Centrify Cloud Management Suite 2013

Transcrição

1 Centrify Cloud Management Suite 2013 Guia de Instalação e Configuração Ago 2013 Centrify Corporation

2 Aviso legal Este documento e o software nele descrito são fornecidos sob os termos de um contrato de licença ou de um acordo de não divulgação e estão sujeitos aos mesmos. Exceto conforme expressamente definido no contrato de licença ou no acordo de não divulgação anteriormente referidos, a Centrify Corporation fornece este documento e o software nele descrito "tal como estão", sem qualquer tipo de garantia, expressa ou implícita, incluindo, entre outras, as garantias implícitas de comercialização ou adequação a um determinado fim. Alguns estados não permitem exclusões de garantias expressas ou implícitas em determinadas transações; consequentemente, esta declaração poderá não se aplicar ao seu caso. Este documento e o software nele descrito não poderão ser emprestados, vendidos ou dados sem a autorização prévia por escrito da Centrify Corporation, exceto em circunstâncias permitidas por lei. Exceto conforme expressamente definido no contrato de licença ou no acordo de não divulgação anteriormente referidos, não é permitida a reprodução, o armazenamento num sistema de obtenção ou a transmissão sob qualquer forma ou através de qualquer meio, quer seja eletrónico, mecânico ou de outro tipo, de qualquer parte deste documento ou do software nele descrito sem o consentimento prévio por escrito da Centrify Corporation. Algumas empresas, nomes e dados presentes neste documento são utilizados a título exemplificativo e poderão não representar empresas, indivíduos ou dados reais. Este documento poderá incluir imprecisões técnicas ou erros tipográficos. As informações contidas neste documento são periodicamente alteradas. Estas alterações poderão ser incorporadas em novas edições do presente documento. A Centrify Corporation poderá melhorar ou alterar o software descrito neste documento em qualquer altura Centrify Corporation. Todos os direitos reservados. Partes do Centrify DirectControl são derivadas de software de terceiros ou de código aberto. Os avisos legais e de direitos de autor relativos a estas origens estão listados separadamente no ficheiro Acknowledgements.txt incluído juntamente com o software. Restrição de Direitos do Governo dos E.U.A.: Se o software e a documentação forem adquiridos pelo Governo dos E.U.A. ou em seu nome ou por um contratante principal ou um subcontratante (a qualquer nível) do Governo dos E.U.A., em conformidade com a cláusula 48 C.F.R (para aquisições efetuadas pelo Departamento de Defesa) e as cláusulas 48 C.F.R e (para aquisições não efetuadas pelo Departamento de Defesa), os direitos do governo relativamente ao software e à documentação, incluindo o direito de utilizar, modificar, reproduzir, lançar, executar, apresentar ou divulgar o software ou a documentação, estarão sujeitos, em todos os aspetos, aos direitos e restrições de licença comercial previstos no contrato de licença. Centrify, DirectAudit, DirectControl e DirectSecure são marcas comerciais registadas e DirectAuthorize e DirectManage são marcas comerciais da Centrify Corporation nos Estados Unidos e noutros países. Microsoft, Active Directory, Windows, Windows NT e Windows Server são marcas comerciais registadas ou marcas comerciais da Microsoft Corporation nos Estados Unidos e noutros países. O Centrify Suite está protegido pelas Patentes dos E.U.A. 7,591,005, 8,024,360 e 8,321,523. Os nomes de outras empresas e produtos mencionados no presente documento poderão ser marcas comerciais ou marcas comerciais registadas dos respetivos proprietários. Salvo indicação em contrário, todos os nomes utilizados no presente documento como exemplos de empresas, organizações, nomes de domínio, pessoas e eventos são fictícios. Não se pretende estabelecer, nem deverá ser inferida, qualquer associação com qualquer empresa, organização, nome de domínio, pessoa ou evento reais.

