Sécurité complète pour portables d entreprise. Manuel d'installation et de déploiement

Transcription

1 Sécurité complète pour portables d entreprise Manuel d'installation et de déploiement

2 Trend Micro Incorporated se réserve le droit de modifier ce document et les produits décrits ici sans préavis. Avant d'installer et d'utiliser votre logiciel, veuillez donc consulter les fichiers Lisez-moi, les notes de mise à jour et la dernière version de la documentation utilisateur applicable que vous trouverez sur le site Web de Trend Micro à l'adresse suivante : Trend Micro, le logo Trend Micro, OfficeScan et TrendLabs sont des marques commerciales ou des marques déposées de Trend Micro Incorporated. Tous les autres noms de sociétés ou de produits sont des marques commerciales ou des marques déposées de leurs propriétaires respectifs. Copyright Trend Micro Incorporated. Tous droits réservés. Date de publication : juillet 2012 Numéro de référence de cette documentation : TSFM85540/120810

3 La documentation utilisateur de Trend Micro Mobile Security a pour objectif de présenter les fonctions principales du logiciel et les instructions d installation pour votre environnement de production. Nous vous conseillons de la lire avant d installer ou d utiliser le logiciel. Vous trouverez des informations détaillées sur l'utilisation des fonctions spécifiques du logiciel dans le fichier d'aide en ligne et dans la Base de connaissances en ligne sur le site Web de Trend Micro. Trend Micro cherche toujours à améliorer sa documentation. Vos remarques sont toujours les bienvenues. Vous pouvez évaluer cette documentation sur le site Web suivant :

4 Sommaire Sommaire Préface Public cible...iv Documentation de Mobile Security...iv Conventions typographiques du document...v Chapitre 1 : Préparation à l'installation du serveur Planification du réseau Modèle de sécurité de base (Installation sur un serveur) Modèle de sécurité renforcée (Installation sur deux serveurs) Serveur d'administration Serveur de communication Expéditeur SMS Agent de dispositif mobile Configuration minimale requise Chapitre 2 : Préparation de l'ordinateur serveur pour l'installation Conditions préalables générales Conditions préalables pour l'assistance ios Conditions préalables pour l'assistance BlackBerry Chapitre 3 : Installation et suppression des composants du serveur Installation des composants serveur Installation du serveur d'administration Enregistrement du produit Accès à la console Web du serveur d'administration Installation du serveur de communication Installation de l'expéditeur de SMS Installation des composants du serveur à l'aide d'une source de mise à jour locale i

5 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 ii Mise à niveau vers Mobile Security v Suppression des composants du serveur Suppression du serveur d'administration Suppression automatique du serveur d'administration Suppression manuelle du serveur d'administration Suppression du serveur de communication Chapitre 4 : Configuration des composants du serveur Configuration initiale du serveur Configuration des paramètres de base de données Configuration des paramètres d'authentification des dispositifs Configuration des paramètres Active Directory (AD) Configuration des paramètres du serveur de communication Configuration des paramètres courants du serveur de communication Configuration des paramètres du serveur de communication Android Configuration du serveur DNS pour une mise en service simplifiée d'android Configuration des paramètres ios du serveur de communication 4-7 Configuration des paramètres BlackBerry du serveur de communication Gestion du certificat Apple Push Notification Service Utilisation de la configuration et de la vérification Configuration des paramètres de notifications/rapports Configuration des notifications administrateur Chapitre 5 : Installation des composants d'agents de dispositif mobile Planification de l'installation d'agents de dispositif mobile Plates-formes et dispositifs mobiles pris en charge Stockage et mémoire du dispositif Méthodes d'installation de l'agent de dispositif mobile Installation de l'agent de dispositif mobile Installation en mode silencieux à l'aide des notifications par ou par SMS Configuration du message d installation Configuration de la liste du dispositif mobile Vérification de l'état de l'agent de dispositif mobile Installation à l'aide d'une carte mémoire (Symbian et Windows) Lancement manuel du fichier d'installation...5-8

6 Sommaire Enregistrement manuel Mise en service ios Utilisation du module de chiffrement et de mot de passe Annexe A : Configurations de ports de pare-feu Configurations de ports de pare-feu pour modèle de sécurité de base (Installation sur un serveur)... A-2 Configurations de ports de pare-feu pour modèle de sécurité renforcée (Installation sur deux serveurs)... A-4 Annexe B : Configurations facultatives Utilisation de l'authentification Windows pour SQL Server...B-2 Configuration des ports du serveur de communication...b-3 Augmentation de l'extensibilité du serveur...b-4 Annexe C : Génération et configuration d'un certificat APNs (Apple Push Notification service) Familiarisation avec le Certificat APNs (Apple Push Notification service)...c-2 Génération d'un certificat APNs (Apple Push Notification service)...c-3 Génération d'un certificat APNs (Apple Push Notification service) à partir d'un poste de travail Mac...C-4 Génération d'un certificat APNs (Apple Push Notification service) à partir d'un Windows Server...C-8 Téléchargement du certificat APNs (Apple Push Notification service) vers le serveur Mobile Security... C-16 Génération et configuration d'un certificat APNs (Apple Push Notification service) dans Windows Server 2003 à l'aide d'iis C-17 Annexe D : Génération et configuration d'un certificat SSL Génération et installation d'un certificat SSL privé sur le serveur de communication...d-2 Obtention et installation d'un certificat SSL public sur le serveur de communication...d-13 Génération et configuration d'un certificat SSL dans Windows Server 2003 à l'aide d'iis D-14 iii

7 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 iv

8 Préface Préface Bienvenue dans le Trend Micro Mobile Security for Enterprise 8.0 Manuel d'installation et de déploiement. Ce guide assiste les administrateurs dans le déploiement et la gestion de Mobile Security for Enterprise 8.0. Il décrit les différents composants de Mobile Security et les diverses méthodes de déploiement d'agents de dispositif mobile. Pour obtenir les dernières informations sur Mobile Security, en particulier la prise en charge des dispositifs mobiles et les dernières compilations, visitez la page Remarque : Ce manuel Manuel d'installation et de déploiement s'applique uniquement à Mobile Security version 8.0. Il ne s'applique pas à d'autres versions de Mobile Security. L'assistance de Trend Micro se limite à l'utilisation de Mobile Security. Pour recevoir de l'assistance sur les applications tierces mentionnées dans ce manuel, contactez les fournisseurs correspondants. Cette préface aborde les rubriques suivantes : Public cible à la page iv Documentation de Mobile Security à la page iv Conventions typographiques du document à la page v iii

9 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Public cible La documentation de Mobile Security s'adresse à la fois aux utilisateurs du dispositif et aux administrateurs qui sont responsables de la gestion des dispositifs Mobile Security dans les environnements d'entreprise. Les administrateurs doivent avoir une connaissance moyenne à avancée de l'administration système Windows et des stratégies des dispositifs mobiles, comme : L'installation et la configuration des serveurs Windows L'installation de logiciels sur les serveurs Windows La configuration et la gestion des dispositifs mobiles (tels que les smartphones et Pocket PC/Téléphones Pocket PC Phone) Les concepts du réseau (comme l'adresse IP, le masque réseau, la topologie, les paramètres LAN) Les diverses topologies du réseau Les dispositifs réseau et leur administration Les configurations réseau (telles que l'utilisation de VLAN, HTTP et HTTPS) Documentation de Mobile Security La documentation de Mobile Security contient les éléments suivants: Manuel de l'administrateur ce manuel donne en détails les stratégies et technologies de configuration de Mobile Security. Manuel d'installation et de déploiement ce manuel vous aide à faire fonctionner Mobile Security et vous assiste dans la planification et l'installation réseau. Manuel de l'utilisateur ce manuel présente aux utilisateurs les concepts basiques de Mobile Security et leur donne des instructions pour la configuration de Mobile Security sur leurs dispositifs mobiles. Aide en ligne l'objectif de l'aide en ligne est de fournir des descriptions des principales tâches du produit, des conseils d'utilisation et des informations spécifiques aux champs, telles que les plages de paramètres valides et les valeurs optimales. Fichier Lisez-moi il contient des informations de dernière minute sur le produit qui ne se trouvent pas dans la documentation en ligne ou imprimée. Les rubriques contiennent une description des nouvelles fonctionnalités, des conseils d'installation, les problèmes connus et l'historique des versions. iv

10 Préface Base de connaissances la base de connaissances est une base de données en ligne contenant des informations sur la résolution des problèmes et le dépannage. Elle contient les dernières informations sur les problèmes connus identifiés pour les produits. Pour accéder à la base de connaissances, ouvrez: Conseil : Trend Micro recommande de consulter le lien adéquat du centre de mise à jour ( pour obtenir des mises à jour sur la documentation du produit. Conventions typographiques du document Pour faciliter la recherche et la compréhension des informations, cette documentation utilise les conventions suivantes. CONVENTION TOUT EN MAJUSCULES Gras Italique Monospace Lien DESCRIPTION Acronymes, abréviations, noms de certaines commandes et touches du clavier Menus et commandes de menu, boutons de commande, onglets, options et tâches Références à des documentations annexes Exemples, échantillons de lignes de commande, code de programme, adresses Internet, noms de fichier et sortie de programme Références croisées ou hyperliens. v

11 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 CONVENTION DESCRIPTION Remarque : Remarques de configuration Conseil : Recommandations AVERTISSEMENT! Rappels à propos d'actions ou de configurations à éviter vi

12 Chapitre 1 Préparation à l'installation du serveur Ce chapitre assiste les administrateurs dans la préparation des composants du serveur pour Trend Micro Mobile Security for Enterprise 8.0. Ce chapitre contient les sections suivantes : Planification du réseau à la page 1-2 Modèle de sécurité de base (Installation sur un serveur) à la page 1-3 Modèle de sécurité renforcée (Installation sur deux serveurs) à la page 1-4 Configuration minimale requise à la page

13 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Planification du réseau Mobile Security for Enterprise 8.0 comprend les quatre composants suivants : Serveur d'administration Serveur de communication Expéditeurs de SMS (facultatif) Agent de dispositif mobile (MDA) En fonction des besoins de votre entreprise, vous pouvez implémenter Mobile Security à l'aide de différentes méthodes de communication client-serveur. Vous pouvez également choisir de configurer une ou plusieurs combinaisons de méthodes de communication client-serveur sur votre réseau. Trend Micro Mobile Security prend en charge deux modèles de déploiement différents : Modèle de sécurité de base (Installation sur un serveur) Modèle de sécurité renforcée (Installation sur deux serveurs) 1-2

14 Préparation à l'installation du serveur Modèle de sécurité de base (Installation sur un serveur) Le Modèle de sécurité de base prend en charge l'installation du serveur de communication et le serveur d'administration sur le même ordinateur. La Figure 1-1 montre l'emplacement de chaque composant de Mobile Security dans un modèle de sécurité de base standard. FIGURE 1-1. Modèle de sécurité de base 1-3

15 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Modèle de sécurité renforcée (Installation sur deux serveurs) Le Modèle de sécurité renforcée prend en charge l'installation du serveur de communication et du serveur d'administration sur deux ordinateurs serveurs différents. La Figure 1-2 montre l'emplacement de chaque composant de Mobile Security dans un modèle de sécurité renforcée standard. AVERTISSEMENT! Trend Micro recommande vivement de déployer le Modèle de sécurité renforcée sur deux ordinateurs serveurs. Ce modèle offre une sécurité maximale. FIGURE 1-2. Modèle de sécurité renforcée Serveur d'administration Le serveur d'administration est un programme plug-in qui vous permet de contrôler les agents de dispositif mobile depuis la console Web OfficeScan. Une fois les dispositifs mobiles enregistrés, vous pouvez configurer les stratégies des agents de dispositif mobile et effectuer des mises à jour. 1-4

16 Préparation à l'installation du serveur Serveur de communication Le serveur de communication traite les communications entre le serveur d'administration et les agents de dispositif mobile. Le serveur de communication permet au serveur d'administration de gérer les agents de dispositif mobile en dehors du réseau intranet d'entreprise. Les agents de dispositifs mobiles peuvent se connecter à l'adresse IP publique du serveur de communication. Vous pouvez utiliser la console Web OfficeScan pour configurer les stratégies du serveur de communication. Expéditeur SMS Les expéditeurs de SMS sont désignés comme des dispositifs mobiles connectés au serveur de communication via des connexions WLAN ou ActiveSync (version 4.0 ou supérieure). Un expéditeur de SMS reçoit les commandes du serveur et les relaie aux dispositifs mobiles par le biais de SMS. Il est possible d'utiliser les SMS pour avertir les dispositifs mobiles qu'il est nécessaire de : télécharger et installer l'agent de dispositif mobile enregistrer l'agent de dispositif mobile sur le serveur Mobile Security mettre à jour les composants de l'agent de dispositif mobile depuis le serveur Mobile Security supprimer, verrouiller ou localiser le dispositif mobile à distance synchroniser les stratégies avec le serveur Mobile Security Agent de dispositif mobile Installez l'agent de dispositif mobile sur les plates-formes prises en charge par le biais de l'une des méthodes d'installation notification par SMS, notification par , carte mémoire et installation manuelle. L'agent de dispositif mobile propose une protection sans faille contre les programmes malveillants, les messages SMS/WAP-Push indésirables et le trafic réseau. Les utilisateurs pourront profiter des avantages de l'analyse en temps réel, de la protection par pare-feu et du chiffrement des données lors de l'envoi/la réception de messages, et lors de l'ouverture de fichiers sur le dispositif mobile. 1-5

17 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Configuration minimale requise Consultez les configurations minimales requises suivantes avant d'installer chaque composant Mobile Security sur votre réseau. Pour plus de renseignements sur les composants de Mobile Security, consultez Mobile Security for Enterprise 8.0 le manuel de l'administrateur. TABLEAU 1-1. Configuration minimale requise COMPOSANT CONFIGURATION Serveur d'administration Serveur OfficeScan 10.5/10.0 SP1/10.0 avec Plug-in Manager 1.0 (compilation 3163) ou Serveur OfficeScan 10.6/10.5 avec Plug-in Manager 2.0 (compilation 1188) Remarque : Consultez la documentation du serveur OfficeScan Client/Server Edition 10.0/10.5/10.6 pour obtenir la configuration minimale requise. 1-6

18 Préparation à l'installation du serveur TABLEAU 1-1. Configuration minimale requise COMPOSANT Serveur de communication Plate-forme CONFIGURATION Famille des systèmes d'exploitation Windows 2003 Server Famille des systèmes d'exploitation Windows 2003 R2 Server Famille des systèmes d'exploitation Windows 2008 Server Famille des systèmes d'exploitation Windows 2008 R2 Server Plate-forme recommandée Windows Server 2008 R2 Enterprise Edition Windows Server 2008 Enterprise Edition SP1 Windows Server 2003 R2 Enterprise Edition Windows Server 2003 Enterprise Edition Windows Server 2008 Standard Edition Windows Web Server 2008 Edition SP1 Matériel Processeur Intel Pentium 1 GHz ou équivalent Au minimum 1 Go de RAM Au moins 40 Mo d'espace disque disponible Écran avec résolution 800 x 600 pixels, 256 couleurs minimum 1-7

19 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 TABLEAU 1-1. Configuration minimale requise COMPOSANT CONFIGURATION Expéditeur SMS Téléphone Windows Mobile 5 Pocket PC Windows Mobile 5 Smartphone Windows Mobile 6 édition standard Windows Mobile 6 édition professionnelle SQL Server Microsoft SQL Server 2005 Microsoft SQL Server 2005 Express Edition Microsoft SQL Server 2008 Microsoft SQL Server 2008 Express Edition Microsoft SQL Server 2008 R2 Microsoft SQL Server 2008 R2 Express Edition Serveur Web pour le serveur de communication Microsoft Internet Information Server (IIS) 6.0/7.0/7.5 Remarque : Si vous utilisez IIS 7.0 ou une version supérieure pour le serveur d'administration ou le serveur de communication, assurez-vous : d'avoir installé et activé les extensions ISAPI dans le développement d'applications et la compatibilité de gestion IIS6. de contrôler que WebDAV n'est PAS installé dans le développement d'applications. Navigateur Internet Internet Explorer 7.0 ou version supérieure 1-8

