Перейти к основному содержимому

Indeed Mobile Device Provisioning

Когда пользователь настраивает почтовый аккаунт на новом устройстве через Exchange ActiveSync, устройство автоматически попадает в карантин. Чтобы начать получать почту, необходимо вывести устройство из карантина. Сделать это можно с помощью модуля Indeed Mobile Device Provisioning (MDP).

Чтобы настроить модуль Indeed Mobile Device Provisioning:

  1. Создайте и настройте сервисную учетную запись для взаимодействия MDP и Active Directory.
  2. Установите модуль с помощью MSI-пакета.
  3. Зарегистрируйте лицензию модуля в Management Console.
  4. Выполните настройки в Internet Information Services (IIS).
  5. Отредактируйте конфигурационный файл модуля.
  6. Настройте аутентификацию через Identity Provider.
  7. Настройте отображение вкладки в User Console.
  8. При необходимости включите логирование.

Создать и настроить сервисную учетную запись

Модуль Indeed Mobile Device Provisioning будет обращается к Active Directory через сервисную учетную запись, чтобы сформировать список устройств в карантине. От имени этой учетной записи происходит поиск по электронному адресу пользователя.

Чтобы настроить сервисную учетную запись:

  1. В Active Directory создайте сервисную учетную запись.

  2. Откройте панель управления Exchange (ECP).

  3. В разделе Разрешения на вкладке Роли администраторов нажмите , чтобы создать новую группу ролей.

  4. В открывшемся окне задайте следующие настройки:

  • В поле Имя введите название группы.

  • В разделе Роли добавьте:

    • Mail Recipients — роль для получения данных по устройствам.
    • Mailbox Search — роль для получения электронного адреса. Если этой роли не будет, то под сервисной учетной записью можно будет получить только свой электронный адрес.
    • Organization Client Access — роль для предоставления доступа к устройству и для блокировки.

  • В разделе Участники добавьте созданную ранее сервисную учетную запись.

  1. Нажмите Сохранить.

Установить модуль

Запустите IndeedAM.MobileDevProv-v8.2.2.x64.ru-ru.msi, расположенный по пути indeed AM <номер версии>/Indeed AM Mobile Device Provisioning/<номер версии>.

По завершении установки будет предложено сгенерировать новый сертификат IDP. Сертификат необходим для аутентификации через Identity Provider.

Настройки в Internet Information Services

После установки выполните следующие настройки в Internet Information Services:

Добавить сервисную учетную запись

Чтобы добавить сервисную учетную запись в пул приложений, выполните следующее:

  1. Откройте Диспетчер служб IIS.
  2. В левом меню Подключения разверните узел, соответствующий вашему серверу Indeed Access Manager.
  3. Выберите Пулы приложений.
  4. В списке выберите IndeedAM.MDP. В открывшемся справа меню выберите Изменить пул приложенийДополнительные параметры.
  5. В открывшемся окне Дополнительные параметры в разделе Модель процесса выберите Удостоверение и нажмите .
  6. В открывшемся окне Удостоверение пула приложений выберите Особая учетная запись и введите имя пользователя и пароль для созданной сервисной записи Active Directory.
  7. Нажмите ОК. Окно Удостоверение пула приложений закроется.
  8. В окне Дополнительные параметры в разделе Модель процесса выберите Загрузить профиль пользователя и в выпадающем списке выберите значение True.
  9. Сохраните изменения.

Изменить версию среды CLR

Чтобы изменить версию среды CLR:

  1. Откройте Диспетчер служб IIS.
  2. В левом меню Подключения разверните узел, соответствующий вашему серверу Indeed Access Manager.
  3. Выберите Пулы приложений.
  4. В списке выберите IndeedAM.MDP. В открывшемся справа меню выберите Изменить пул приложенийОсновные настройки.
  5. В открывшемся окне Изменение пула приложений в выпадающем списке Версия среды CLR.NET выберите Без управляемого кода и нажмите ОК.

Настроить конфигурацию модуля

В конфигурационном файле MDP C:\inetpub\wwwroot\am\mdp\app-settings.json внесите изменения:

  1. В разделе Exchange в параметре ServerUrl укажите адрес подключения к удаленному серверу PowerShell Exchange в формате https://полное_dns_имя_сервера/Powershell.

    Пример
    "Exchange": {
      "ServerUrl": "https://exchange.indeed-test.com/Powershell"
Проверка в панели управления Exchange (ECP)

В панели управления Exchange откройте раздел Серверы и перейдите на вкладку Виртуальные каталоги. В свойствах PowerShell (Default Web Site) убедитесь, что указанный в конфигурационном файле адрес совпадает с внутренним URL-адресом.