3 Índice Acerca deste guia 6 Público-alvo Convenções do guia Onde obter mais informações Contactar a Centrify Corporation Capítulo 1 Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e SaaS8 Como o Centrify for Mobile e o Centrify for SaaS funcionam O que instalar na sua rede interna O que os utilizadores instalam nos seus dispositivos móveis Ferramentas de gestão do administrador do Cloud service Descrição geral do programa Cloud Proxy Server Configuration Descrição geral do Cloud Manager Interfaces de utilizador do Cloud service O portal Web Centrify Centrify para dispositivos Android Centrify para dispositivos ios MobileManager para dispositivos ios MobileManager para dispositivos ios O que fazer a seguir Capítulo 2 Instalar e configurar o Centrify Cloud Management Suite 19 Requisitos Browsers suportados Permissões do Active Directory necessárias Requisitos do servidor do Exchange Instalar o Centrify Cloud Management Suite na sua rede Instalar o cloud proxy server Configurar o Centrify for Mobile Concluir o Assistente do Cloud Proxy Server Configuration Atualizar automaticamente o servidor proxy

4 Capítulo 3 Definir políticas de grupo de segurança 30 Descrição geral das políticas de grupo de dispositivos móveis Descrições da secção da política de grupo do Cloud Management Suite Utilizar as Definições dos Dispositivos Móveis Comuns Utilizar as definições do ios Utilizar as Definições do OS X Utilizar as Definições do Samsung KNOX Ativar as políticas para criar o contentor Samsung KNOX e a lista de permissões de SSO para Centrifyaplicações móveis Utilizar as Definições do Samsung SAFE Utilizar as Definições do Touchdown Ativar políticas Configurar perfis das Definições do Exchange ActiveSync Ativar as Definições do Exchange ActiveSync Básicas Ativar as Definições do Exchange ActiveSync do Samsung SAFE Ativar as Definições do Exchange ActiveSync com TouchDown Configurar perfis de definições de VPN Ativar a política de VPN nas Definições dos Dispositivos Móveis Comuns Ativar a política de VPN nas definições do Samsung SAFE Configurar as Definições de Wi-Fi Anexo A Configurar o cloud proxy server 54 Acerca do Centrify cloud proxy server e da aplicação de configuração Separador Estado Separador Servidor Proxy Separador Definições dos Dispositivos Móveis Autorização de inscrição Consulta da política de grupo O separador Alertas Separador Registo Anexo B Instalar servidores proxy adicionais 61 Obter códigos de registo para servidores proxy Instalar um cloud proxy server adicional Guia de Instalação e Configuração do Centrify Cloud Management Suite 4

5 Anexo C Desinstalar o Centrify Cloud Management Suite 63 Anexo D Configurar a autenticação silenciosa 64 Configurar a autenticação silenciosa para o Centrify for SaaS (descrição geral) Configurar o Firefox para permitir a autenticação silenciosa Configurar manualmente o Firefox para a autenticação silenciosa Configurar a política de grupo do Firefox para a autenticação silenciosa <<é necessário testar>> Configurar as zonas de segurança do Internet Explorer Ativar a Autenticação Integrada do Windows Adicionar um Web site à zona de segurança da intranet local Configurar a política de grupo do Internet Explorer para a autenticação silenciosa Configurar o Google Chrome no Windows para a autenticação silenciosa Configurar o Apple Safari num Mac para a autenticação silenciosa Anexo E Reinscrever um dispositivo em domínios com um ID de cliente diferente 71 Índice 5