20 Chapitre 2 Préparation de l'ordinateur serveur pour l'installation Ce chapitre fournit les informations requises dont vous aurez besoin pour préparer votre ordinateur serveur pour l'installation de Trend Micro Mobile Security for Enterprise 8.0. Ce chapitre contient les sections suivantes : Conditions préalables générales à la page 2-2 Conditions préalables pour l'assistance ios à la page 2-3 Conditions préalables pour l'assistance BlackBerry à la page

21 Trend Micro Mobile Security for Enterprise v8.0 Manuel d'installation et de déploiement Conditions préalables générales Vous devez effectuer les tâches suivantes afin de préparer votre ordinateur serveur pour l'installation sur toutes les plates-formes de dispositif mobile. 1. Installation de SQL Server Installer l'une des versions suivantes de SQL Server : Microsoft SQL Server 2005 (ou Express edition) Pour la procédure d'installation détaillée de SQL server 2005, consultez l'url suivante : Microsoft SQL Server 2008/2008 R2 (ou Express edition) Pour la procédure d'installation détaillée de SQL server 2008, consultez l'url suivante : Trend Micro recommande l'utilisation de la méthode d'authentification SQL Server au lieu de l'authentification Windows. Cependant, vous pouvez également configurer l'authentification Windows pour SQL Server. Consultez Utilisation de l'authentification Windows pour SQL Server à la page B-2 pour plus de renseignements. 2. Droits d'accès au compte de service Active Directory (facultatif) Remarque : Vous devez uniquement suivre cette étape si vous avez l'intention d'utiliser Active Directory pour l'authentification utilisateur ou pour importer des utilisateurs depuis active directory. Sinon, ignorez cette étape. Créez le Compte de service Active Directory pour Mobile Security 8.0 et attribuez-lui au moins l'accès en lecture seule à Active Directory. Pour la procédure d'installation détaillée d'active Directory, consultez l'url suivante : 2-2

22 Préparation de l'ordinateur serveur pour l'installation 3. Règles d'accès au routeur/pare-feu Appliquez l'ensemble des règles suivantes : Si vous avez l'intention d'utiliser active directory pour l'authentification utilisateur ou pour importer des utilisateurs depuis active directory, le serveur d'administration et le serveur de communication doivent pouvoir se connecter tous les deux au serveur de l'annuaire d'entreprise. Le serveur d'administration et le serveur de communication doivent pouvoir se connecter tous les deux au serveur SQL à distance, là où est installée la base de données Trend Micro Mobile Security. Configurez les deux ports suivants afin d'établir une connexion entre le serveur d'administration et le serveur de communication : 8189 le port par défaut pour une connexion SOAP. Autorise une connexion entrante au serveur de communication depuis le serveur d'administration sur le port TCP le port par défaut pour une connexion au socket. Autorise une connexion entrante au serveur de communication depuis le serveur d'administration sur le port TCP S'il vous est nécessaire de personnaliser ces numéros de port, consultez Configuration des ports du serveur de communication à la page B-3 pour plus de renseignements. Tous les dispositifs mobiles doivent être en mesure de se connecter au serveur de communication. Conditions préalables pour l'assistance ios 1. Autorité de certification (facultatif) Installez l'autorité de certification pour les dispositifs mobiles ios. Pour la procédure d'installation détaillée de l'autorité de certification, consultez l'url suivante : Remarque : L'autorité de certification est requise si vous désirez utiliser SCEP pour les dispositifs mobiles ios. Si vous ne souhaitez pas utiliser SCEP, il n'est pas nécessaire d'installer l'autorité de certification. 2-3

23 Trend Micro Mobile Security for Enterprise v8.0 Manuel d'installation et de déploiement 2. Extension du protocole d'inscription du certificat simple (SCEP) (facultatif) Remarque : Si vous ne souhaitez pas utiliser SCEP pour les dispositifs mobiles ios, vous devrez le désactiver dans Paramètres du serveur de communication après avoir installé le serveur d'administration et le serveur de communication. Consultez la section Configuration des paramètres ios du serveur de communication à la page 4-7 pour la procédure. Si vous avez installé SCEP sur Windows Server 2008, installez le Service d inscription de périphérique réseau pour Windows Server. Consultez l'url suivante pour la procédure d'installation et de déploiement du Service d inscription de périphérique réseau : ou Remarque : Si vous souhaitez utiliser SCEP, Trend Micro vous recommande de l'utiliser sur Windows Server Si vous avez installé SCEP sur Windows Server 2003, installez le composant additionnel SCEP pour les services de certificats. Allez sur l'url suivante pour télécharger le composant additionnel SCEP pour les Services de certificats : ou 1D B2D01&displaylang=e&displaylang=en 3. Vérification des horloges système Assurez-vous que l'heure des horloges système du serveur SCEP, du serveur de communication et du serveur d'administration est correcte. 4. Modification des propriétés du module de stratégie pour l'autorité de certification a. Sur l'ordinateur sur lequel l'autorité de certification est installée, ouvrez la console de gestion de l'autorité de certification. b. Cliquez sur l'onglet Module de stratégie, puis cliquez sur Propriétés. 2-4

24 Préparation de l'ordinateur serveur pour l'installation c. Sélectionnez Respectez les paramètres dans le modèle de certificat, le cas échéant. Sinon, émettez le certificat automatiquement. d. Sélectionnez OK. 5. Certificat APNs (Apple Push Notification server) Si vous souhaitez utiliser la fonction Gestion des dispositifs mobiles (MDM) sur ios4 ou versions supérieures, procurez-vous un certificat APNs (Apple Push Notification service) auprès d'apple. Consultez la section Annexe C, Génération et configuration d'un certificat APNs (Apple Push Notification service) à partir de la page C-1 pour plus de détails sur les procédures à suivre. 6. Règles d'accès au routeur/pare-feu Appliquez l'ensemble des règles suivantes : Les dispositifs mobiles ios doivent être en mesure de se connecter au serveur de communication. Si vous utilisez SCEP : Le serveur de communication doit être en mesure de se connecter au serveur SCEP. Les dispositifs mobiles ios doivent être en mesure de se connecter directement au serveur SCEP lors de l'enregistrement au serveur Mobile Security. Configurez les ports suivants : Port TCP 2195 Permet une connexion sortante depuis le serveur de communication au Apple Push Notification Service sur le port TCP Le nom d'hôte d'apple Push Notification Service est gateway.push.apple.com. Port 5223 Afin de recevoir une notification push du serveur Apple pour les dispositifs ios, vous devez ouvrir le port 5223, en particulier lors d'une connexion par le biais d'un réseau Wi-Fi où le port 5223 est bloqué. Cependant, si les dispositifs mobiles se trouvent sur un réseau 3G, il n'est pas nécessaire d'ouvrir ce port. 7. Certificat de serveur SSL (pour une communication HTTPS) Si vous souhaitez utiliser le service de communication sécurisé HTTP (HTTPS) entre les dispositifs mobiles et le serveur de communication, procurez-vous un certificat de serveur SSL auprès d'une autorité de certification publique reconnue ou générez un certificat de serveur SSL privé et installez-le sur le serveur de communication. Consultez la section Annexe D, Génération et configuration d'un certificat SSL à partir de la page D-1 pour plus de détails sur les procédures à suivre. 2-5

25 Trend Micro Mobile Security for Enterprise v8.0 Manuel d'installation et de déploiement Les dispositifs mobiles ios 5.x prennent uniquement en charge HTTPS. En conséquence, si vous souhaitez gérer des dispositifs mobiles ios 5.x, vous devez utiliser HTTPS pour communiquer avec le serveur de communication, et configurer le certificat SSL sur le serveur de communication. Remarque : Étant donné que seul le serveur de communication communique avec les dispositifs mobiles, il n'est pas nécessaire de configurer le certificat SSL sur le serveur d'administration. 8. Vérification de la configuration pour le serveur SCEP (facultatif) Si vous avez installé SCEP pour les dispositifs mobiles ios, effectuez les tâches suivantes afin de vérifier la configuration serveur : Pour SCEP exécuté sous Windows Server 2008, accédez aux URL suivantes à partir du serveur de communication : Remarque : Remplacez <SCEPServerIP> par l'adresse IP réelle du serveur SCEP dans les URL. Pour SCEP exécuté sous Windows Server 2003 : accédez aux URL suivantes à partir du serveur de communication : Remarque : Remplacez <SCEPServerIP> par l'adresse IP réelle du serveur SCEP dans les URL. Si vous voyez la page Web similaire à la Figure 2-3. Vérification de la configuration, votre serveur est configuré correctement : 2-6

26 Préparation de l'ordinateur serveur pour l'installation FIGURE 2-3. Vérification de la configuration Remarque : Lorsqu'un dispositif mobile ios est inscrit, il peut accéder à l'url suivante : Le dispositif mobile ios doit uniquement se connecter au serveur SCEP pour l'inscription et ne requiert cette connexion pour aucune utilisation ultérieure. Conditions préalables pour l'assistance BlackBerry 1. Serveur Enterprise Blackberry Installez le serveur Enterprise Blackberry (BES). Consultez les URL suivantes pour de plus amples renseignements concernant BES 5.x : et 2-7

27 Trend Micro Mobile Security for Enterprise v8.0 Manuel d'installation et de déploiement 2. Outil d'administration BES de l'utilisateur Si vous souhaitez utiliser les dispositifs Mobile Security pour Blackberry, installez l'outil d'administration BES de l'utilisateur sur le serveur d'administration. Pour télécharger l'outil d'administration BES de l'utilisateur : a. Allez à l'url suivante : b. Dans la liste de Logiciels commerciaux, cliquez sur Kit de ressources du serveur Enterprise Blackberry, puis lisez les instructions sur la page Web pour télécharger l'outil d'administration du serveur Enterprise Blackberry de l'utilisateur v5.0 Service Pack 2 à partir du Kit de ressources du serveur Enterprise Blackberry v5.0 Service Pack Activation d'un dispositif mobile BlackBerry Vous devez activer les dispositifs mobiles BlackBerry avant de pouvoir les gérer à l'aide de Mobile Security. Consultez les URL suivantes pour plus de détails à ce sujet : 4. Règle d'accès au routeur/pare-feu Configurez le port suivant : Port TCP 3101 Permet une connexion sortante à partir du BES pour connecter l'infrastructure BlackBerry (BBI) au port TCP

28 Chapitre 3 Installation et suppression des composants du serveur Ce chapitre guide l'administrateur pour l'installation des composants du serveur Trend Micro Mobile Security for Enterprise 8.0. Ce chapitre guide également l'utilisateur pour la suppression des composants du serveur. Ce chapitre contient les sections suivantes : Installation des composants serveur à la page 3-2 Installation des composants du serveur à l'aide d'une source de mise à jour locale à la page 3-8 Mise à niveau vers Mobile Security v8.0 à la page 3-9 Suppression des composants du serveur à la page

29 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Installation des composants serveur Avant de procéder à l'installation des composants serveur de Mobile Security, assurez-vous que les composants Mobile Security sont conformes à la configuration minimale requise. Il vous faudra peut-être aussi évaluer votre topologie réseau et choisir les composants du serveur Mobile Security que vous souhaitez installer. Cette section indique comment installer les composants du serveur de Mobile Security suivants : Serveur d'administration héberge le programme OfficeScan et fournit la console de gestion administrateur. Serveur de communication le serveur qui gère la communication entre le serveur d'administration et les agents de dispositif mobile (MDA) Expéditeur de SMS dispositif mobile se connectant au serveur de communication afin d'envoyer des messages SMS Remarque : Le serveur d'administration et le serveur de communication ne prennent pas en charge l'installation sur Windows Server Installation du serveur d'administration Avant de pouvoir installer le serveur d'administration, assurez-vous d'avoir installé les éléments suivants au préalable : Serveur Web Microsoft IIS pour serveur OfficeScan Serveur OfficeScan version 10.0/10.5/10.6 et Plug-in Manager 1.0/2.0. Pour installer le serveur d'administration : 1. Connectez-vous à la console Web OfficeScan. 2. Cliquez sur Plug-in Manager dans le menu principal. 3. Cliquez sur Télécharger pour obtenir le pack de plug-in de Mobile Security. Le pack contient également les fichiers d'installation de l'expéditeur de SMS, du serveur de communication, et de l'agent de dispositif mobile. 4. Cliquez sur OK pour démarrer le processus de téléchargement du fichier. Attendez jusqu'à ce que le téléchargement soit terminé. 5. Cliquez sur Installer maintenant. 6. Cliquez sur Accepter pour accepter la licence utilisateur final et démarrer le processus d'installation. 3-2

30 Installation et suppression des composants du serveur Remarque : Mobile Security nécessite le téléchargement du fichier.apk par l'environnement d'exécution Java (Java Runtime Environment, JRE) depuis le module de gestion d'applications sur le serveur d'administration. Le JRE est installé automatiquement avec l'installation du serveur d'administration. Cependant, si JRE est déjà installé sur l'ordinateur sur lequel vous avez installé le serveur d'administration, alors l'installation du serveur d'administration n'inclura pas l'installation de JRE. Si la version existante de JRE est inférieure à 1.6, vous devrez installer JRE manuellement, et installer la version 1.6 ou supérieure. Enregistrement du produit Pendant une période précise, Trend Micro propose à tous les utilisateurs enregistrés un service d'assistance technique, des téléchargements de fichiers de signatures de programmes malveillants et des mises à jour de programmes. Au terme de cette période, ils doivent acheter un renouvellement de maintenance pour continuer à bénéficier de ces services. Enregistrez votre serveur Mobile Security pour recevoir les dernières mises à jour de sécurité, ainsi que d'autres services de produits et de maintenance. Il vous suffit d'enregistrer le serveur Mobile Security sur le serveur d'administration à l'aide du code d'activation. Les agents de dispositif mobile obtiennent automatiquement les informations de licence à partir du serveur Mobile Security après la connexion et l'enregistrement des dispositifs mobiles sur le serveur. Format du code d'activation Le code d'activation s'affiche dans le format suivant : xx-xxxx-xxxxx-xxxxx-xxxxx-xxxxx-xxxxx Pour enregistrer le serveur Mobile Security : 1. Connectez-vous à la console Web OfficeScan et cliquez sur Plug-in Manager. 2. Cliquez sur le bouton Gestion des programmes de Mobile Security. Si c'est la première fois que vous accédez à la console de gestion, l'écran de la licence du produit s'affiche. Sinon, cliquez sur Administration > Licence du produit, puis cliquez sur Nouveau code d'activation. 3-3

31 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v Saisissez le code d'activation dans les champs proposés puis cliquez sur Enregistrer. FIGURE 3-4. Enregistrement de Mobile Security après l'installation 4. Vérifiez que l'enregistrement du produit s'est correctement effectué. Cliquez sur Tableau de bord pour afficher l'écran du Tableau de bord. Vous devriez voir le message «Trend Micro Mobile Security 8.0 est activé.» si l'enregistrement du produit a réussi. Une fois l'enregistrement terminé, l'écran de Mise en route s'affiche, tel qu'illustré dans la Figure 3-5 et vous guide à travers les étapes nécessaires pour compléter les paramètres initiaux. FIGURE 3-5. Écran de mise en route 3-4

32 Installation et suppression des composants du serveur Accès à la console Web du serveur d'administration Vous pouvez accéder à la console de gestion pour le serveur d'administration par le biais de la console Web OfficeScan. Pour accéder à la console Web du serveur d'administration : 1. Connectez-vous à la console Web OfficeScan et cliquez sur Plug-in Manager. 2. Cliquez sur Gestion des programmes de Mobile Security. Accès à la console Web du serveur d'administration à l'aide d'internet Explorer 9 avec IIS version 6 Si vous utilisez IIS version 6 pour le serveur d'administration, vous devez configurer le type de MIME (Multipurpose Internet Mail Extensions) correct pour permettre aux feuilles de style en cascade (Cascading Style Sheets, CSS) d'afficher la console Web du serveur d'administration correctement. Pour configurer le type de MIME pour CSS dans IIS 6 : 1. Ouvrez l'écran du Gestionnaire Internet Information Services (IIS) et cliquez avec le bouton droit sur OfficeScan > officescan > console et cliquez sur Propriétés. La fenêtre contextuelle des Propriétés de la console s'affiche. 2. Sur l'onglet En-têtes HTTP, cliquez sur Types de MIME, puis cliquez sur Nouveau. 3. Dans le champ Extension, saisissez.css et dans le champ type de MIME, saisissez text/css, et cliquez sur OK. 4. Cliquez sur OK dans la fenêtre contextuelle Types de MIME puis dans la fenêtre contextuelle Propriétés de la console. Installation du serveur de communication Remarque : Avant de procéder à l'installation du serveur de communication, assurez-vous d'avoir installé le serveur Web IIS sur votre ordinateur. Avec le serveur Web IIS, le serveur de communication prend en charge les types de connexion HTTP et HTTPS. Pour installer le serveur de communication : 1. Connectez-vous à la console Web OfficeScan. 2. Cliquez sur Plug-in Manager dans le menu principal. 3-5