  1. В разделе Server в параметре Url укажите адрес Log Server в формате https://полное_dns_имя_сервера/ls/api/.

    Пример
    "Server": {
        "Url": "https://amcore.indeed-test.com/ls/api/"

  2. В разделе SAML настройте подключение к Identity Provider:

  • в секции LocalServiceProviderConfiguration в параметре Thumbprint укажите отпечаток сертификата MDP;

    Чтобы получить отпечаток сертификата с помощью запроса PowerShell, используйте команду:
    Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=mdpsp"}

  • в секции PartnerIdentityProviderConfigurations:

    • в параметре SingleSignOnServiceUrl укажите адрес Single SignOn Service в формате https://полное_dns_имя_сервера/am/idp/Account/SsoService;

    • в SingleLogoutServiceUrl укажите адрес Single Logout Service в формате https:// полное_dns_имя_сервера/am/idp/Account/SloService;

    • в Thumbprint укажите отпечаток сертификата сертификат Identity Provider.

      Чтобы получить отпечаток сертификата с помощью запроса PowerShell, используйте команду:
      Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=idp"}
    Пример
    "SAML": {
      "$schema": "https://www.componentspace.com/schemas/saml-config-schema-v1.0.json",
      "Configurations": [
        {
          "LocalServiceProviderConfiguration": {
            "AssertionConsumerServiceUrl": "Account/AssertionConsumerService",
            "LocalCertificates": [
              {
                "Thumbprint": "3FD40F59795C9F5977E33E18FCE2D5BB27FDC65C"
              }
            ]
          },
          "PartnerIdentityProviderConfigurations": [
            {
              "Name": "urn:indeedid:saml_idp",
              "SingleSignOnServiceUrl": "https://amcore.indeed-test.com/am/idp/Account/SsoService",
              "SingleLogoutServiceUrl": "https://amcore.indeed-test.com/am/idp/Account/SLOService",
              "PartnerCertificates": [
                {
                  "Thumbprint": "D520DC2E6BEDB1400526842CA88485FFB2F8D757"
                }

Настроить аутентификацию через Identity Provider

Для Indeed Mobile Device Provisioning предусмотрена двухфакторная аутентификация через Identity Provider. Если пользователь прошел аутентификацию в User Console, он автоматически проходит аутентификацию в модуль.

Как установить и настроить Identity Provider

Чтобы настроить аутентификацию в MDP:

  1. Откройте конфигурационный файл Identity Provider inetpub\wwwroot\am\idp\app-settings.json.

  2. Внесите следующие изменения:

  • В секции CustomAttributes в параметре ServiceProvider укажите urn сервиса MDP и атрибуты пользователя из AD, например:
      "CustomAttributes": [
        {
          "ServiceProvider": "urn:indeedid:mobiledeviceprovisioning",
          "Attributes": [
            {
              "Name": "user_name",
              "UserNameFormat": "PrincipalName"
            }
  • В разделе SAML в секцию PartnerServiceProviderConfigurations добавьте блок:
          {
            "Name": "urn:indeedid:mobiledeviceprovisioning",
            "SingleLogoutServiceUrl": "https://полное_dns_имя_сервера/am/mdp/Account/SLOService",
            "PartnerCertificates": [
              {
                "Thumbprint": "3FD40F59795C9F5977E33E18FCE2D5BB27FDC65C"
              }
            ]
          },

где:

  • в параметре SingleSignOnServiceUrl укажите адрес модуля MPD в формате https://полное_dns_имя_сервера/am/mdp/Account/SLOService;

  • в параметре PartnerCertificates укажите отпечаток сертификата MDP, сгенерированный при установке модуля.

    Чтобы получить отпечаток сертификата с помощью запроса PowerShell, используйте команду:
    Get-Childitem Cert:\LocalMachine\My\ | Where-Object {$_.Subject -eq "CN=mdpsp"}
    Пример
    "SAML": {
      "$schema": "https://www.componentspace.com/schemas/saml-config-schema-v1.0.json",
      "Configurations": [
        {
          "LocalIdentityProviderConfiguration": {
            "Name": "urn:indeedid:saml_idp",
            "SingleSignOnServiceUrl": "https://amcore.indeed-test.com/am/idp/Account/SsoService",
            "LocalCertificates": [
              {
                "Thumbprint": "D520DC2E6BEDB1400526842CA88485FFB2F8D757"
              }
            ]
          },
          "PartnerServiceProviderConfigurations": [
            {
              "Name": "urn:indeedid:selfservice",
              "SingleLogoutServiceUrl": "https://amcore.indeed-test.com/am/uc/Account/SLOService",
              "PartnerCertificates": [
                {
                  "Thumbprint": "DE67FAABC02FC39BB640B99108918481A3C280EC"
                }
              ]
            },
            {
              "Name": "urn:indeedid:emc",
              "SingleLogoutServiceUrl": "https://amcore.indeed-test.com/am/mc/Account/SLOService",
              "PartnerCertificates": [
                {
                  "Thumbprint": "17BE639E90FA69A5C0F9241E5B0BE6A826604D9C"
                }
              ]
          },
          {
              "Name": "urn:indeedid:mobiledeviceprovisioning",
              "SingleLogoutServiceUrl": "https://amcore.indeed-test.com/am/mdp/Account/SLOService",
              "PartnerCertificates": [
                {
                  "Thumbprint": "3FD40F59795C9F5977E33E18FCE2D5BB27FDC65C"
                }
              ]
          },