6 Acerca deste guia O Centrify for Mobile e o Centrify for SaaS fornecem as ferramentas necessárias à proteção e gestão central de aplicações Web e dispositivos móveis através da sua infraestrutura do Active Directory existente. Com os dois produtos, pode instalar o Centrify Cloud Management Suite no seu domínio para gerir a comunicação entre o Active Directory e o Centrify cloud service. Este manual explica como instalar o Centrify Cloud Management Suite e configurar o servidor proxy. Público-alvo O presente guia inclui informações para administradores de sistemas e redes que sejam responsáveis pela gestão do acesso a recursos de redes, nomeadamente o acesso a aplicações Web ou o acesso de dispositivos móveis externos. Parte-se do princípio de que conhece os princípios básicos subjacentes à utilização do Active Directory da Microsoft e da aplicação de políticas de grupo. O Active Directory é o elemento principal da autenticação e autorização através do Centrify for Mobile e do Centrify for SaaS. No caso de utilizar o Centrify for Mobile, subentende-se ainda que conhece os princípios básicos do funcionamento de dispositivos móveis, embora não seja necessário muito mais do que utilizar um browser e definir controlos. Convenções do guia Este guia utiliza as seguintes convenções: O tipo de letra de largura fixa representa exemplos de código, nomes ou saídas de programas, nomes de ficheiros e comandos introduzidos na linha de comandos. Em itálico, o tipo de letra de largura fixa indica variáveis. O texto a negrito destaca comandos, botões ou texto da interface do utilizador e apresenta novos termos. O itálico representa títulos de livros e destaca palavras ou termos específicos. Os termos entre [parênteses retos] na sintaxe de comandos representam opções. Onde obter mais informações Para além deste guia de instalação e configuração, a documentação do Centrify for Mobile e do Centrify for SaaS inclui várias fontes de informação: 6

7 Contactar a Centrify Corporation As Notas de Versão incluídas nos suportes de distribuição ou no pacote de transferência fornecem as informações mais atualizadas sobre a versão atual, incluindo requisitos do sistema e plataformas suportadas, e eventuais informações adicionais específicas desta versão que poderão não estar incluídas noutros documentos. A ajuda do Cloud Manager fornece detalhes específicos para a configuração de cada tipo de aplicação que o Centrify disponibiliza: aplicações SaaS para SSO individuais, aplicações de palavras-passe do utilizador e aplicações móveis. Para abrir esta ajuda, clique na hiperligação de Ajuda a partir de uma aplicação do Catálogo de Aplicações ou de uma caixa de diálogo de Definições de Aplicação. A ajuda do MyCentrify fornece aos utilizadores informações orientadas por tarefas para a navegação e início das respetivas aplicações implementadas, visualização da respetiva atividade, gestão dos próprios dispositivos móveis e especificação de algumas definições do Active Directory. Para abrir esta ajuda, clique em Ajuda no menu do nome de utilizador no portal de utilizador MyCentrify. O Guia de Avaliação do Centrify for Mobile fornece as informações necessárias para instalar o Centrify Cloud Management Suite, inscrever alguns dispositivos móveis, configurar algumas políticas de grupo para esses dispositivos móveis e gerir as funcionalidades móveis no Centrify Cloud Manager e no portal de utilizador MyCentrify. O Guia de Avaliação do Centrify for SaaS fornece as informações necessárias para instalar o Centrify Cloud Management Suite, adicionar e implementar uma aplicação SaaS e gerir o portal de utilizador MyCentrify do Centrify Cloud Manager. A ajuda online do Cloud Manager fornece informações orientadas por tarefas para administradores que necessitem de modificar aplicações, gerir perfis e utilizadores e configurar definições no Cloud Manager. Para abrir esta ajuda, clique em Ajuda no menu do nome de utilizador no Cloud Manager. Além disso, pode obter respostas a perguntas comuns, fazer novas perguntas ou obter orientações de melhores práticas visitando o portal de suporte ao cliente do Centrify. Necessitará do seu nome de utilizador de cliente do Centrify e respetiva palavra-passe para entrar neste site. Contactar a Centrify Corporation Teremos todo o gosto em receber as suas dúvidas ou comentários. Para obter informações sobre como contactar a Centrify Corporation, visite o nosso Web site em No Web site, pode consultar as notícias mais recentes e informações sobre produtos, suporte, serviços, eventos futuros, relações de investidores e vendas. Para obter informações sobre a aquisição ou avaliação de produtos Centrify, envie uma mensagem de correio eletrónico para info@centrify.com. Acerca deste guia 7