33 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v Cliquez sur Administration > Paramètres du serveur de communication > Paramètres courants et cliquez sur le lien de téléchargement afin de télécharger le pack du serveur de communication sur l'ordinateur sur lequel vous souhaitez installer le serveur de communication. 4. Double-cliquez sur le fichier d'installation pour démarrer le processus. 5. Suivez les instructions indiquées à l'écran. 6. Sélectionnez une adresse IP et un numéro de port de service sur le serveur de communication. L'adresse IP et le numéro de port sont utilisés pour permettre au serveur de communication de communiquer avec le serveur d'administration. Trend Micro recommande de sélectionner «TOUS» pour l'adresse IP. Remarque : Si l'installation échoue, assurez-vous que la fonctionnalité extension ISAPI est installée pour Internet Information Service (IIS). De plus, assurez-vous d'installer le serveur de communication avec les privilèges administrateur. Installation de l'expéditeur de SMS L'expéditeur de SMS est un dispositif Windows Mobile qu'il n'est nécessaire d'installer que si vous souhaitez envoyer des messages SMS en vue de transmettre des notifications aux utilisateurs depuis le serveur Mobile Security Remarque : Si vous n'utilisez pas l'expéditeur de SMS, seules les instructions de verrouillage et de suppression à distance ne seront pas transmises aux dispositifs Windows Mobile. Cependant, toutes les autres fonctionnalités fonctionneront normalement. De plus, si vous n'utilisez pas l'expéditeur de SMS, toutes les fonctionnalités de Mobile Security fonctionneront normalement pour les dispositifs mobiles ios, Android, BlackBerry et Symbian. Installez les expéditeurs de SMS pour envoyer des messages notifiant les agents de dispositif mobile de : télécharger et installer l'agent de dispositif mobile s'enregistrer sur le serveur Mobile Security mettre à jour les composants depuis le serveur Mobile Security synchroniser la configuration avec le serveur Mobile Security supprimer à distance les données du dispositif mobile localiser à distance le dispositif mobile verrouiller à distance le dispositif mobile 3-6

34 Installation et suppression des composants du serveur Vous pouvez installer et connecter jusqu'à 64 expéditeurs de SMS sur le serveur de communication par le biais de connexions Wi-Fi. AVERTISSEMENT! Si vous connectez un expéditeur de SMS à un ordinateur hôte à l'aide d'activesync et qu'un pare-feu est installé sur le serveur de communication, vous devez configurer la règle de pare-feu pour autoriser le trafic sur le port Autrement, l'expéditeur de SMS ne pourra pas recevoir d'instructions de la part du serveur de communication pour envoyer des messages aux dispositifs mobiles. Pour installer un expéditeur de SMS : 1. Sur le serveur d'administration, copiez le fichier d'installation à partir du dossier \OfficeScan\Addon\Mobile Security\AgentPackage\ SmsSender vers la carte mémoire pour la plate-forme du dispositif Windows Mobile prise en charge. 2. Insérez la carte mémoire dans le dispositif. Ouvrez le fichier d'installation pour installer le programme de l'expéditeur de SMS. Vous pouvez installer l'expéditeur de SMS sur la carte mémoire ou sur un téléphone. 3. À partir du menu Démarrer, ouvrez la Configuration de l'expéditeur SMS dans le dossier Programmes pour configurer les paramètres du serveur de communication et du téléphone. Dans l'écran de configuration de l'expéditeur de SMS, effectuez les tâches suivantes : Saisissez le Nom DNS ou l'adresse IP du serveur de communication Saisissez le numéro de port HTTP du serveur Saisissez le numéro de téléphone afin d'envoyer des notifications par SMS Sélectionnez la méthode de codage pour les notifications par SMS Remarque : par défaut, les expéditeurs de SMS utilisent le format Unicode pour chiffrer les messages SMS. Si des erreurs se produisent lors de l'envoi ou de la réception de messages SMS au format Unicode, modifiez la méthode de codage pour «GSM 7 bits». 3-7

35 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Installation des composants du serveur à l'aide d'une source de mise à jour locale Si le serveur d'administration ne peut pas se connecter à Internet, vous devez installer les composants du serveur Mobile Security sur le serveur d'administration (hôte local) et indiquer des sources de mise à jour locales pour Mobile Security. Remarque : avant de continuer, demandez le pack d'installation à votre commercial Trend Micro. Le pack d'installation contient les fichiers d'installation de l'agent Mobile Security et les composants du serveur. Pour installer Mobile Security for Enterprise 8.0 à l'aide d'une source de mise à jour locale : 1. Sur le serveur d'administration, effectuez les tâches suivantes afin de créer un répertoire virtuel «TmmsAu» : Ouvrez l'écran du gestionnaire Internet Information Services (IIS) et cliquez avec le bouton droit sur Site Web par défaut. Puis, cliquez sur Nouveau > Répertoire virtuel. 2. Extrayez le pack d'installation pour Trend Micro. 3. Copiez les dossiers «TmmsServerAu» et «TmmsClientAu» sur le répertoire virtuel. Si cela vous est demandé, acceptez d'écraser tout dossier existant dans le répertoire. Le dossier «TmmsServerAu» doit contenir OSCE_AOS_COMP_LIST.zip, OSCE_PLS_TMMS.zip, OSCE_PLS_TMMS_Install.zip et server.ini. Le dossier «TmmsClientAu» doit contenir les applications client mobiles et server.ini. Pour spécifier une source de mise à jour locale pour OfficeScan : 1. Connectez-vous à la console Web OfficeScan et cliquez sur Mises à jour > Source de mise à jour. L écran de source de mise à jour du serveur apparaît. 2. Sélectionnez Autre source de mise à jour et tapez « dans le champ proposé. Cliquez sur Enregistrer. 3. Redémarrez le service OfficeScan Plug-in Manager pour que les modifications prennent effet. 4. Connectez-vous de nouveau à la console Web OfficeScan et cliquez sur Plug-in Manager. 5. Suivez les instructions qui s'affichent à l'écran pour télécharger et installer Mobile Security sur le serveur d'administration. 3-8

36 Installation et suppression des composants du serveur 6. Une fois que l'installation est terminée, cliquez sur Gestion des programmes pour accéder aux écrans de configuration de Mobile Security. 7. Saisissez le code d'activation pour enregistrer le produit. Voir la section Enregistrement du produit à la page 3-3 pour obtenir de plus amples informations. Une fois que l'enregistrement du produit est terminé, l'écran du Tableau de bord pour Mobile Security s'affiche. Pour spécifier une source de mise à jour locale pour Mobile Security : 1. Connectez-vous à la console Web OfficeScan et cliquez sur Plug-in Manager. Cliquez sur Gestion des programmes de Mobile Security. 2. Cliquez sur Mises à jour > Mise à jour du serveur et cliquez sur l'onglet Source pour configurer la source de mise à jour des composants Mobile Security. 3. Sélectionnez Autre source de mise à jour et entrez dans le champ proposé. Cliquez sur Enregistrer. 4. Pour vérifier les stratégies, réalisez une mise à jour manuelle (cliquez sur Mises à jour > Mise à jour du serveur > Manuelle). Mise à niveau vers Mobile Security v8.0 Vous pouvez mettre à niveau Mobile Security de la version 7.0/7.1 vers la version 8.0 sur tous les composants du serveur d'administration. Remarque : Si vous passez de la version 7.0 vers la version 8.0 sur un système d'exploitation de 64 bits, assurez-vous de désactiver le mode 32 bits du Pool d'applications d'iis OfficeScan une fois la mise à niveau terminée. Pour désactiver le mode 32 bits du Pool d'applications d'iis OfficeScan : 1. Ouvrez la console de gestion IIS, et cliquez sur Pools d'applications dans le volet gauche. 2. Sélectionnez OfficeScanAppPool dans la liste située dans le volet central, puis cliquez sur Paramètres avancés... dans le volet droit. La boîte de dialogue Paramètres avancés apparaît. 3. Dans la boîte de dialogue Paramètres avancés, réglez Activer les applications 32 bits sur Faux. 4. Redémarrez IIS. 3-9

37 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Si vous avez installé le module de gestion de Mobile Security (MSMM) uniquement pour Mobile Security 7.0, veuillez effectuer les tâches suivantes : 1. Mettez à niveau MSMM sur le serveur d'administration vers 8.0 : a. Connectez-vous à la console Web OfficeScan et cliquez sur Plug-in Manager. Puis, cliquez sur Télécharger pour Trend Micro Mobile Security. Mobile Security télécharge les programmes d'installation depuis le serveur Trend Micro. b. Cliquez sur Mise à niveau. Le programme d'installation désinstalle la version précédente de MSMM automatiquement et installe le serveur d'administration Mobile Security Installez le serveur de communication. Consultez la section Installation du serveur de communication à la page 3-5 pour plus de détails sur la procédure à suivre. Remarque : Vous devez installer le serveur d'administration avant le serveur de communication. 3. Configurer les paramètres du serveur de communication. Consultez la section Configuration des paramètres du serveur de communication à la page 4-4 pour plus de détails sur la procédure à suivre. 4. Configurer les expéditeurs de SMS. Consultez la section Installation de l'expéditeur de SMS à la page 3-6 pour plus de détails sur la procédure à suivre. Si vous avez installé le module de gestion de Mobile Security (MSMM) et le module de communication de Mobile Security (MSCM) pour Mobile Security 7.0, veuillez effectuer les tâches suivantes : 1. Mettez à niveau MSMM sur le serveur d'administration vers 8.0 : a. Connectez-vous à la console Web OfficeScan et cliquez sur Plug-in Manager. Puis, cliquez sur Télécharger pour Trend Micro Mobile Security. Mobile Security télécharge les programmes d'installation depuis le serveur Trend Micro. b. Cliquez sur Mise à niveau. Le programme d'installation désinstalle la version précédente de MSMM automatiquement et installe le serveur d'administration Mobile Security Désinstaller MSCM : a. Allez sur Démarrer > Panneau de configuration > Programmes et fonctionnalités b. Sélectionnez le programme Gestionnaire de communication Mobile Security dans la liste, et cliquez sur Désinstaller. 3-10

38 Installation et suppression des composants du serveur 3. Installez le serveur de communication. Consultez la section Installation du serveur de communication à la page 3-5 pour plus de détails sur la procédure à suivre. Remarque : Vous devez installer le serveur d'administration avant le serveur de communication. 4. Configurer les paramètres du serveur de communication. Consultez la section Configuration des paramètres du serveur de communication à la page 4-4 pour plus de détails sur la procédure à suivre. 5. Configurer les expéditeurs de SMS. Consultez la section Installation de l'expéditeur de SMS à la page 3-6 pour plus de détails sur la procédure à suivre. Suppression des composants du serveur Cette section vous guide à travers les étapes à effectuer pour supprimer le serveur d'administration et le serveur de communication. Suppression du serveur d'administration Trend Micro Mobile Security Le serveur d'administration peut être supprimé automatiquement ou manuellement : Suppression automatique du serveur d'administration Pour supprimer le serveur d'administration automatiquement : 1. Connectez-vous à la console Web OfficeScan. 2. Cliquez sur Plug-in Manager dans le menu principal. 3. Cliquez sur Désinstaller pour supprimer le serveur d'administration. La barre de progression s'affiche sur l'écran et indique la progression de la désinstallation. 3-11

39 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Suppression manuelle du serveur d'administration La désinstallation automatique est recommandée, cependant si vous rencontrez le moindre problème lors de cette dernière, vous pouvez supprimer le serveur d'administration manuellement. Pour supprimer le serveur d'administration manuellement : AVERTISSEMENT! Il est nécessaire de modifier les clés de registre pour effectuer cette procédure. Des modifications incorrectes du registre peuvent engendrer des problèmes système sérieux. Effectuez toujours une copie de sauvegarde avant d'effectuer la moindre modification du registre. Pour plus de renseignements, consultez l'aide de l'éditeur de registre. 1. Effacez le dossier correspondant dans le registre. a. Ouvrez l'éditeur de registre et allez sur la clé suivante : HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeS can\service\aos b. Effacez le dossier OSCE_ADDON_TMMS 2. Interrompez les services Windows suivants : OfficeScan Plug-in Manager Service de module de gestion de Mobile Security Service de surveillance de Mobile Security Service BlackBerry de module de gestion de Mobile Security 3. Sur votre disque dur, allez sur..\trend Micro\OfficeScan\Addon, et effacez le dossier Mobile Security. 4. À l'aide de l'invite de commande de Windows, effacez les services liés à Mobile Security à l'aide des commandes suivantes : sc delete TMMSMasterService sc delete TMMSMonitorService sc delete BBMDMService 5. Sur votre disque dur : allez sur..\trend Micro\OfficeScan\PCCSRV, et effacez le fichier OSCE_AOS_COMP_LIST.xml. allez sur..\trend Micro\OfficeScan\PCCSRV\TEMP, et effacez le dossier AoS 3-12

40 Installation et suppression des composants du serveur allez sur..\trend Micro\OfficeScan\PCCSRV\Download, et effacez les fichiers suivants : OSCE_PLS_TMMS.zip OSCE_PLS_TMMS_Install.zip server.ini 6. Modifier la clé de registre : a. Ouvrez l'éditeur de registre et allez sur la clé suivante : HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeS can\service\aos b. Modifiez la version OSCE_Addon_Service_CompList_Version pour Démarrer le service OfficeScan Plug-in Manager dans les services Windows. Suppression du serveur de communication Trend Micro Mobile Security Le serveur de communication peut être directement supprimé à partir du Panneau de configuration Windows. Pour désinstaller le serveur de communication : 1. Dans le Panneau de configuration Windows, double-cliquez sur Programmes et fonctionnalités. La fenêtre Désinstaller ou modifier un programme s'affiche. 2. Sélectionnez le serveur de communication Trend Micro Mobile Security et cliquez sur Désinstaller. Une boîte de dialogue s'affiche. 3. Dans la boîte de dialogue, sélectionnez Fermer les applications automatiquement et tenter de les redémarrer lorsque l'installation est complète et cliquez sur OK. 4. Suivez les instructions qui s'affichent à l'écran afin de terminer le processus de désinstallation. 3-13

41 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v

42 Chapitre 4 Configuration des composants du serveur Ce chapitre assiste les administrateurs dans la configuration des composants du serveur pour Trend Micro Mobile Security for Enterprise 8.0. Ce chapitre contient les sections suivantes : Configuration initiale du serveur à la page 4-2 Configuration des paramètres de base de données à la page 4-2 Configuration des paramètres d'authentification des dispositifs à la page 4-3 Configuration des paramètres Active Directory (AD) à la page 4-4 Configuration des paramètres du serveur de communication à la page 4-4 Gestion du certificat Apple Push Notification Service à la page 4-10 Utilisation de la configuration et de la vérification à la page 4-11 Configuration des paramètres de notifications/rapports à la page 4-11 Configuration des notifications administrateur à la page

43 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Configuration initiale du serveur Cette section décrit en détails la configuration initiale du serveur Mobile Security après l'installation. Les étapes de configuration initiale du serveur comprennent: 1. Configuration des paramètres de base de données à la page Configuration des paramètres de base de données à la page Configuration des paramètres Active Directory (AD) à la page Configuration des paramètres courants du serveur de communication à la page Installation de l'autorité de certification (CA) et du serveur d'extension du protocole d'inscription du certificat simple (SCEP) Consultez la section Conditions préalables pour l'assistance ios à la page Gestion du certificat Apple Push Notification Service à la page Configuration des paramètres ios du serveur de communication à la page Configuration des paramètres BlackBerry du serveur de communication à la page Gestion du certificat Apple Push Notification Service à la page Configuration des paramètres Active Directory (AD) à la page Configuration des paramètres de notifications/rapports à la page Configuration des notifications administrateur à la page 4-12 Remarque : Vous devez réaliser la configuration initiale du serveur pour le serveur Mobile Security avant de continuer à installer l'agent de dispositif mobile sur les dispositifs mobiles. Configuration des paramètres de base de données Pour configurer les paramètres de base de données : 1. Connectez-vous à la console Web OfficeScan. 2. Cliquez sur Plug-in Manager dans le menu principal. 3. Cliquez sur Administration > Paramètres de base de données. 4. Entrez le nom du serveur ou l'adresse IP, votre nom d'utilisateur, votre mot de passe et le nom de la base de données. 4-2