Настроить отображение модуля в User Console

Модуль представляет собой дополнительную вкладку в User Console — Мобильные устройства Exchange — в которой пользователь может самостоятельно вывести устройство из карантина. По умолчанию модуль Indeed Mobile Device Provisioning не отображается отдельной вкладкой в User Console.

Чтобы настроить отображение модуля:

  1. Откройте конфигурационный файл User Console C:\inetpub\wwwroot\am\uc\Web.config.

  2. Внесите следующие изменения:

  • В секцию configSections добавьте следующую строку, если ее нет:

    section name="amMobileDeviceProvisioning" type="IndeedID.Web.SelfService.Settings.MobileDeviceProvisioningSettings"

  • В строке

    amMobileDeviceProvisioning isEnabled="false" url="MOBILE_DEVICE_PROVISIONING_URL/device/embed"
    • в параметре isEnabled укажите значение true, чтобы настроить отображение вкладки в User Console;
    • в параметре url укажите адрес сервера с установленным модулем Mobile Device Provisioning в формате https://полное_dns_имя_сервера/am/mdp/device/embed.
Пример
<configuration>
  <configSections>
    <section name="amAuthServer" type="IndeedID.Web.Shared.Utils.ConfigReader.AuthServerSettings, IndeedID.Web.Shared, Version=1.0.0.0, Culture=neutral" />
    <section name="amCulture" type="IndeedID.Web.Shared.Utils.ConfigReader.CultureHandler, IndeedID.Web.Shared, Version=1.0.0.0, Culture=neutral" />
    <section name="amAuthentication" type="IndeedID.Web.Shared.Utils.ConfigReader.AuthConfigReader" />
    <section name="amProviderImages" type="IndeedID.Web.Shared.Utils.ConfigReader.ProviderImagesHandler, IndeedID.Web.Shared, Version=1.0.0.0, Culture=neutral" />
    <section name="amApplicationSettings" type="IndeedID.Web.Shared.Utils.ConfigReader.ApplicationSettingsHandler" />
    <section name="amMobileDeviceProvisioning" type="IndeedID.Web.SelfService.Settings.MobileDeviceProvisioningSettings" />
  </configSections>
  <amAuthServer Url="https://amcore.company.com/am/core/" />
  <amCulture isEnabled="true" />
  <amProviderImages configSource="Config\providerImages.config" />
  <amAuthentication mode="Saml" loginUrl="https://amcore.company.com/am/idp/" identityProviderCertificateThumbprint="D520DC2E6BEDB1400526842CA88485FFB2F8D757" serviceProviderCertificateThumbprint="DE67FAABC02FC39BB640B99108918481A3C280EC" enableLogout="true" />
  <amApplicationSettings configSource="Config\applicationSettings.config" />
  <amMobileDeviceProvisioning isEnabled="true" url="https://amcore.indeed-test.com/am/mdp/device/embed" />
  <appSettings>
Важно!

Для аутентификации в модуль MDP используется Identity Provider. Если User Console и Identity Provider находятся на разных машинах и у них разные доменные имена, добавьте в конфигурационный файл Identity Provider Web.config параметр Content-Security-Policy в раздел customHeaders.

Пример

<customHeaders>
<add name="Content-Security-Policy" value="frame-ancestors 'self' https://*.domain.local" />
</customHeaders>

Настроить логирование

Чтобы настроить сбор логов для модуля MDP:

  1. Откройте конфигурационный файл C:\inetpub\wwwroot\am\mdp\nlog.config.
  2. В разделе rules:
  • в параметре minlevel укажите значение Trace;
  • в параметре enabled введите значение true.
  1. Сохраните изменения.

В журнале событий Indeed AM отображаются следующие события работы модуля:

  • пользователь успешно вывел мобильное устройство из карантина;
  • не удалось вывести мобильное устройство из карантина;
  • пользователь заблокировал мобильное устройство;
  • не удалось заблокировать мобильное устройство.

Подробнее в разделе События.