8 Capítulo 1 Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e SaaS O Centrify Cloud Management Suite é um conjunto de componentes de software integrado que ajuda os administradores de TI a gerir a forma como os dispositivos móveis dos funcionários são utilizados para fins profissionais e que simplifica a implementação e a utilização de aplicações Web e móveis. Este conjunto de aplicações utiliza a infraestrutura do Active Directory existente da organização para a autenticação do utilizador, os objetos de política de grupo para dispositivos móveis e a gestão de dispositivos, tirando partido da experiência e das ferramentas existentes para proteger os ativos de informação da organização. Os componentes de software do conjunto de aplicações utilizam o Centrify cloud service para realizar as comunicações para a autenticação do utilizador, a implementação de aplicações e a gestão de dispositivos entre um servidor proxy do Active Directory integrado na sua rede e os dispositivos móveis. O conjunto de aplicações é composto por duas linhas de produtos: Com o Centrify for Mobile, os administradores podem proteger e gerir centralmente smartphones e tablets Android e ios e computadores OS X (por exemplo, MacBooks) utilizando a infraestrutura do Active Directory existente, implementar aplicações móveis para conjuntos de dispositivos móveis e utilizar ferramentas de Política de Grupo familiares para impor definições de segurança. Um administrador de TI pode gerir os dispositivos móveis diretamente a partir da ferramenta Utilizadores e Computadores do Active Directory; por exemplo, um administrador pode emitir um comando de bloqueio ou de limpeza para proteger informações da empresa num tablet ou telemóvel Android ou ios perdido ou furtado. Poderá licenciar o Centrify for Mobile quando pretender obter o controlo dos dispositivos móveis que têm acesso aos dados da sua organização e das aplicações móveis que utilizam para aceder aos dados. O Centrify for Mobile também disponibiliza a autenticação de início de sesão único para aplicações móveis. Com o Centrify for SaaS (software como serviço ), os administradores de aplicações podem gerir centralmente os serviços Web que os utilizadores executam a partir dos seus computadores e, quando combinado com o Centrify for Mobile, os seus dispositivos móveis. A interface de utilizador é um portal de utilizador prático no computador e uma aplicação simples para o telemóvel ou tablet que disponibiliza uma autenticação de início de sessão zero. O Centrify for SaaS também permite implementar serviços Web diferentes para conjuntos de utilizadores distintos. Muitas das aplicações SaaS populares, baseadas na Web e de orientação empresarial estão prontas para uma implementação imediata. 8

9 Como o Centrify for Mobile e o Centrify for SaaS funcionam Poderá licenciar o Centrify for SaaS quando pretender simplificar a implementação de serviços Web patrocinados pela empresa e eliminar a necessidade de os utilizadores introduzirem os nomes de utilizador e as palavras-passe para cada aplicação. Poderá licenciar o Centrify for Mobile e o Centrify for SaaS individualmente ou em conjunto. Como o Centrify for Mobile e o Centrify for SaaS funcionam O software Centrify Cloud Management Suite é composto pelos seguintes serviços e software: um cloud proxy server para instalar num computador ou na sua rede o portal Web Cloud Manager que os administradores utilizam para gerir aplicações, utilizadores, dispositivos e a configuração do cloud service o portal Web Centrify que os utilizadores finais utilizam para iniciar as aplicações Web que implementa e gerir os seus dispositivos aplicações gratuitas que os seus utilizadores obtêm do Google Play ou da Apple App store e instalam nos dispositivos O Centrify cloud service fornece a ligação de comunicações entre o controlador de domínio, os portais Web e os dispositivos móveis e funciona como um serviço de tokens de segurança de autenticação. Este serviço autentica os utilizadores com Kerberos, SAML ou um nome de utilizador e palavra-passe do Active Directory. Para garantir a segurança, o Centrify cloud service comunica através de canais seguros com os cloud proxy servers nas suas instalações. O Centrify cloud proxy server é executado com a proteção de uma firewall e fornece uma autenticação, política e acesso em tempo real a perfis de utilizadores sem expor o seu controlador de domínio ao cloud service. Deste modo, manterá o controlo sobre os seus dados do Active Directory valiosos enquanto fornece uma experiência de utilizador baseada no senso comum aos seus utilizadores. Se licenciar o Centrify for Mobile, a instalação do cloud proxy server incluirá as consolas extensão Utilizadores e Computadores do Active Directory (ADUC) e o Editor de Gestão de Políticas de Grupo (GPME). As extensões do Active Directory adicionam novos separadores ao objeto do dispositivo móvel e às Propriedades do utilizador para que possa ver os dispositivos móveis que estão ativos e os dispositivos inscritos por cada utilizador. Também pode emitir comandos para os dispositivos a partir destes separadores. As extensões de consola da política de grupo adicionam um conjunto abrangente de políticas de dispositivos móveis para dispositivos Android e ios e computadores OS X a partir dos quais pode definir objetos de política de grupo personalizados para os seus dispositivos móveis. O Centrify Cloud Manager é um portal Web que os administradores utilizam para implementar aplicações Web e móveis e monitorizar a atividade dos utilizadores. Também Capítulo 1 Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e SaaS 9