44 Configuration des composants du serveur Remarque : Si vous utilisez un port spécifique pour SQL server, utilisez le format : 5. Cliquez sur Enregistrer. Pour SQL Server : <nom ou adresse IP de SQL server>, <Port> ; Pour SQL Server Express : <nom ou adresse IP de SQL server>, <Port>\<Nom d'instance de SQL Server Express> Configuration des paramètres d'authentification des dispositifs Pour configurer les paramètres d'authentification des dispositifs : 1. Connectez-vous à la console Web OfficeScan et cliquez sur Plug-in Manager. 2. Cliquez sur Gérer le programme. 3. Cliquez sur Administration > Paramètres d'inscription des dispositifs. 4. Sur l'onglet Authentification du dispositif, sélectionnez l'un des paramètres suivants : Ne pas authentifier pour désactiver l'authentification des dispositifs mobiles. Remarque : Si vous sélectionnez ce paramètre, les utilisateurs n'auront pas besoin d'entrer leur nom d'utilisateur et leur mot de passe pour enregistrer leurs dispositifs mobiles avec le serveur de communication. Authentifier à l'aide de : si vous sélectionnez ce paramètre, vous pouvez sélectionner l'une ou l'autre des méthodes d'authentification de dispositif suivantes : Active Directory pour utiliser les informations utilisateur depuis Active Directory afin d'authentifier les dispositifs mobiles. Prédéfinir le nom et le mot de passe de l'utilisateur pour utiliser les informations utilisateur à partir de la base de données locale afin d'authentifier les dispositifs mobiles. Remarque : Si vous sélectionnez Prédéfinir le nom et le mot de passe de l'utilisateur pour l'authentification du dispositif, vous devez également entrer le nom et le mot de passe de l'utilisateur du compte prédéfinis dans les champs présents. 5. Cliquez sur Enregistrer. 4-3

45 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Configuration des paramètres Active Directory (AD) 4-4 Trend Micro Mobile Security 8.0 vous offre la possibilité de configurer l'authentification utilisateur basée sur Active Directory (AD). Une fois configurée, vous pouvez utiliser votre active directory d'entreprise afin d'ajouter des dispositifs mobiles à la liste de dispositifs. Si vous ne souhaitez pas utiliser active directory pour l'authentification utilisateur ou si vous ne souhaitez pas ajouter d'utilisateurs depuis active directory, vous n'avez alors pas besoin de configurer ce paramètre. Pour configurer les paramètres Active Directory : 1. Connectez-vous à la console Web OfficeScan. 2. Cliquez sur Plug-in Manager dans le menu principal. 3. Cliquez sur Administration > Paramètres Active Directory. 4. Entrez le nom de l'hôte ou son adresse IP, son numéro de port, votre nom d'utilisateur et mot de passe de domaine. 5. Cliquez sur Enregistrer. Configuration des paramètres du serveur de communication Mobile Security 8.0 fournit les deux types de paramètres suivants pour le serveur de communication : Paramètres de communication entre le serveur de communication et les dispositifs mobiles utilisés pour la communication entre le serveur de communication et les dispositifs mobiles. Les dispositifs mobiles doivent uniquement se connecter au serveur de communication. Si le serveur d'administration et le serveur de communication sont installés sur le même ordinateur, les dispositifs mobiles doivent être capables de communiquer avec cet ordinateur. Paramètres de communication entre le serveur de communication et le serveur d'administration utilisés pour la communication entre le serveur de communication et le serveur d'administration, et le port 8189 est nécessaire pour les communications SOAP (Simple Object Access Protocol). Configuration des paramètres courants du serveur de communication Pour configurer les paramètres courants du serveur de communication : 1. Connectez-vous à la console Web OfficeScan. 2. Cliquez sur Plug-in Manager dans le menu principal. 3. Cliquez sur Administration > Paramètres du serveur de communication.

46 Configuration des composants du serveur 4. Sur l'onglet Paramètres courants, remplissez tous les champs avec les informations correspondantes. 5. Prenez note des éléments suivants lors de la configuration des paramètres courants avec les informations correspondantes. Prenez note des éléments suivants lors de la configuration des paramètres courants du serveur de communication : Paramètres de communication entre le serveur de communication et les dispositifs mobiles : Si vous ne sélectionnez pas de port HTTPS dans les paramètres de communication entre le serveur de communication et les dispositifs mobiles, les dispositifs mobiles utiliseront le port HTTP pour communiquer avec le serveur de communication. Les dispositifs mobiles ios 5.x prennent uniquement en charge HTTPS. Ainsi, si vous souhaitez gérer des dispositifs mobiles ios 5.x, sélectionnez des ports HTTPS pour communiquer avec le serveur de communication, et téléchargez le certificat SSL vers Mobile Security. Pour télécharger le certificat SSL vers Mobile Security : i. Cliquez sur Administration > Gestion des certificats. ii. Cliquez sur Ajouter, sélectionnez le certificat, puis cliquez sur Enregistrer. Pour un modèle de sécurité de base (installation sur un serveur), les ports par défaut du serveur de communication et du serveur d'administration sont les suivants : Port HTTP : 8080 Port HTTPS : 4343 Pour un modèle de sécurité renforcée (installation sur deux serveurs), les ports par défaut du serveur de communication sont les suivants : Port HTTP : 80 Port HTTPS : 443 Paramètres de communication entre le serveur de communication et le serveur d'administration : Utilisez le numéro de port par défaut 8189 pour une connexion SOAP. S'il vous est nécessaire de personnaliser ce numéro de port, consultez la section Configuration des ports du serveur de communication à la page B-3 pour plus de renseignements. 4-5

47 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Remarque : Mobile Security collectera des informations sur les applications installées pour les dispositifs mobiles selon la fréquence sélectionnée : Pour les dispositifs mobiles ios, Mobile Security collectera ces informations lors de l'inscription du dispositif mobile ios. Pour les dispositifs mobiles Android, Mobile Security collectera ces informations pour la première fois lors de l'inscription du dispositif mobile Android puis ultérieurement à tout instant entre 9:00 et 18:00. Changer la fréquence permet de réinitialiser le minuteur, cependant Mobile Security continuera de collecter ces informations à la même heure de la journée. 6. Cliquez sur Enregistrer. Configuration des paramètres du serveur de communication Android Pour configurer les paramètres du serveur de communication Android : 1. Connectez-vous à la console Web OfficeScan. 2. Cliquez sur Plug-in Manager dans le menu principal. 3. Cliquez sur Administration > Paramètres du serveur de communication. 4. Sur l'onglet Paramètres Android, configurez les éléments suivants : Paramètres de notification push Sélectionnez Activer la notification push afin d'activer ce paramètre pour les dispositifs Android. Désélectionnez pour désactiver. Personnalisation d'agent Sélectionnez Activer la personnalisation d'agent pour ajouter l'adresse IP et le numéro de port du serveur dans l'application client Android que les utilisateurs téléchargeront à partir du serveur Mobile Security. Cela signifie que l'adresse IP et le numéro de port du serveur seront automatiquement inscrits dans l'application client et que les utilisateurs n'auront pas besoin de saisir ces renseignements manuellement. Désélectionnez Activer la personnalisation d'agent afin de désactiver la fonctionnalité sur les dispositifs mobiles Android. 5. Cliquez sur Enregistrer. 4-6

48 Configuration des composants du serveur Configuration du serveur DNS pour une mise en service simplifiée d'android Vous pouvez configurer votre serveur DNS pour une mise en service simplifiée des dispositifs mobiles Android en spécifiant au préalable les informations serveur (adresse IP, nom de domaine et numéro de port du serveur) pour les utilisateurs. En faisant cela, l'adresse IP et le numéro de port du serveur seront automatiquement inscrits dans les applications client en utilisant uniquement les adresses des utilisateurs, et ces derniers n'auront pas besoin de saisir ces renseignements manuellement. Pour configurer le serveur DNS pour une mise en service simplifiée des dispositifs mobiles Android : 1. Ouvrez la console du serveur DNS à partir du Panneau de configuration Windows. 2. Cliquez avec le bouton droit sur le domaine associé à Mobile Security à l'endroit où vous souhaitez ajouter les informations d'enregistrement pour les utilisateurs, puis cliquez sur Autres nouveaux enregistrements. 3. Dans la liste Sélectionner un type d'enregistrement de ressource, sélectionnez Texte (TXT), et cliquez sur Créer l'enregistrement. La fenêtre Nouvel enregistrement de ressource s'affiche. 4. Dans la fenêtre Nouvel enregistrement de ressource complétez les champs suivants : Nom de l'enregistrement : saisissez le nom de l'enregistrement. Vous pouvez laisser ce champ vide si vous souhaitez utiliser le nom du domaine parent. Texte : saisissez l'adresse du serveur de communication comme suit : TM_MDM_SERVER={ Server IP>:<Communication Server Port>}. Remarque : Remplacez <Communication Server IP> et <Communication Server Port> avec l'adresse IP et le numéro de port originaux du serveur de communication. 5. Cliquez sur OK, sur la fenêtre Nouvel enregistrement de ressource, et cliquez sur Terminé sur la fenêtre Type d'enregistrement de ressource. Configuration des paramètres ios du serveur de communication Pour configurer les paramètres ios du serveur de communication : 1. Connectez-vous à la console Web OfficeScan. 2. Cliquez sur Plug-in Manager dans le menu principal. 3. Cliquez sur Administration > Paramètres du serveur de communication. 4-7

49 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v Sur l'onglet des ios Settings, configurez les éléments suivants : Paramètres de l'extension du protocole d'inscription du certificat simple (SCEP) i. Sélectionnez Activer SCEP. Désélectionnez pour désactiver. ii. S'ils sont activés, remplissez les champs avec les informations suivantes : URL d'utilisateur SCEP : URL d'administrateur SCEP : Pour Windows Server 2008 : Pour Windows Server 2003 : Compte d'utilisateur : <Nom de l'utilisateur pour la connexion au serveur SCEP> Mot de passe d'utilisateur : <Mot de passe de l'utilisateur pour la connexion au serveur SCEP> Nom de certificat : <un nom de certificat> Sujet : O=TrendMicro,CN=Enroll Paramètres du service de notifications Push Apple (APNs) Type de certificat : Sélectionnez le type de votre certificat. Certificat : Sélectionnez un certificat APNs (Apple Push Notification service) dans la liste déroulante, ou téléchargez-en un autre. Informations d'identification du profil client Informations d'identification du profil client : Sélectionnez un certificat pour information d'identification dans la liste déroulante, ou téléchargez-en un autre. 5. Cliquez sur Enregistrer. 4-8

50 Configuration des composants du serveur Configuration des paramètres BlackBerry du serveur de communication Remarque : Avant de configurer les paramètres BlackBerry du serveur de communication, vous devez installer l'outil de commande brk-besuseradminclient sur le serveur d'administration Mobile Security. Pour trouver le chemin d'accès de l'outil de commande BlackBerry : 1. Connectez-vous au service d'administration BlackBerry. 2. À partir du menu Serveurs et composants, cliquez sur Topologie de la solution BlackBerry > Domaine BlackBerry > Affichage du composant. 3. Dans le volet droit, vous pouvez voir le nom d'instance du serveur Enterprise Blackberry. Pour configurer les paramètres BlackBerry du serveur de communication : 1. Connectez-vous à la console Web OfficeScan. 2. Cliquez sur Plug-in Manager dans le menu principal. 3. Cliquez sur Administration > Paramètres du serveur de communication. 4. Sur l'onglet Paramètres BlackBerry, remplissez tous les champs avec les informations suivantes. Informations d'identification du service d'administration BlackBerry Nom du serveur :< adresse IP ou nom du serveur BES (nom de votre ordinateur) sur lequel vous avez installé le service d'administration BES> Compte d'utilisateur : <nom de l'administrateur pour le service d'administration BES> Mot de passe : <mot de passe pour le compte utilisateur> Nom de domaine : <Nom de domaine du serveur Enterprise Blackberry> Remarque : Si votre serveur OfficeScan ne parvient pas à se connecter au serveur Enterprise Blackberry à l'aide du nom de serveur Enterprise Blackberry, entrez l'adresse IP du serveur Enterprise Blackberry dans le champ correspondant au nom de serveur. Paramètres de base de données BlackBerry Adresse de la base de données : <Nom de la base de données ou adresse IP de la configuration du serveur Enterprise Blackberry> Nom d'utilisateur : <nom d'utilisateur de la base de données> Remarque : Vous devez créer un utilisateur de la base de données avec les permissions de Connexion et Lecture de la base de données. 4-9

51 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Mot de passe : <Mot de passe de connexion de l'utilisateur de la base de données> Nom de la base de données : <Nom de la base de données pour la configuration du serveur Enterprise Blackberry> Remarque : Pour les paramètres de la base de données BlackBerry, Trend Micro Mobile Security prend uniquement en charge le mode d'authentification SQL Server pour SQL server. Paramètres de l'outil de commande BlackBerry Chemin d'accès de l'outil : <Chemin d'accès de l'installation de l'outil d'administration BlackBerry. Par exemple : C:\Program Files\Research In Motion\BlackBerry Enterprise Server Resource Kit\BlackBerry Enterprise Server User Administration Tool Client> 5. Cliquez sur Enregistrer. Gestion du certificat Apple Push Notification Service Consultez la section Génération et configuration d'un certificat APNs (Apple Push Notification service) à partir de la page C-1 pour des détails sur la procédure de génération du certificat APNs (Apple Push Notification service) et de son téléchargement vers le serveur Mobile Security. Remarque : Si vous avez déjà téléchargé un certificat APNs à partir des Paramètres APNs (Apple Push Notification service) vers un dispositif ios, il n'est pas nécessaire de le télécharger de nouveau vers Gestion des certificats. Pour gérer le certificat Apple Push Notification : 1. Connectez-vous à la console Web OfficeScan. 2. Cliquez sur Plug-in Manager dans le menu principal. 3. Cliquez sur Administration > Gestion des certificats. 4. Cliquez sur Ajouter, sélectionnez le certificat du serveur Apple Push Notification du disque dur puis cliquez sur Enregistrer. 4-10

52 Configuration des composants du serveur Utilisation de la configuration et de la vérification Cet écran vous permet de configurer rapidement les paramètres de Mobile Security. Il vous permet également de vérifier que tous les paramètres que vous avez configurés sont corrects. Pour gérer le certificat Apple Push Notification : 1. Connectez-vous à la console Web OfficeScan. 2. Cliquez sur Plug-in Manager dans le menu principal. 3. Cliquez sur Administration > Configuration et Vérification. 4. Vous pouvez désormais configurer et vérifier les paramètres Mobile Security : Pour configurer les paramètres Mobile Security, lisez les instructions qui s'affichent à l'écran et cliquez sur le texte pour ouvrir l'écran des paramètres. Pour vérifier les paramètres de Mobile Security, cliquez sur Vérifier la configuration de Mobile Security. Configuration des paramètres de notifications/rapports Vous pouvez configurer la source de notification de manière à envoyer le message de notification aux administrateurs. Pour configurer les paramètres de notifications/rapports : 1. Connectez-vous à la console Web OfficeScan et cliquez sur Plug-in Manager. 2. Cliquez sur Gérer le programme. 3. Cliquez sur Notifications/Rapports > Paramètres. 4. Vous pouvez désormais configurer les paramètres du serveur SMTP et la liste d'expéditeurs de SMS pour les notifications sortantes : Pour configurer les paramètres du serveur SMTP pour les messages de notification par Saisissez l'adresse de l'expéditeur, l'adresse IP du serveur SMTP et son numéro de port. Si le serveur SMTP nécessite une authentification, sélectionnez Authentification, puis entrez le nom d'utilisateur et le mot de passe. Pour configurer les notifications par message SMS : Dans la section Paramètres des expéditeurs de SMS, cliquez sur Ajouter, saisissez le numéro de téléphone d'un expéditeur de SMS sur la fenêtre contextuelle qui apparaît, et cliquez sur Enregistrer. Le numéro de téléphone que vous venez d'ajouter apparaît dans la liste des expéditeurs de SMS. Vérifiez que le champ État affiche Connecté pour le numéro que vous avez configuré. Si le champ État est Déconnecté, assurez-vous que l'expéditeur de SMS peut se connecter au serveur de communication. 4-11

