5. В открывшемся окне Дополнительные параметры из списка в разделе Модель процессинга выберите Удостоверение и нажмите значок .
  6. В открывшемся окне Удостоверение пула приложений выберите Особая учетная запись и установите созданную сервисную запись Active Directory.
  7. Нажмите ОК. Окно Удостоверение пула приложений закроется.
  8. В окне Дополнительные параметры выберите Загрузить профиль пользователя и в выпадающем списке выберите значение True.
  9. Сохраните изменения.

Изменение версии среды CLR

Чтобы изменить версию среды CLR, выполните следующее:

  1. Откройте оснастку Internet Information Services.
  2. В меню слева разверните узел, соответствующий вашему серверу Indeed Access Manager.
  3. Выберите Пулы приложений.
  4. В списке выберите IndeedAM.MDP. В открывшемся меню справа выберите Основные настройки.
  5. В открывшемся окне Изменение пула приложений в выпадающем списке Версия среды CLR.NET выберите Без управляемого кода и нажмите ОК.

Настройка конфигурации сервиса

В конфигурационном файле MDP app-settings.json (расположен в каталоге C:\inetpub\wwwroot\am\mdp) выполните следующее:

  1. В параметре Exchange укажите адрес подключения к удаленному серверу PowerShell Exchange в формате http(s)://полноеdnsимя_сервера/Powershell в следующей строке:

    "ServerUrl": "EXCHANGE_SERVER_URL/Powershell"

  2. В параметре Server укажите адрес Log Server в формате http(s)://полноеdnsимя_сервера/Powershell /ls/api/ в следующей строке:

    "Url": "LOG_SERVER_URL"

  3. В параметре SAML настройте подключение к Identity Provider:

  • в SingleSignOnServiceUrl укажите адрес Single SignOn Service в формате http(s)://полноеdnsимя_сервера/am/idp/Account/SsoService;
  • в SingleLogoutServiceUrl укажите адрес Single Logout Service в формате https:// полноеdnsимя_сервера/am/idp/Account/SloService;
  • в Thumbprint укажите сертификат Identity Provider.

Настройка аутентификации через Identity Provider

Как установить и настроить Identity Provider

В конфигурационном файле Identity Provider app-settings.json (расположен в каталоге inetpub\wwwroot\am\idp) выполните следующее:

  1. В секции SAML в параметре SingleSignOnServiceUrl укажите адрес модуля MPD в формате http(s)://полноеdnsимя_сервера/am/mdp/Account/SLOService.

  2. В параметре PartnerCertificates укажите отпечаток сертификата, сгенерированный при установке сервиса.

  3. В секции CustomAttributes в параметре ServiceProvider укажите urn сервиса и атрибуты, например:

    {
    "ServiceProvider": "urn:indeedid:mobiledeviceprovisioning",
      "Attributes": [
        {
          "Name": "user_name",
          "UserNameFormat": "PrincipalName"
        }
     ]
    }

Настройка модуля в User Console

Для отображения модуля Indeed Mobile Device Provisioning вам необходимо выполнить настройку в конфигурационном файле User Console. По умолчанию модуль отключен.

Выполните следующую настройку:

  1. Откройте конфигурационный файл User Console web.config (расположен в каталоге C:\inetpub\wwwroot\am\uc).

  2. В секцию configSections добавьте строку

    section name="amMobileDeviceProvisioning" type="IndeedID.Web.SelfService.Settings.MobileDeviceProvisioningSettings"

  3. В строке

    amMobileDeviceProvisioning isEnabled="false" url="MOBILE_DEVICE_PROVISIONING_URL/device/embed"
    • в параметре isEnabled укажите значение true, чтобы настроить отображение вкладки в User Console;
    • в параметре url задан адрес сервиса Exchange для iframe.
    Важно!

    Для аутентификации в модуль MDP используется Identity Provider. Если User Console и Identity Provider находятся на разных машинах и у них разные доменные имена, добавьте в конфигурационный файл Identity Provider web.config заголовок Content-Security-Policy.

    Пример

    <customHeaders>
    <add name="Content-Security-Policy" value="frame-ancestors 'self' https://*.domain.local" />
    </customHeaders>

События

При работе с модулем Log Server записывает следующие события:

  • пользователь успешно вывел мобильное устройство из карантина,
  • не удалось вывести мобильное устройство из карантина,
  • пользователь заблокировал мобильное устройство,
  • не удалось заблокировать мобильное устройство.

Подробнее в разделе События.