10 Como o Centrify for Mobile e o Centrify for SaaS funcionam pode utilizar o Cloud Manager, em vez da ferramenta Utilizadores e Computadores do Active Directory, para gerir dispositivos móveis e utilizadores. O portal Web Centrify é a interface dos utilizadores para o cloud service. A partir do portal Web Centrify, os utilizadores poderão abrir as aplicações Web que lhes foram implementadas, monitorizar as suas atividades e gerir algumas das suas propriedades do Active Directory. Eis como os componentes principais na arquitetura do Centrify for SaaS funcionam em conjunto: O Centrify for Mobile utiliza a mesma arquitetura básica que o Centrify for SaaS, incluindo o cloud proxy server, o Cloud Manager e o Centrify. Adiciona aplicações gratuitas que os utilizadores instalam nos seus dispositivos móveis. Estas aplicações utilizam o cloud service para permitir a gestão centralizada dos dispositivos móveis e simplificar o acesso dos utilizadores às aplicações Web e móveis implementadas a partir do Cloud Manager. Guia de Instalação e Configuração do Centrify Cloud Management Suite 10

11 O que instalar na sua rede interna Eis a forma como os componentes principais na arquitetura do Centrify for SaaS funcionam em conjunto: O que instalar na sua rede interna Ao instalar o Centrify Cloud Management Suite na sua rede, instalará os seguintes itens para o Centrify for SaaS e o Centrify for Mobile na sua rede interna: O Centrify cloud proxy server A aplicação Cloud Proxy Server Configuration Se tiver licenciado o Centrify for Mobile, também poderá instalar as extensões da consola Gestão de Políticas de Grupo Móveis e Utilizadores e Computadores do Active Directory como parte da instalação do conjunto de aplicações. O Centrify cloud proxy server é instalado num computador anfitrião associado ao seu controlador de domínio do Active Directory e ligado à Internet. Este servidor gere as comunicações entre o Active Directory e o Centrify cloud service. Capítulo 1 Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e SaaS 11