53 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 AVERTISSEMENT! Assurez-vous que le numéro de téléphone utilisé à cet endroit est le même que celui qui est configuré sur le dispositif d'expéditeurs de SMS. Autrement, l'expéditeur de SMS ne sera pas en mesure de se connecter au serveur de communication. Configuration des notifications administrateur Vous pouvez configurer des paramètres de notifications et rapports administrateur afin de recevoir les notifications de message d'erreur et les rapports programmés réguliers par . Pour configurer les notifications et les rapports envoyés à l'administrateur : 1. Connectez-vous à la console Web OfficeScan et cliquez sur Plug-in Manager. 2. Cliquez sur Gérer le programme. 3. Cliquez sur Notifications/Rapports > Notifications/rapports administrateur. 4. Sélectionnez les notifications et les rapports que vous souhaitez recevoir par puis cliquez sur les notifications et les rapports individuels pour modifier leurs contenus. Cliquez sur Enregistrer une fois terminé, afin de retourner à l'écran Notifications/rapports administrateur. Remarque : Lorsque vous sélectionnez des rapports que vous souhaitez recevoir, vous pouvez également ajuster leur fréquence individuellement depuis la liste déroulante après chaque rapport. 5. Cliquez sur Enregistrer. 4-12

54 Chapitre 5 Installation des composants d'agents de dispositif mobile Ce chapitre aborde les différentes méthodes de déploiement des agents de dispositif mobile. Vous trouverez également les configurations minimales requises et modèles du dispositif mobile que l'agent de dispositif mobile prend en charge. Ce chapitre contient les sections suivantes : Planification de l'installation d'agents de dispositif mobile à la page 5-2 Installation de l'agent de dispositif mobile à la page 5-4 Mise en service ios à la page 5-11 Utilisation du module de chiffrement et de mot de passe à la page

55 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Planification de l'installation d'agents de dispositif mobile Remarque : Assurez-vous que les dispositifs mobiles peuvent se connecter au serveur de communication par Wi-Fi, 3G/GPRS ou en utilisant une connexion Internet sur un ordinateur hôte. Plates-formes et dispositifs mobiles pris en charge Avant d'installer et d'utiliser le programme client d'agents de dispositif mobile (connu sous le nom d'agent de dispositif mobile) sur les dispositifs mobiles, assurez-vous que vos dispositifs mobiles disposent de la configuration minimale requise. Stockage et mémoire du dispositif TABLEAU 5-1. Configuration minimale requise SYSTÈME D'EXPLOITATION MÉMOIRE (MO) ESPACE DISQUE (MO) Téléphone Windows Mobile 5 Pocket PC/Pocket PC Windows Mobile 6 édition classique/professionnelle Windows Mobile 5 Smartphone 3 5 Windows Mobile 6 édition standard 3 5 Symbian OS 9.x S60 3e/5ème édition 2 2 Android 2.1 ou version supérieure 10 8 Remarque : Pour les dispositifs mobiles ios, Mobile Security prend en charge les versions ios 4.x et supérieures. Pour les dispositifs mobiles Blackberry, Mobile Security prend en charge le serveur Enterprise Blackberry 5.x. Remarque : Les dispositifs mobiles ios et BlackBerry ne requièrent pas l'installation d'un logiciel client Mobile Security (Agent de dispositif mobile). 5-2

56 Installation des composants d'agents de dispositif mobile Méthodes d'installation de l'agent de dispositif mobile Vous pouvez installer l'agent de dispositif mobile sur les dispositifs mobiles à l'aide de l'une des méthodes suivantes : Installation par le biais de messages SMS ou envoie des messages SMS ou sur les dispositifs mobiles ou aux adresses des utilisateurs, contenant l'url d'installation de l'agent de dispositif mobile. Les utilisateurs doivent accéder à l'url dans le message SMS ou , puis enregistrer le dispositif mobile avec le serveur de communication. Vous devez installer les expéditeurs de SMS si vous souhaitez envoyer des messages SMS de notification. Installation par le biais d'un navigateur Web dans le navigateur Web, ouvrez l'url suivante afin de télécharger et d'installer automatiquement l'agent de dispositif mobile sur les dispositifs mobiles : MMS_CGI/cgiOsmaProvision.dll ou _TMMS_CGI/cgiOsmaProvision.dll Remarque : Remplacez <External_domain_name_or_IP_address>, <HTTP_port> et <HPTTS_port> lors de la configuration, dans Administration > Paramètres du serveur de communication > Paramètres courants > Paramètres de communication entre le serveur de communication et les dispositifs mobiles. Carte mémoire pour les plates-formes Symbian ou Windows, téléchargez le fichier d'installation depuis le serveur d'administration et copiez les fichiers extraits sur une carte mémoire. Une fois que vous insérez la carte mémoire dans un dispositif mobile, l'installation de l'agent de dispositif mobile est automatique. Remarque : La méthode d'installation par carte mémoire n'est pas disponible si vous souhaitez réinstaller ou mettre à niveau l'agent de dispositif mobile de Mobile Security for Enterprise 8.0 sur des dispositifs Symbian. Vous devrez dans ce cas employer la méthode d'installation manuelle. 5-3

57 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Installation manuelle elle requiert que vous transfériez les fichiers d'installation vers chaque dispositif mobile et que vous exécutiez le programme de configuration. Une fois que l'installation est terminée, vous devez enregistrer les agents de dispositif mobile dans le serveur de communication. Pour obtenir des instructions détaillées sur l'installation et l'enregistrement manuels, consultez la section Lancement manuel du fichier d'installation à la page 5-8 ou le manuel de l'utilisateur de la plate-forme de votre dispositif mobile. Installation de l'agent de dispositif mobile Pour utiliser le module de chiffrement et de mot de passe sur un dispositif mobile Windows Mobile, vous devez d'abord : désactiver le mot de passe de sécurité ou la fonctionnalité de chiffrement de la carte mémoire de Windows Mobile sur votre dispositif mobile Désinstaller tout programme de mot de passe de sécurité tiers. Vous pouvez être amené à désinstaller ce programme au cours du processus d'installation. Remarque : Le module de chiffrement et de mot de passe sur Windows Mobile ne fonctionne pas si la sécurité intégrée par mot de passe ou la fonctionnalité de chiffrement de la carte mémoire est activée. Installation en mode silencieux à l'aide des notifications par ou par SMS L'installation de l'agent de dispositif mobile à l'aide de notifications SMS requiert les étapes suivantes : Configuration des paramètres de notifications/rapports à la page 4-11 Configuration du message d installation à la page 5-4 Configuration de la liste du dispositif mobile à la page 5-5 Configuration du message d installation Afin d'initier l'installation de l'agent de dispositif mobile en mode silencieux, Mobile Security envoie un et/ou un SMS pour signaler aux dispositifs mobiles de télécharger et d'installer l'agent de dispositif mobile. 5-4

58 Installation des composants d'agents de dispositif mobile Les utilisateurs peuvent ouvrir l' ou le SMS et télécharger le pack d'installation de l'agent de dispositif mobile en consultant l'url comprise dans l' ou le SMS. Le pack d'installation de l'agent de dispositif mobile remplit automatiquement l'adresse IP et le numéro de port su serveur, tandis que les utilisateurs doivent saisir le nom du dispositif, le nom du domaine et le mot de passe pour procéder à l'enregistrement. Vous pouvez utiliser l'écran Message d installation pour saisir le message que vous souhaitez afficher. Pour configurer le message d'installation : 1. Connectez-vous à la console Web OfficeScan et cliquez sur Plug-in Manager. 2. Cliquez sur Gestion des programmes de Mobile Security. 3. Cliquez sur Notifications/Rapports > Notifications utilisateur. 4. Sélectionnez Inscription de dispositif mobile, puis cliquez sur le texte. 5. Saisissez le sujet, l' et/ou le SMS dans la ou les zones de textes correspondantes, et cliquez sur Enregistrer. Remarque : Le message d'installation doit comprendre les caractères «%DOWNLOADURL%» qui seront automatiquement remplacés par l'url qui permet aux utilisateurs de télécharger le fichier d'installation de l'agent de dispositif mobile. Remarque : La notification par envoie uniquement le lien de téléchargement pour télécharger les fichiers client d'installation, et ne remplit pas automatiquement l'adresse IP et le numéro de port du serveur dans l'écran d'enregistrement. 6. Cliquez sur Enregistrer sur l'écran de notifications utilisateur. Configuration de la liste du dispositif mobile Configurez la liste du dispositif mobile dans le serveur Mobile Security si vous souhaitez envoyer des messages SMS à des dispositifs mobiles spécifiques. Vous devez d'abord configurer la liste des agents de dispositif mobile avant que les expéditeurs de SMS puissent avertir les dispositifs mobiles d'installer et d'enregistrer les agents de dispositif mobile. Si vous installez l'agent de dispositif mobile manuellement, le serveur Mobile Security ajoutera automatiquement les informations de l'agent de dispositif mobile à la liste après l'enregistrement du dispositif au serveur Mobile Security. 5-5

59 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Pour ajouter un dispositif mobile : 1. Connectez-vous à la console Web OfficeScan et cliquez sur Plug-in Manager. 2. Cliquez sur le bouton Gestion des programmes de Mobile Security. 3. Cliquez sur Dispositifs. L'écran Gestion du dispositif s'affiche. 4. Vous pouvez désormais ajouter un dispositif mobile, un lot de dispositifs mobiles, un groupe d'utilisateurs ou d' s (liste de distribution) depuis Active Directory : Pour ajouter un dispositif mobile : i. Cliquez sur Ajouter dispositif > Ajouter dispositif. La fenêtre contextuelle Ajouter dispositif s'affiche. ii. Dans la fenêtre Ajouter dispositif, configurez les champs suivants : Numéro de téléphone saisissez le numéro de téléphone d'un dispositif portable. Pour vous assurer que le dispositif mobile peut correctement recevoir des messages de notification d'un expéditeur de SMS, vous pouvez entrer l'indicatif de pays (contenant entre 1 et 5 chiffres). Inutile de saisir le préfixe international de numérotation directe. entrez l'adresse de l'utilisateur pour envoyer un de notification. Nom du dispositif tapez le nom du dispositif mobile pour l'identifier dans l'arborescence du dispositif. Groupe sélectionnez le nom du groupe auquel le dispositif mobile appartient depuis la liste déroulante. Vous pourrez modifier ultérieurement le groupe auquel l'agent de dispositif mobile appartient. Conseil : pour ajouter d'autres dispositifs, cliquez sur le bouton. Pour ajouter un lot de dispositifs mobiles : i. Cliquez sur Ajouter dispositif > Ajouter un lot. ii. Entrez les informations des dispositifs dans la zone de texte de la fenêtre affichée. iii. Cliquez sur Valider pour vérifier si les informations des dispositifs sont conformes au format indiqué. Pour ajouter un groupe d'utilisateurs ou s (liste de distribution) à partir d'active Directory : i. Cliquez sur Ajouter dispositif > Ajouter à partir d'active Directory. ii. Entrez les informations utilisateur dans le champ fourni et cliquez sur Rechercher. iii. Sélectionnez l'utilisateur parmi les résultats de la recherche et cliquez sur Ajouter à la liste de dispositifs. 5-6

60 Installation des composants d'agents de dispositif mobile 5. Cliquez sur Enregistrer. 6. Vérifiez que les informations du nouveau dispositif s'affichent dans l'arborescence du dispositif. Après avoir ajouté des informations sur les dispositifs mobiles dans le serveur Mobile Security, consultez la section suivante pour installer l'agent de dispositif mobile sur ces dispositifs mobiles. Vérification de l'état de l'agent de dispositif mobile Après avoir enregistré les informations relatives aux dispositifs mobiles dans le serveur Mobile Security, les expéditeurs de SMS envoient automatiquement des SMS pour avertir les dispositifs mobiles de télécharger et d'installer l'agent de dispositif mobile. Lorsque l'installation a réussi, l'agent de dispositif mobile s'enregistre automatiquement dans le serveur Mobile Security. Le téléchargement du fichier, l'installation du produit et l'enregistrement peuvent prendre plusieurs minutes. Vous pouvez vérifier l'état de l'enregistrement de l'agent de dispositif mobile dans l'écran du Tableau de bord de Mobile Security sur le serveur d'administration. Installation à l'aide d'une carte mémoire (Symbian et Windows) Vous pouvez utiliser une carte mémoire pour installer automatiquement l'agent de dispositif mobile sur les dispositifs mobiles. Vous devez télécharger le fichier d'installation à partir du serveur Mobile Security et extraire les fichiers sur une carte mémoire. AVERTISSEMENT! la méthode d'installation par carte mémoire n'est pas disponible si vous souhaitez réinstaller ou mettre à jour l'agent de dispositif mobile sur un dispositif Symbian. Vous devrez dans ce cas employer la méthode d'installation manuelle. Pour obtenir des fichiers d'installation à partir du serveur Mobile Security : 1. Connectez-vous à la console Web OfficeScan et cliquez sur Plug-in Manager. 2. Dans l'écran Plug-in Manager, cliquez sur Gestion des programmes de Mobile Security. 3. Cliquez sur Administration > Paramètres d'inscription des dispositifs. 4. Cliquez sur Télécharger pour télécharger le fichier ZIP sur votre ordinateur. 5. Extrayez le fichier ZIP. 6. Copiez les fichiers extraits sur le dossier racine d'une carte mémoire. 5-7

61 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Remarque : Si les fichiers extraits ne sont pas placés dans le dossier racine de la carte mémoire, l'installation automatique ne fonctionnera pas lorsque vous insérerez la carte dans le dispositif mobile. Pour installer l'agent de dispositif mobile sur un dispositif mobile : 1. Insérez la carte mémoire dans un dispositif mobile. L'installation de l'agent de dispositif mobile se fait automatiquement. 2. Une fois l'installation terminée, redémarrez votre dispositif mobile lorsque vous y êtes invité. 3. S'enregistrer sur le serveur Mobile Security. Sélectionnez une application que votre dispositif mobile utilisera pour se connecter au serveur de communication. Mobile Security est ajouté au menu Démarrer. Cette procédure d'enregistrement peut prendre quelques minutes. Pour confirmer que l'enregistrement de l'agent de dispositif mobile est réussi, vérifiez l'état de l'agent de dispositif mobile dans l'arborescence du dispositif du serveur Mobile Security. Lancement manuel du fichier d'installation Vous pouvez exécuter le fichier d'installation sur un dispositif mobile afin d'installer manuellement l'agent de dispositif mobile. Pour transférer le fichier d'installation vers le dispositif mobile, vous devez utiliser ActiveSync ou PC Suite pour connecter le dispositif mobile à un ordinateur hôte. Une fois que l'installation a réussi, vous devez enregistrer manuellement l'agent de dispositif mobile dans le serveur Mobile Security. Remarque : Sur les dispositifs mobiles Symbian, vous pouvez utiliser PC Sync pour installer directement l'agent de dispositif mobile depuis l'ordinateur hôte. Pour obtenir des fichiers d'installation à partir du serveur Mobile Security : 1. Connectez-vous à la console Web OfficeScan et cliquez sur Plug-in Manager. 2. Dans l'écran Plug-in Manager, cliquez sur Gestion des programmes de Mobile Security. 3. Cliquez sur Administration > Paramètres d'inscription des dispositifs. 4. Sélectionnez le fichier d'installation et cliquez sur Télécharger pour télécharger le fichier ZIP sur votre ordinateur. 5. Extrayez le fichier ZIP et copiez les fichiers extraits sur un ordinateur hôte. 5-8

62 Installation des composants d'agents de dispositif mobile 6. L'administrateur devra déterminer la meilleure façon d'envoyer ce fichier à l'utilisateur. Cela est possible, par exemple, par ou par le site d'assistance d'un réseau Intranet. Le fichier d'installation peut également leur être envoyé : Transférez le fichier d'installation adéquat sur le dispositif mobile ou exécutez le fichier d'installation sur un ordinateur hôte à l'aide d'un logiciel. Windows Mobile 5 pour Smartphone ou Windows Mobile 6 édition standard : MobileSecurity_SP.cab Téléphone Windows Mobile 5 pour Pocket PC/Pocket PC ou Windows Mobile 6 édition professionnelle/classique : MobileSecurity_PPC.cab Symbian OS 9.x S60 3e/5ème édition sur les dispositifs mobiles Nokia : MobileSecurity_S60.sis Android 2.1 ou version supérieure : TmmsSuite.apk Sinon, les utilisateurs peuvent être invités à télécharger et installer l'agent de dispositif mobile en se rendant sur l'url suivante : MMS_CGI/cgiOsmaProvision.dll ou _TMMS_CGI/cgiOsmaProvision.dll Remarque : Remplacez <External_domain_name_or_IP_address>, <HTTP_port> et <HPTTS_port> lors de la configuration, dans Administration > Paramètres du serveur de communication > Paramètres courants > Paramètres de communication entre le serveur de communication et les dispositifs mobiles. 5-9

63 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Remarque : Vous pouvez également obtenir les fichiers d'installation de l'agent de dispositif mobile directement à partir du serveur à l'emplacement suivant : http(s)://<office scan Server: Port>/officescan/PLS_TMMS_ActiveUpdate/<Setup Package Name> <Nom du pack d'installation> les noms des packs d'installation sur le serveur sont comme suit : PPC : MobileSecurity_PPC.cab SP : MobileSecurity_SP.cab Android : TmmsSuite.apk Symbian S60 3e/5ème édition sur les dispositifs mobiles Nokia : MobileSecurity_S60.sis Pour installer manuellement l'agent de dispositif mobile sur les dispositifs mobiles Windows Mobile ou Symbian : 1. Sur votre dispositif, accédez à l'emplacement du fichier d'installation. 2. Ouvrez le fichier d'installation pour démarrer l'installation de l'agent de dispositif mobile. 3. Une fois l'installation terminée, copiez le fichier TmSettings.ini dans le répertoire adéquat du dispositif : Pour Windows Mobile : \Program Files\Trend Micro\Mobile Security\ Pour Symbian : C:\system\data\mobilesecurity\ (Pour Symbian OS, vous avez besoin d'un explorateur de fichiers tiers pour accéder à ce répertoire). 4. Redémarrez le dispositif mobile. Une fois le redémarrage terminé, les champs Nom du dispositif, Nom ou adresse IP de l'hôte, et Numéro de port dans l'écran Enregistrer affichent les informations valides. 5-10

64 Installation des composants d'agents de dispositif mobile Enregistrement manuel Vous devez enregistrer manuellement l'agent de dispositif mobile dans le serveur de communication si vous installez manuellement l'agent de dispositif mobile ou si le processus d'enregistrement automatique échoue. Pour enregistrer manuellement l'agent de dispositif mobile dans le serveur Mobile Security : 1. Ouvrez le programme de l'agent de dispositif mobile sur le dispositif mobile. 2. L'écran Enregistrer apparaît. Effectuez l'une des actions suivantes : Sur les dispositifs mobiles Symbian et Windows : Saisissez un nom descriptif pour le dispositif, le nom du DNS ou l'adresse IP, le numéro de port HTTP ou HTTPS du serveur de communication, votre nom d'utilisateur de domaine et son mot de passe. Cliquez sur Enregistrer. Remarque : Les dispositifs mobiles Symbian peuvent uniquement utiliser HTTP pour communiquer avec le serveur de communication. Les dispositifs mobiles Windows Mobile peuvent uniquement utiliser HTTP pour s'enregistrer, mais ils peuvent utiliser HTTP ou HTTPS pour des communications ultérieures en fonction des paramètres que vous avez configuré dans Paramètres de communication entre le serveur de communication et les dispositifs mobiles lors de la configuration des paramètres courants du serveur de communication. Voir la section Configuration des paramètres courants du serveur de communication à la page 4-4. Sur les dispositifs mobiles Android : saisissez votre adresse et appuyez sur Suivant. Saisissez votre nom d'utilisateur de domaine et mot de passe, puis appuyez sur Enregistrer. 3. Une fois que l'enregistrement est terminé, affichez les informations de licence dans l'écran À propos de (Menu > À propos de) sur le dispositif mobile. Vous pouvez également voir l'état du dispositif sur le serveur Mobile Security. Remarque : Le processus d'enregistrement peut prendre quelques minutes, selon la vitesse de votre réseau. Mise en service ios Afin de pouvoir gérer les dispositifs mobiles ios depuis le serveur Mobile Security, vous devez installer un profil de mise en service sur les dispositifs mobiles. Ce profil de mise en service doit vous identifier, vous (par le biais de votre certificat de développement) et votre dispositif (en indiquant son identifiant de dispositif unique). 5-11

65 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 AVERTISSEMENT! Le code JavaScript doit être activé pour Safari sur les dispositifs mobiles ios pour leur inscription. Autrement, l'inscription échouera. Pour installer le profil de mise en service sur les dispositifs mobiles ios : 1. Sur le dispositif mobile ios, ouvrez le navigateur Web Safari, et allez à l'url suivante : MMS_CGI/cgiOsmaProvision.dll ou _TMMS_CGI/cgiOsmaProvision.dll Remarque : Remplacez <External_domain_name_or_IP_address>, <HTTP_port> et <HPTTS_port> lors de la configuration, dans Administration > Paramètres du serveur de communication > Paramètres courants > Paramètres de communication entre le serveur de communication et les dispositifs mobiles. Remarque : Si l'authentification est requise par l'administrateur, la boîte de dialogue Authentification requise s'affiche. Saisissez votre nom d'utilisateur de domaine et mot de passe, puis appuyez sur Connexion. L'écran Installer un profil s'affiche. 2. Sur l'écran Installer un profil, appuyez sur Installer, puis sur Installer maintenant sur la boîte de dialogue contextuelle de confirmation. 3. Si le dispositif mobile requiert un code, saisissez votre code sur l'écran Entrer code qui s'affiche, puis appuyez sur Terminé. L'écran Installation de profil s'affiche. 4. Appuyez sur Installer sur l'écran Avertissement de confirmation. Le processus d'installation de profil démarre. Une fois le processus terminé, l'écran Profil installé s'affiche. 5. Sélectionnez Terminé. 5-12

66 Installation des composants d'agents de dispositif mobile Pour désinstaller le profil de mise en service à partir des dispositifs mobiles ios : 1. Sur le dispositif mobile ios, allez sur Paramètres > Général > Profils. 2. Sélectionnez Profil d'inscription MDM, puis appuyez sur Supprimer. Si vous avez configuré le mot de passe de verrouillage du dispositif, saisissez-le afin de désinstaller le profil de mise en service. Remarque : Pour un dispositif mobile ios 5.x, la suppression du profil entraînera également la suppression du dispositif mobile de la liste des dispositifs gérés par le serveur Mobile Security. Utilisation du module de chiffrement et de mot de passe Le module de chiffrement et mot de passe fournit le mot de passe de mise sous tension et les fonctions de chiffrement à votre dispositif mobile. Le module de chiffrement peut être utilisé sur un dispositif mobile si toutes les conditions suivantes sont remplies : L'agent de dispositif mobile est installé correctement. L'agent de dispositif mobile a été enregistré correctement dans le serveur Mobile Security. Le module de chiffrement prend en charge la plate-forme de dispositif mobile Remarque : Le chiffrement dans Mobile Security for Enterprise 8.0 prend en charge les systèmes d'exploitation Windows Mobile 5/6, mais ne prend pas en charge les systèmes d'exploitation Symbian S60 3e/5ème version, Android, ios et BlackBerry. la fonctionnalité de chiffrement de la carte n'est pas activée sur le dispositif mobile Pour utiliser le module de chiffrement (uniquement pour les dispositifs Windows Mobile) : 1. Après avoir installé l'agent de dispositif mobile, enregistrez-le sur le serveur Mobile Security. Pour enregistrer l'agent de dispositif mobile, consultez la section Enregistrement manuel à la page chiffrement et mot de passe Après l'enregistrement, vous êtes invité à fournir un mot de passe initial de mise sous tension pour vous connecter au dispositif. Par défaut, le mot de passe initial est

67 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v

68 Annexe A Configurations de ports de pare-feu Cette annexe fournit toutes les configurations de ports de pare-feu requises lors de l'installation de Trend Micro Mobile Security et rassemble toutes les configurations de ports de pare-feu mentionnées dans la documentation. Cette annexe contient les sections suivantes : Configurations de ports de pare-feu pour modèle de sécurité de base (Installation sur un serveur) à la page A-2 Configurations de ports de pare-feu pour modèle de sécurité renforcée (Installation sur deux serveurs) à la page A-4 A-1

69 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Configurations de ports de pare-feu pour modèle de sécurité de base (Installation sur un serveur) Si vous utilisez le modèle de sécurité de base, configurez les ports de pare-feu suivants pour les composants Mobile Security : COMPOSANT PORTS DE PARE-FEU DÉTAILS Serveur d'administration et Serveur de communication Ouvrez le port TCP 2195 pour le serveur Apple Push Notification service (APNs). Le nom d'hôte Apple Push Notification Service est gateway.push.apple.com. Ouvrez le port HTTP Remarque : Il s'agit du numéro de port HTTP par défaut pour la configuration à serveur unique. Cependant, vous pouvez modifier le numéro de port HTTP que vous souhaitez utiliser afin de permettre aux dispositifs mobiles de communiquer avec le serveur Mobile Security durant l'installation. Permet au serveur APN d'apple de gérer les dispositifs mobiles ios. Si vous ne gérez pas de dispositifs mobiles ios, ce port n'est pas requis. Utilisé pour la communication entre les dispositifs mobiles et le serveur Mobile Security. Ouvrez le port HTTPS Remarque : Il s'agit du numéro de port HTTPS par défaut pour la configuration à serveur unique. Cependant, vous pouvez modifier le numéro de port HTTPS que vous souhaitez utiliser afin de permettre aux dispositifs mobiles de communiquer avec le serveur Mobile Security durant l'installation. Utilisé pour une communication sécurisée entre les dispositifs mobiles et le serveur Mobile Security. A-2

70 Configurations de ports de pare-feu COMPOSANT PORTS DE PARE-FEU DÉTAILS Active Directory Serveur de l'extension du protocole d'inscription du certificat simple (SCEP) Ouvrez l'un des ports suivants : Port TCP 389 (Contrôleur de domaine) pour le serveur d'administration et le serveur de communication Port TCP 3268 (Catégorie globale) pour le serveur d'administration et le serveur de communication Ouvrez le port HTTP 80 pour le serveur de communication et les dispositifs mobiles ios. SQL Server Ouvrez les ports suivants : Port TCP 1433 pour le serveur Mobile Security. Port UDP 1434 pour le serveur Mobile Security. Utilisé pour l'authentification utilisateur à l'aide d'active Directory. Si vous n'utilisez pas Active Directory pour l'authentification ou l'import d'utilisateurs, ce port n'est pas requis. Utilisé pour l'inscription des dispositifs mobiles ios. Si vous n'utilisez pas de serveur SCEP pour la gestion des dispositifs mobiles ios, ce port n'est pas requis. Établit une connexion entre le serveur Mobile Security et SQL Server à distance. Remarque : Il s'agit du port TCP par défaut pour se connecter à SQL Server. Cependant, vous pouvez également utiliser un autre port pour SQL Server, si nécessaire. Serveur Enterprise Blackberry (BES) Ouvrez les ports suivants : Ouvrez le port TCP 3101 pour l'infrastructure du protocole de routage du serveur (SRP) BES. Ouvrez le port TCP 443 pour le serveur d'administration et l'outil de commande BES Si vous n'utilisez pas Mobile Security pour la gestion des dispositifs mobiles BlackBerry, ces ports ne sont pas requis. A-3

71 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Configurations de ports de pare-feu pour modèle de sécurité renforcée (Installation sur deux serveurs) Si vous utilisez le modèle de sécurité renforcée, configurez les ports de pare-feu suivants pour les composants Mobile Security : A-4

72 Configurations de ports de pare-feu COMPOSANT PORTS DE PARE-FEU DÉTAILS Serveur de communication Ouvrez le port suivant pour le serveur Apple Push Notification service (APNs). Port TCP 2195 : gateway.push.apple.com Ouvrez le port HTTP 80. Remarque : Il s'agit du numéro de port HTTP par défaut pour la configuration sur deux serveurs. Cependant, vous pouvez modifier le numéro de port HTTP que vous souhaitez utiliser afin de permettre aux dispositifs mobiles de communiquer avec le serveur de communication durant l'installation. Permet au serveur APN d'apple de gérer les dispositifs mobiles ios. Si vous n'utilisez pas de serveur APN pour la gestion des dispositifs mobiles ios, ce port n'est pas nécessaire. Utilisé pour la communication entre les dispositifs mobiles et le serveur de communication. Ouvrez le port HTTPS 443. Remarque : Il s'agit du numéro de port HTTPS par défaut pour la configuration sur deux serveurs. Cependant, vous pouvez modifier le numéro de port HTTPS que vous souhaitez utiliser afin de permettre aux dispositifs mobiles de communiquer avec le serveur de communication durant l'installation. Utilisé pour la communication sécurisée entre les dispositifs mobiles et le serveur de communication. A-5

73 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 COMPOSANT PORTS DE PARE-FEU DÉTAILS Serveur de communication Active Directory Serveur de l'extension du protocole d'inscription du certificat simple (SCEP) Ouvrez les ports suivants : Port TCP 8189 : le port par défaut pour permettre à la connexion SOAP (Simple Object Access Protocol) d'autoriser une connexion entrante au serveur de communication à partir du serveur d'administration Port TCP 8190 : le port par défaut pour permettre à la connexion de socket d'autoriser une connexion entrante au serveur de communication à partir du serveur d'administration Ouvrez l'un des ports suivants : Port TCP 389 (Contrôleur de domaine) pour le serveur d'administration et le serveur de communication Port TCP 3268 (Catégorie globale) pour le serveur d'administration et le serveur de communication Ouvrez le port HTTP 80 pour le serveur de communication et les dispositifs mobiles ios. Établit une connexion entre le serveur d'administration et le serveur de communication. Utilisé pour l'authentification utilisateur à l'aide d'active Directory. Si vous n'utilisez pas Active Directory pour l'authentification ou l'import d'utilisateurs, ce port n'est pas requis. Utilisé pour l'inscription des dispositifs mobiles ios. Si vous n'utilisez pas de serveur SCEP pour la gestion des dispositifs mobiles ios, ce port n'est pas requis. A-6

74 Configurations de ports de pare-feu COMPOSANT PORTS DE PARE-FEU DÉTAILS SQL Server Ouvrez les ports suivants : Port TCP 1433 pour le serveur de communication et le serveur d'administration Port UDP 1434 pour le serveur de communication et le serveur d'administration. Établit une connexion entre le serveur de communication et le serveur d'administration avec SQL Server à distance. Remarque : Le port TCP 1433 est le port par défaut pour se connecter à SQL Server. Cependant, vous pouvez également utiliser un autre port TCP pour SQL Server, si nécessaire. Serveur Enterprise Blackberry (BES) Ouvrez les ports suivants : Ouvrez le port TCP 3101 pour l'infrastructure du protocole de routage du serveur (SRP) BES. Ouvrez le port TCP 443 pour le serveur d'administration et l'outil de commande BES. Si vous n'utilisez pas Mobile Security pour la gestion des dispositifs mobiles BlackBerry, ces ports ne sont pas requis. A-7

75 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 A-8

76 Annexe B Configurations facultatives Cette annexe fournit les procédures de configurations facultatives que vous pouvez effectuer au cours de l'installation de Trend Micro Mobile Security. Cette annexe contient les sections suivantes : Utilisation de l'authentification Windows pour SQL Server à la page B-2 Configuration des ports du serveur de communication à la page B-3 Augmentation de l'extensibilité du serveur à la page B-4 B-1

77 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Utilisation de l'authentification Windows pour SQL Server B-2 Trend Micro recommande l'utilisation de la méthode d'authentification SQL Server au lieu de l'authentification Windows. Cependant, vous pouvez également configurer l'authentification Windows pour SQL Server. Pour utiliser l'authentification Windows : 1. Créez un compte de domaine dans le serveur Active Directory avec les droits d'accès à la base de données Mobile Security. 2. Ajoutez le serveur d'administration et le serveur de communication au domaine que vous avez créé à l'étape Sur le serveur d'administration, ouvrez les services Windows, et double-cliquez sur OfficeScan Plug-in Manager. 4. Sur l'onglet Connexion, sélectionnez Ce compte : et saisissez le nom du compte qui aura accès à la base de données, ainsi que son mot de passe dans les champs Mot de passe et Confirmer le mot de passe, puis cliquez sur OK. 5. Cliquez avec le bouton droit sur OfficeScan Plug-in Manager dans la liste de services, puis cliquez sur Redémarrer. 6. Sur le serveur d'administration, répétez les étapes 3 à 5 pour les services suivants : Service de module de gestion de Mobile Security Service de surveillance de Mobile Security Service BlackBerry de module de gestion de Mobile Security 7. Sur le serveur de communication, répétez les étapes 3 à 5 pour les services suivants : Service IOS de module de gestion de Mobile Security Serveur module de communication Mobile Security (MSCM) 8. Configuration des paramètres de la base de données sur la console Web OfficeScan : a. Connectez-vous à la console Web OfficeScan. b. Cliquez sur Plug-in Manager dans le menu principal. c. Cliquez sur Administration > Paramètres de base de données. d. Saisissez l'adresse IP du serveur de la base de données ainsi que le nom de la base de données et laissez les champs vides Nom d'utilisateur et Mot de passe. e. Cliquez sur Enregistrer.