12 O que os utilizadores instalam nos seus dispositivos móveis A aplicação Centrify Cloud Proxy Server Configuration fornece uma interface de utilizador para configurar um Centrify cloud proxy server. A aplicação será instalada automaticamente quando instalar o cloud proxy server. A extensão ADUC móvel Centrify é um snap-in de Utilizadores e Computadores do Active Directory (ADUC) que apresenta propriedades de dispositivos específicas para dispositivos móveis e fornece comandos de gestão de dispositivos móveis. A extensão das políticas de grupo móveis Centrify é uma extensão do Editor de Gestão de Políticas de Grupo (GPME) que oferece políticas específicas para dispositivos móveis ao criar políticas de grupo para dispositivos móveis. Assim que tiver instalado estes componentes, estará pronto para abrir o Cloud Manager. O que os utilizadores instalam nos seus dispositivos móveis << A frase e as duas marcas de lista seguintes aplicar-se-ão até à implementação da fusão do MobileManager nos dispositivos ios.>> Os utilizadores instalam os seguintes componentes móveis Centrify nos seus dispositivos Os proprietários de dispositivos Android instalam a aplicação Centrify a partir do Google Play e, em seguida, utilizam esse programa para inscrever os seus dispositivos no cloud service. Esta aplicação liga os utilizadores ao Centrify cloud service para que possam inscrever os dispositivos e a uma interface de utilizador para iniciar aplicações Web e móveis implementadas. Os proprietários de dispositivos ios instalarão o Centrify MobileManager da Apple App Store se estiverem a utilizar o Centrify for Mobile. Utilizam esta aplicação para inscrever os seus dispositivos no cloud service. O MobileManager instalará os perfis de política de grupo imediatamente após um dispositivo ter sido inscrito e pedirá ao utilizador que instale as aplicações móveis implementadas através do cloud service. Os proprietários de dispositivos ios instalarão a aplicação Centrify da Apple App Store se estiverem a utilizar o Centrify for SaaS. A aplicação Centrify disponibiliza o início de sessão zero para as aplicações Web implementadas através do cloud service. Os utilizadores do Centrify for Mobile instalam os seguintes componentes nos seus dispositivos móveis: Os proprietários de dispositivos Android instalam a aplicação Centrify a partir do Google Play. Começam por utilizar este programa para inscrever os seus dispositivos no cloud service. Após a inscrição do dispositivo, os utilizadores deverão utilizar esta aplicação para abrir as aplicações móveis que foram implementadas para eles. Quando licenciar o Centrify for SaaS em conjunto com o Centrify for Mobile, a aplicação Centrify também apresentará as aplicações Web implementadas para o utilizador e fornecerá a autenticação de início de sessão único. Guia de Instalação e Configuração do Centrify Cloud Management Suite 12

13 Ferramentas de gestão do administrador do Cloud service No caso dos dispositivos que suportam o contentor Samsung KNOX, os utilizadores também devem instalar a aplicação móvel Centrify no contentor Samsung KNOX. Isto permite-lhes iniciar as aplicações Web implementadas por si a partir do interior do contentor. Os proprietários de dispositivos ios instalam a aplicação MobileManager para inscreverem os seus dispositivos ios no cloud service. Quando licenciar o Centrify for SaaS em conjunto com o Centrify for Mobile, o MobileManager também apresentará as aplicações Web implementadas para o utilizador e fornecerá a autenticação de início de sessão único. Após a inscrição do dispositivo móvel, o Centrify em dispositivos Android e o MobileManager em dispositivos ios instalarão as políticas de grupo ligadas ao dispositivo, manterão uma comunicação constante com o cloud service para atualizar as políticas de grupo quando as mesmas forem alteradas, notificarão o utilizador quando forem implementadas aplicações móveis e fornecerão o estado em tempo real para o Cloud Manager e o portal Web MyCentrify. Nota Os proprietários de computadores Mac não instalam qualquer software Centrify. Em vez disso, utilizam o portal Web de inscrição do cloud service para inscrever o computador e, em seguida, utilizam o portal Web MyCentrify para iniciar as aplicações Web. Após a inscrição do Mac, o cloud service instalará os perfis de política de grupo. Ferramentas de gestão do administrador do Cloud service Após a instalação do cloud proxy server, terá duas ferramentas Centrify para gerir a configuração do cloud service: Aplicação Centrify Cloud Proxy Server Configuration Gestor de Nuvens Além disso, poderá utilizar a ferramenta Utilizadores e Computadores do Active Directory para gerir dispositivos e utilizadores e o Editor de Gestão de Políticas de Grupo para criar objetos de política de grupo para os dispositivos móveis. Descrição geral do programa Cloud Proxy Server Configuration O programa Cloud Proxy Server Configuration é instalado no seu servidor proxy durante a instalação do Cloud Management Suite. Utilize o programa Cloud Proxy Server Configuration para gerir o proxy, nomeadamente para executar as seguintes tarefas: obter informações sobre a sua configuração (por exemplo, o seu ID de cliente) configurar definições operacionais, incluindo intervalos de sincronização da nuvem e do Active Directory iniciar e parar o servidor proxy Capítulo 1 Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e SaaS 13