78 Configurations facultatives Configuration des ports du serveur de communication Trend Micro Mobile Security 8.0 vous permet de personnaliser les ports utilisés par le serveur de communication afin d'établir la connexion avec le serveur d'administration. Pour configurer les ports du serveur de communication : 1. Configurez les ports de connexion et SOAP sur le serveur d'administration : a. Sur le serveur d'administration, ouvrez TmOMSM.ini dans un éditeur de texte (situé sous C:\Program Files\Trend Micro\OfficeScan\Addon\Mobile Security\ ou C:\Program Files(x86)\Trend Micro\OfficeScan\Addon\Mobile Security\). b. Modifiez les valeurs de omsm_svr_port pour le port SOAP, et PolicyServerIPCPOrt pour le port de connexion. c. Enregistrez puis fermez le fichier TmOMSM.ini. d. Ouvrez Services Windows et cliquez avec le bouton droit sur OfficeScan Master Service, puis cliquez sur Redémarrer. 2. Configurez les ports de connexion et SOAP sur le serveur de communication : a. On the serveur de communication, open omsm_srv.ini dans un éditeur de texte (situé sous C:\Program Files\Trend Micro\Mobile Security\PolicyServer\). b. Modifiez les valeurs de omsm_soap_port pour le port SOAP et [sockipc] port pour le port de connexion. c. Ouvrez Services Windows, puis redémarrez les services suivants : Serveur module de communication Mobile Security (MSCM) Service proxy IPC de module de gestion Mobile Security B-3

79 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Augmentation de l'extensibilité du serveur En fonction de vos exigences, vous pouvez augmenter l'extensibilité du serveur et améliorer ses performances. Pour augmenter l'extensibilité du serveur et améliorer ses performances : 1. Ouvrez le Gestionnaire Internet Information Services (IIS), puis sélectionnez le serveur sur lequel vous souhaitez effectuer cette procédure. 2. Cliquez sur Pools d'applications dans le volet gauche, sélectionnez le pool d'applications dans lequel Mobile Security est installé à partir de la liste située dans le volet central, et cliquez sur Paramètres avancés... dans le volet droit. La boîte de dialogue Paramètres avancés apparaît. 3. Dans la boîte de dialogue Paramètres avancés, effectuez les modifications suivantes : Modifiez la valeur du paramètre Longueur de la file pour Modifiez la valeur du paramètre Processus de traitement maximum pour 5 ou plus. 4. Après avoir effectué les modifications, cliquez sur OK, puis fermez le Gestionnaire Internet Information Services (IIS). 5. Ouvrez l'invite de commande de Windows, puis effectuez les tâches suivantes : saisissez la commande suivante afin de modifier la valeur de la limite de demandes simultanées IIS à : c:\windows\system32\inetsrv\appcmd.exe set config /section:serverruntime /appconcurrentrequestlimit: Remarque : Afin de vérifier cette modification, ouvrez le fichier applicationhost.config en saisissant le fichier de commande %systemroot%\system32\inetsrv\config\applicationhost.config dans l'invite de commande, puis vérifiez la valeur du paramètre serverruntime appconcurrentrequestlimit, qui devrait être de saisissez la commande suivante afin de modifier la valeur de la limite de demandes simultanées IIS à dans le registre Windows : reg add HKLM\System\CurrentControlSet\Services\HTTP\Parameters /v MaxConnections /t REG_DWORD /d B-4

80 Annexe C Génération et configuration d'un certificat APNs (Apple Push Notification service) Trend Micro Mobile Security requiert la gestion des dispositifs mobiles ios par le certificat APNs (Apple Push Notification service). Cette annexe introduit la procédure détaillée de génération du certificat APNs (Apple Push Notification service) et de son téléchargement vers le serveur Mobile Security. Cette annexe contient les sections suivantes : Familiarisation avec le Certificat APNs (Apple Push Notification service) à la page C-2 Génération d'un certificat APNs (Apple Push Notification service) à la page C-3 Téléchargement du certificat APNs (Apple Push Notification service) vers le serveur Mobile Security à la page C-16 Génération et configuration d'un certificat APNs (Apple Push Notification service) dans Windows Server 2003 à l'aide d'iis 6.0 à la page C-17 C-1

81 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Familiarisation avec le Certificat APNs (Apple Push Notification service) L'APNs (Apple Push Notification service) permet au serveur Trend Micro Mobile Security for Enterprise de communiquer de manière sécurisée et sans fil (over-the-air, OTA) avec vos dispositifs. Chaque entreprise nécessite son propre certificat APNs (Apple Push Notification service) afin de garantir un mécanisme sécurisé qui permet à leurs dispositifs de communiquer à travers le réseau Apple Push Notification. Trend Micro Mobile Security for Enterprise se sert de votre certificat APNs (Apple Push Notification service) pour gérer vos dispositifs ios ou pour envoyer des notifications à vos dispositifs lorsque l'administrateur requiert des informations. Seule la notification est envoyée par le biais du serveur APNs. FIGURE C-1. Processus de notification C-2

82 Génération et configuration d'un certificat APNs (Apple Push Notification service) Génération d'un certificat APNs (Apple Push Notification service) Cette section explique le processus de génération d'un certificat APNs (Apple Push Notification Service) pour la gestion des dispositifs mobiles ios. Voici les étapes de base pour la génération d'un certificat APNs (Apple Push Notification service) : 1. Générer une demande de signature d'un certificat (Certificate Signing Request, CSR). 2. Effectuez l'une des actions suivantes : Utilisez le certificat signé par Trend Micro i. Envoyez la CSR générée à Trend Micro. Trend Micro signe et vous renvoie votre CSR. ii. Téléchargez la CSR vers le portail de certificats Apple Push. Utilisez le certificat signé par Apple Téléchargez la CSR vers votre portail de développement Apple. (Apple signe votre certificat). 3. Téléchargez le certificat signé à partir du portail Apple puis complétez la demande initiale de CSR. Remarque : Assurez-vous de disposer des éléments suivants avant de commencer : Compte développeur d'entreprise Apple (Enterprise Developer) (developer.apple.com/programs/ios/enterprise) Votre compte développeur doit être Agent comme rôle (un rôle d'administrateur ne fonctionnera pas) Poste de travail Mac OS X ou Windows Server avec autorisations administrateur Navigateur Web Safari ou Firefox C-3

83 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Génération d'un certificat APNs (Apple Push Notification service) à partir d'un poste de travail Mac La procédure suivante vous guidera pour la génération d'un certificat APNs (Apple Push Notification service) à l'aide d'un poste de travail Mac OS X. Pour Windows Server, vous pouvez ignorer cette section, et aller directement à la section Génération d'un certificat APNs (Apple Push Notification service) à partir d'un Windows Server à la page C-8. Étape 1. Génération d'une demande de signature d'un certificat (Certificate Signing Request, CSR) 1. Sur votre ordinateur Mac, allez sur Applications > Utilitaires > Trousseau d'accès. 2. Dans le volet gauche, sélectionnez connexion dans la section Trousseau, puis sélectionnez Certificats dans la section Catégorie. 3. Dans la barre de menu supérieur, sélectionnez Trousseau d'accès > Assistant de certification > Demander un certificat à une autorité de certification. L' Assistant de certification s'affiche. 4. Saisissez l'adresse et le nom du compte développeur Apple enregistré dans les champs Adresse de l'utilisateur et Nom commun, sélectionnez Enregistré sur le disque puis cliquez sur Continuer. 5. Sélectionnez l'emplacement dans lequel vous souhaitez enregistrer le fichier, puis cliquez sur Enregistrer. Vous avez créé une CSR et vous pouvez désormais la télécharger vers votre portail de développement Apple. Étape 2. Téléchargement d'une CSR vers le portail Apple et génération du certificat APNs (Apple Push Notification service) Une fois la CSR générée, vous pouvez effectuer l'une des actions suivantes : envoyer la CSR que vous venez de créer à Trend Micro afin qu'elle soit signée, puis l'utiliser pour générer un certificat APNs (Apple Push Notification service) télécharger la CSR vers le portail de développement Apple afin qu'elle soit signée par Apple et générer un certificat APNs (Apple Push Notification service) Pour utiliser le certificat signé par Trend Micro 1. Envoyez la CSR que vous venez de générer à votre représentant Trend Micro. Trend Micro la signe et vous la renvoie. 2. Lorsque vous recevez la CSR signée renvoyée par Trend Micro, téléchargez-la vers le portail de certificats Apple Push : a. Sur le navigateur Web, allez à l'url suivante : b. Ouvrez votre session à l'aide de votre identifiant et mot de passe Apple. La page Mise en route s'affiche. C-4

84 Génération et configuration d'un certificat APNs (Apple Push Notification service) c. Cliquez sur le bouton Créer un certificat. L'écran Conditions d'utilisation s'affiche. d. Cliquez sur Accepter pour accepter les conditions. L'écran Créer un nouveau certificat Push s'affiche. e. Cliquez sur Parcourir, sélectionnez le fichier signé au préalable par Trend Micro, puis cliquez sur Télécharger. Patientez jusqu'à ce que le portail génère le fichier (pem) du certificat APNs (Apple Push Notification service). f. Cliquez sur Télécharger pour enregistrer le fichier.pem sur votre ordinateur, puis passez à l'étape 3. Installer votre certificat APNs (Apple Push Notification service) à la page C-7 pour Mac ou l'étape 3. Installer votre certificat APNs (Apple Push Notification service) à la page C-11 pour Windows. Pour utiliser le certificat signé par Apple Remarque : Ignorez cette procédure si vous utilisez le certificat APNs (Apple Push Notification service) signé par Trend Micro. 1. Sur le navigateur Web, naviguez jusqu'à l'url suivante : 2. Cliquez sur le lien Espace membre. 3. Ouvrez votre session à l'aide de votre identifiant et mot de passe Apple. 4. Cliquez sur Portail de mise en service ios. Remarque : Si le portail de mise en service ios n'apparaît pas, votre compte de développement n'a pas été paramétré pour le développement ios. 5. Dans le volet gauche, cliquez sur ID d'application, puis cliquez sur Nouvelle ID d'application. 6. Remplissez les champs applicables Le champ de notation de l'identifiant de l'offre groupée (Suffixe de l'identifiant d'application) doit être «com.apple.mgmt.mycompany.tmms» Remarque : Remplacez mycompany par le nom de votre société. Remarque : Notez la valeur de notation de l'identifiant de l'offre groupée (Suffixe de l'identifiant d'application). Vous aurez besoin de cette valeur lors de la configuration du serveur Mobile Security. C-5

85 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v Cliquez sur Soumettre. L' ID d'application que vous venez d'ajouter apparaît dans la liste. 8. Cliquez sur Configurer. Conseil : Si vous ne pouvez pas voir ou cliquer sur Configurer, vérifiez que vous êtes bien connecté avec le rôle d'agent. 9. Sélectionnez Activer Apple Push Notification service, puis cliquez sur Configurer pour créer un certificat SSL Production Push. Conseil : Si vous ne pouvez pas sélectionner Activer Apple Push Notification service, essayez d'utiliser le navigateur Web Safari ou Firefox, et vérifiez que vous êtes bien connecté avec le rôle d'agent. 10. L'Assistant de certification SSL apparaît et vous demande de créer une demande de signature d'un certificat (que vous avez déjà créée à l'étape 1. Génération d'une demande de signature d'un certificat (Certificate Signing Request, CSR)). Cliquez sur Continuer. 11. Cliquez sur Choisir un fichier et téléchargez la demande de signature d'un certificat que vous avez créée à l'étape 1. Génération d'une demande de signature d'un certificat (Certificate Signing Request, CSR). (Par exemple, CertificateSigningRequest.certSigningRequest2). 12. Cliquez sur Générer. Une fois terminé, l'écran apparaît et vous confirme que votre certificat SSL APNs (Apple Push Notification service) a été généré. 13. Cliquez sur Continuer. L'écran Télécharger et installer votre certificat SSL APNs (Apple Push Notification service) s'affiche. 14. Cliquez sur Télécharger pour enregistrer le fichier.cer sur votre ordinateur, puis passez à l'étape 3. Installer votre certificat APNs (Apple Push Notification service) à la page C-7 pour Mac ou l'étape 3. Installer votre certificat APNs (Apple Push Notification service) à la page C-11 pour Windows. Remarque : Pour installer le certificat APNs (Apple Push Notification service) sur un ordinateur sous Windows, vous devez changer manuellement l'extension, de.pem à.cer. C-6

86 Génération et configuration d'un certificat APNs (Apple Push Notification service) Étape 3. Installer votre certificat APNs (Apple Push Notification service) 1. Allez à l'emplacement dans lequel vous avez téléchargé le fichier, et double-cliquez sur le fichier pour le télécharger automatiquement vers le Trousseau d'accès puis complétez la demande de signature. 2. Allez sur Applications > Utilitaires > Trousseau d'accès. 3. Dans le volet gauche, sélectionnez connexion dans la section Trousseau d'accès, puis sélectionnez Certificats dans la section Catégorie. 4. Vérifiez que votre certificat Apple Production Push Services apparaît bien dans la liste et qu'une clé privée d'associé se trouve en dessous lorsque vous le développez. Si vous voyez le certificat, suivez les étapes suivantes afin de l'exporter et de le télécharger vers le serveur Trend Micro Mobile Security. Conseil : Si vous ne voyez pas votre certificat APNs ou que la clé privée n'apparaît pas, vérifiez que le Trousseau d'accès de connexion est sélectionné, que la catégorie Certificats est sélectionnée et que votre clé de certificat a été développée. Si vous ne voyez toujours pas votre certificat, répétez toutes les étapes ci-dessus. 5. Cliquez avec le bouton droit (ou faites Ctrl-clic) sur la clé privée puis cliquez sur Exporter. 6. Choisissez le nom du fichier et l'emplacement dans lequel vous souhaitez enregistrer le fichier, et sélectionnez le format de fichier Échange d'informations personnelles (.p12). Conseil : Si vous disposez uniquement de l'option enregistrer en tant que fichier.cer au lieu d'un.p12, cela signifie que vous n'exportez pas le certificat correctement. Assurez-vous d'avoir sélectionné la clé privée à exporter lors de la dernière étape, et que le format de votre fichier est bien Échange d'informations personnelles (.p12). 7. Cliquez sur Enregistrer. 8. Choisissez un mot de passe pour l'export puis cliquez sur OK. Conseil : Assurez-vous de mémoriser le mot de passe, ou conservez-le dans un endroit sûr. Le mot de passe sera demandé lors du téléchargement du certificat vers le serveur MDM Trend Micro Mobile Security for Enterprise. C-7

87 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Une fois toutes ces étapes terminées, vous devriez disposer des éléments suivants : Certificat APNs (Apple Push Notification service) (au format.p12, et non.cer) Le mot de passe que vous avez défini lors de l'export du certificat Vous pouvez désormais télécharger votre certificat vers le serveur Trend Micro Mobile Security. Génération d'un certificat APNs (Apple Push Notification service) à partir d'un Windows Server Les étapes suivantes vous guideront pour générer un certificat APNs (Apple Push Notification service) à partir d'un Windows Server. Si vous avez déjà généré votre certificat à partir d'un poste de travail Mac OS X, vous pouvez ignorer cette section et télécharger votre certificat vers le serveur MDM Trend Micro Mobile Security for Enterprise. Étape 1. Génération d'une demande de signature d'un certificat (Certificate Signing Request, CSR) 1. Allez sur Démarrer > Outils d'administration > Gestionnaire Internet Information Services (IIS), et sélectionnez le nom du serveur. 2. Double-cliquez sur l'icône Certificats de serveur. FIGURE C-2. Accès aux certificats de serveur C-8

88 Génération et configuration d'un certificat APNs (Apple Push Notification service) Remarque : L'IIS version 7.0 est utilisée pour configurer le certificat APNs (Apple Push Notification service) dans ce document. 3. Dans le volet des actions sur la droite, cliquez sur Créer une demande de certificat. L'assistant de demande de certificat apparaît. FIGURE C-3. Démarrage de l'assistant de demande de certificat 4. Dans la fenêtre de Propriétés du nom unique, saisissez les informations suivantes : Nom commun le nom associé à votre compte développeur Apple Organisation le nom légalement enregistré de votre organisation/société Unité d'organisation le nom de votre service au sein de l'organisation Ville/localité la ville dans laquelle votre organisation est située Département/région le département dans lequel votre organisation est située Pays/région le pays ou la région dans lequel/laquelle votre organisation est située C-9

89 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 FIGURE C-4. Écran de Propriétés du nom unique 5. Cliquez sur Suivant. La fenêtre de Propriétés du fournisseur de services de chiffrement apparaît. 6. Sélectionnez Fournisseur de services de chiffrement Microsoft RSA SChannel dans le champ Fournisseur de services de chiffrement et 2048 dans le champ Longueur en bits, puis cliquez sur Suivant. FIGURE C-5. Écran de Propriétés du fournisseur de services de chiffrement C-10

90 Génération et configuration d'un certificat APNs (Apple Push Notification service) 7. Sélectionnez un emplacement dans lequel vous souhaitez enregistrer le fichier de demande de certificat. Assurez-vous de mémoriser le nom du fichier et l'emplacement dans lequel vous l'enregistrez. FIGURE C-6. Écran Nom du fichier 8. Cliquez sur Terminer. Vous avez créé une CSR et vous pouvez désormais la télécharger vers votre portail de développement Apple. Étape 2. Téléchargement d'une CSR vers le portail Apple et génération du certificat APNs (Apple Push Notification service) Consultez l'étape 2. Téléchargement d'une CSR vers le portail Apple et génération du certificat APNs (Apple Push Notification service) à la page C-4 pour Mac OS X pour la procédure. Étape 3. Installer votre certificat APNs (Apple Push Notification service) 1. Allez sur Démarrer > Outils d'administration > Gestionnaire Internet Information Services (IIS), sélectionnez le nom du serveur et double-cliquez sur Certificats de serveur 2. Dans le volet des Actions sur la droite, cliquez sur Terminer la demande de certificat. L'assistant Terminer la demande de certificat apparaît. C-11

91 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 FIGURE C-7. Terminer la demande de certificat Remarque : Si vous utilisez IIS 7.5, le fait de cliquer sur Terminer la demande de certificat peut faire apparaître le message d'erreur suivant : Une chaîne de certificat n'a pas pu être créée dans une autorité racine approuvée. Si cela se produit, consultez la section Configurer IIS 7.5 pour l'installation du certificat APNs (Apple Push Notification service) à la page C-15 pour voir la procédure à suivre pour résoudre ce problème. 3. Sélectionnez le fichier de certificat.cer que vous avez téléchargé à partir du portail développeur Apple et saisissez APNs MDM Trend Micro Mobile Security for Enterprise dans le champ Nom convivial. Remarque : Si vous avez généré le fichier de certificat à partir du poste de travail Mac, vous devez changer manuellement l'extension du fichier de.pem à.cer. C-12

92 Génération et configuration d'un certificat APNs (Apple Push Notification service) FIGURE C-8. Écran Indiquer la réponse de l'autorité de certification Conseil : Le nom convivial ne fait pas partie du certificat, mais il est utilisé par l'administrateur du serveur afin de distinguer facilement le certificat. 4. Sélectionnez OK. Le certificat sera installé sur le serveur. 5. Vérifiez que votre certificat Apple Production Push Services apparaît dans la liste de Certificats de serveur. Si vous voyez le certificat, suivez les étapes suivantes afin de l'exporter et de le télécharger vers le serveur MDM Trend Micro Mobile Security for Enterprise. 6. Cliquez avec le bouton droit sur la liste de Certificats de serveur, puis cliquez sur Exporter. C-13

93 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 FIGURE C-9. Exporter le certificat 7. Sélectionnez l'emplacement dans lequel vous souhaitez enregistrer le fichier, choisissez un mot de passe pour l'export, puis cliquez sur OK. FIGURE C-10. Spécifier un mot de passe pour le certificat C-14

94 Génération et configuration d'un certificat APNs (Apple Push Notification service) Conseil : Si vous disposez uniquement de l'option enregistrer en tant que fichier.cer au lieu d'un.pfx, cela signifie que vous n'exportez pas le certificat correctement. Assurez-vous d'avoir sélectionné le fichier correct à exporter. Remarque : Assurez-vous de mémoriser le mot de passe, ou conservez-le dans un endroit sûr. Le mot de passe sera demandé lors du téléchargement du certificat vers le serveur MDM Trend Micro Mobile Security for Enterprise. Une fois toutes ces étapes terminées, vous devriez disposer des éléments suivants : Certificat APNs (Apple Push Notification service) (au format.pfx, et non.cer) Le mot de passe que vous avez défini lors de l'export du certificat Vous pouvez désormais télécharger votre certificat vers le serveur Trend Micro Mobile Security. Configurer IIS 7.5 pour l'installation du certificat APNs (Apple Push Notification service) Si vous utilisez IIS 7.5, le téléchargement du certificat vers IIS peut échouer, avec le message d'erreur suivant : Une chaîne de certificat n'a pas pu être créée dans une autorité racine approuvée. Cela peut se produire pour les raisons suivantes : Le certificat APNs (Apple Push Notification service) est signé par l'autorité de certification racine Apple au lieu d'une autorité de certification publique. La vérification renforcée pour l'autorité de certification racine approuvée par IIS 7.5. Pour configurer IIS 7.5 pour l'installation du certificat APNs (Apple Push Notification service) : 1. Télécharger le certificat Racine Apple et le certificat d'intégration des applications à partir de l'url suivante : 2. Double-cliquez sur le certificat Racine Apple, puis sur la fenêtre Certificat, cliquez sur Installer le certificat. 3. Sur l'écran de bienvenue, cliquez sur Suivant. 4. Sélectionnez Placez tous les certificats dans la banque suivante puis cliquez sur Parcourir. 5. Dans la fenêtre Sélectionner la banque de certificats, sélectionnez Afficher les banques physiques, puis sélectionnez Autorité de certification racine approuvée > Ordinateur local puis cliquez sur OK. C-15

95 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v Cliquez sur Suivant sur l'écran Assistant de l'import de certificat, puis cliquez sur Terminer. 7. Répétez les étapes 2 à 5 pour le certificat d'intégration des applications. Cependant, à l'étape 4, sélectionnez Autorités de certification intermédiaires > Ordinateur local au lieu de Autorité de certification racine approuvée > Ordinateur local. Téléchargement du certificat APNs (Apple Push Notification service) vers le serveur Mobile Security Cette section explique le processus de téléchargement du certificat APNs (Apple Push Notification service) vers le serveur Trend Micro Mobile Security for Enterprise afin de commencer à gérer les dispositifs ios. Remarque : Assurez-vous de disposer des éléments suivants avant de commencer : Fichier du certificat APNs (Apple Push Notification service) (au format.pfx ou.p12, et non.cer) Le mot de passe que vous aviez défini lors de l'export du certificat Le compte administrateur du serveur MDM Trend Micro Mobile Security for Enterprise Pour télécharger le certificat APNs (Apple Push Notification service) vers Mobile Security : 1. Ouvrez Internet Explorer, et connectez-vous à la console Web OfficeScan. 2. Cliquez sur Plug-in Manager dans le menu principal. 3. Effectuez l'une des actions suivantes : Cliquez sur Administration > Gestion des certificats, cliquez sur Ajouter, sélectionnez le certificat Apple Push Notification Server du disque dur, puis cliquez sur Enregistrer. FIGURE C-11. Ajout d'un certificat par le biais de la gestion de certificat C-16

96 Génération et configuration d'un certificat APNs (Apple Push Notification service) Cliquez sur Administration > Paramètres du serveur de communication, cliquez sur l'onglet Paramètres ios, et sélectionnez le certificat Apple Push Notification Server du disque dur dans le champ Certificat, enfin cliquez sur Enregistrer. FIGURE C-12. Ajout d'un certificat par le biais des paramètres du Serveur de communication Une fois ces étapes terminées, vous pouvez désormais gérer vos dispositifs mobiles ios. Génération et configuration d'un certificat APNs (Apple Push Notification service) dans Windows Server 2003 à l'aide d'iis 6.0 Consultez l'url suivante pour les étapes détaillées à suivre pour la génération et configuration du certificat APNs (Apple Push Notification service) dans Windows Server 2003 à l'aide d'internet Information Services (IIS) 6.0 : C-17

97 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 C-18

98 Annexe D Génération et configuration d'un certificat SSL Trend Micro Mobile Security nécessite un certificat de serveur SSL (Secure Socket Layer) privé émis par une autorité de certification publique reconnue afin de garantir une communication sécurisée entre les dispositifs mobiles et le serveur de communication à l'aide du protocole S-HTTP (Secure Hypertext Transfer Protocol, HTTPS). Cette annexe introduit les détails des procédures à suivre pour la génération d'un certificat SSL privé et l'obtention d'un certificat SSL public provenant d'une autorité de certification publique reconnue, puis le déploiement de ces derniers sur le gestionnaire Internet Information Services (IIS) sur le serveur de communication. Cette annexe contient les sections suivantes : Génération et installation d'un certificat SSL privé sur le serveur de communication à la page D-2 Obtention et installation d'un certificat SSL public sur le serveur de communication à la page D-13 Génération et configuration d'un certificat SSL dans Windows Server 2003 à l'aide d'iis 6.0 à la page D-14 D-1

99 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Génération et installation d'un certificat SSL privé sur le serveur de communication Cette section explique le processus de génération d'un certificat SSL privé pour HTTPS pour les dispositifs mobiles ios. Voici les étapes de base pour la génération et l'installation d'un certificat SSL privé : 1. Installez une autorité de certification (CA) indépendante sur le serveur de communication. 2. Générez une demande de signature d'un certificat (Certificate Signing Request, CSR) pour le certificat SSL. 3. Signez et exportez le certificat SSL. 4. Complétez la demande CSR initiale. 5. Installez le certificat SSL sur les dispositifs mobiles ios. Étape 1. Installez une autorité de certification (CA) indépendante sur le serveur de communication 1. Allez sur Démarrer > Outils d'administration > Gestionnaire du serveur 2. Sur l'arborescence du gestionnaire du serveur dans le volet gauche, cliquez sur Rôles, puis dans la section Résumé des rôles, cliquez sur Ajouter des rôles. L'Assistant d'ajout de rôles s'affiche. D-2

100 Génération et configuration d'un certificat SSL FIGURE D-13. Fenêtre de l'assistant d'ajout de rôles 3. Sur l'écran Avant de commencer, cliquez sur Suivant. 4. Dans la liste Rôles, sélectionnez Services de certification d'active Directory et cliquez sur Suivant. 5. Sur l'écran Introduction aux services de certification d'active Directory, cliquez sur Suivant. 6. Dans la liste Services de rôle, sélectionnez Autorité de certification et cliquez sur Suivant. 7. Sur l'écran Spécifier le type d'installation, sélectionnez Indépendante et cliquez sur Suivant. 8. Sur l'écran Spécifier le type de CA, sélectionnez CA racine et cliquez sur Suivant. 9. Sur Configurer la clé privée, sélectionnez Créer une nouvelle clé privée et cliquez sur Suivant. 10. Sur l'écran Configurer le chiffrement pour l autorité de certification, configurez les champs comme suit : D-3

101 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 Sélectionnez un fournisseur de service de chiffrement (CSP) : RSA#Microsoft Software Key Storage Provider Longueur de la clé en caractères : 2048 Sélectionnez l'algorithme de hachage pour la signature de certificats émis par cette autorité de certification : sha1 FIGURE D-14. Écran de configuration de chiffrement pour une autorité de certification 11. Cliquez sur Suivant. 12. Sur l'écran Configurer le nom de l'autorité de certification, conservez les paramètres par défaut et cliquez sur Suivant. 13. Sur l'écran Définir la période de validité du certificat, conservez les paramètres par défaut et cliquez sur Suivant. 14. Sur l'écran Configurer la base de données de certificats, conservez les paramètres par défaut et cliquez sur Suivant. 15. Sur l'écran Confirmer les sélections pour l installation, cliquez sur Installer. 16. Une fois l'installation terminée, cliquez sur Fermer. D-4

102 Génération et configuration d'un certificat SSL Étape 2. Génération d'une demande de signature d'un certificat (Certificate Signing Request, CSR) 1. Allez sur Démarrer > Outils d'administration > Gestionnaire Internet Information Services (IIS), et sélectionnez le nom du serveur. 2. Double-cliquez sur l'icône Certificats de serveur. FIGURE D-15. Accès aux certificats de serveur Remarque : L'IIS version 7.0 est utilisée pour configurer le certificat SSL dans ce document. 3. Dans le volet des actions sur la droite, cliquez sur Créer une demande de certificat. L'assistant de demande de certificat apparaît. D-5

103 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 FIGURE D-16. Démarrage de l'assistant de demande de certificat 4. Dans la fenêtre de Propriétés du nom unique, saisissez les informations suivantes : Nom commun l'adresse IP ou le nom d'hôte enregistré du serveur de communication. Par exemple : mobile.trendmicro.com. Organisation le nom légalement enregistré de votre organisation/société Unité d'organisation le nom de votre service au sein de l'organisation Ville/localité la ville dans laquelle votre organisation est située Département/région le département dans lequel votre organisation est située Pays/région le pays ou la région dans lequel/laquelle votre organisation est située D-6

104 Génération et configuration d'un certificat SSL FIGURE D-17. Écran de Propriétés du nom unique 5. Cliquez sur Suivant. La fenêtre de Propriétés du fournisseur de services de chiffrement apparaît. 6. Sélectionnez Fournisseur de services de chiffrement Microsoft RSA SChannel dans le champ Fournisseur de services de chiffrement et 2048 dans le champ Longueur en bits, puis cliquez sur Suivant. FIGURE D-18. Écran de Propriétés du fournisseur de services de chiffrement 7. Sélectionnez un emplacement dans lequel vous souhaitez enregistrer le fichier de demande de certificat. Assurez-vous de mémoriser le nom du fichier et l'emplacement dans lequel vous l'enregistrez. D-7

105 Manuel d installation et de déploiement - Trend Micro Mobile Security for Enterprise v8.0 FIGURE D-19. Écran Nom du fichier 8. Cliquez sur Terminer. Vous avez créé une CSR et vous pouvez désormais signer le certificat SSL. Étape 3. Signez et exportez le certificat SSL 1. Allez sur Démarrer > Outils d'administration > Gestionnaire du serveur et cliquez avec le bouton droit sur Rôles > Services de certification d'active Directory > [nom de l'ordinateur], et cliquez sur Soumettre une nouvelle demande. 2. Sélectionnez le fichier CSR que vous avez créé à l'étape 2. Génération d'une demande de signature d'un certificat (Certificate Signing Request, CSR) puis cliquez sur Ouvrir. 3. Cliquez sur Rôles > Services de certification d'active Directory > [nom de l'ordinateur] > Demandes en attente, et cliquez avec le bouton droit sur la demande, puis sélectionnez Toutes les tâches > Problème. D-8

106 Génération et configuration d'un certificat SSL FIGURE D-20. Demandes en attente dans le Gestionnaire du serveur 4. Sélectionnez Rôles > Services de certification d'active Directory > [nom de l'ordinateur] > Certificats délivrés, et double-cliquez sur le certificat délivré. La fenêtre Certificat s'affiche. FIGURE D-21. Certificats délivrés dans le Gestionnaire de serveur 5. Sur l'onglet Détails, cliquez sur Copier le fichier. L'Assistant d'export de certificats s'affiche. 6. Sur l'écran de bienvenue, cliquez sur Suivant. D-9