14 Ferramentas de gestão do administrador do Cloud service adicionar grupos de utilizadores do Active Directory que possam inscrever dispositivos definir um contacto para os alertas de correio eletrónico Inicie a aplicação Cloud Proxy Server Configuration a partir do menu Iniciar do Windows no computador anfitrião do servidor proxy. Consulte "Configurar a autenticação silenciosa" na página 64 para obter uma explicação dos separadores e das propriedades. Descrição geral do Cloud Manager Utilize o portal Web Cloud Manager para realizar tarefas administrativas, incluindo o seguinte: implementar aplicações Web e móveis gerir dispositivos gerir perfis e utilizadores do cloud service monitorizar a atividade do cloud service e gerar relatórios configurar opções e definições do cloud service, incluindo a autenticação multifator e a cor e os ícones das janelas do Cloud Manager e do MyCentrify. A seguinte figura ilustra a página Aplicações do Cloud Manager. Esta página é a página de destino quando abre o portal e apresenta todas as aplicações Web e móveis que implementou. Estará vazia até que adicione aplicações. Clique no separador na parte superior da página para realizar diferentes tarefas administrativas. Guia de Instalação e Configuração do Centrify Cloud Management Suite 14

15 Interfaces de utilizador do Cloud service Abra o Cloud Manager introduzindo o seguinte URL no browser: Inicie sessão no Cloud Manager com o seu nome de utilizador do Active Directory completo (<nome de utilizador >@ <nome de domínio>) e palavra-passe. O funcionamento do Cloud Manager está descrito na ajuda online. Clique no menu pendente do nome de utilizador (veja a imagem) e clique em Ajuda. Interfaces de utilizador do Cloud service O cloud service disponibiliza as seguintes interfaces de utilizador: O portal Web MyCentrify para computadores Windows e Mac A aplicação Centrify para dispositivos Android A aplicação MobileManager para dispositivos ios << Remova a marca de lista seguinte quando for implementada a fusão entre as aplicações MobileManager e Centrify.>> A aplicação Centrify os dispositivos ios O portal Web Centrify Os utilizadores de dispositivos Android, ios e computadores Mac utilizam o portal Web Centrify para iniciar as aplicações Web que lhes foram implementadas a partir dos seus computadores, adicionar aplicações Web, gerir os seus dispositivos e rever as suas atividades. Os utilizadores abrem o portal Web Centrify introduzindo o seguinte URL no browser: A aplicação Centrify irá pedir a introdução do seu nome de utilizador do Active Directory completo (<nome de utilizador>@<nome de domínio>) e palavra-passe. O Web site irá abrir na página Aplicações, que apresentará uma lista de todas as aplicações Web que o administrador de TI implementou no perfil deste utilizador. Capítulo 1 Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e SaaS 15

16 Interfaces de utilizador do Cloud service A imagem seguinte ilustra a home page do portal Web Centrify já preenchida com aplicações Web. Abra a ajuda online do portal Web MyCentrify para obter a descrição de cada página e os procedimentos utilizados para adicionar aplicações e gerir dispositivos. A ajuda do MyCentrify também explica aos utilizadores como instalar as aplicações Centrify e MobileManager no dispositivo e inscrever dispositivos no cloud service. Centrify para dispositivos Android Os seus utilizadores de dispositivos Android instalam a aplicação Centrify a partir do Google Play e podem utilizá-la de imediato para inscrever os dispositivos. Após a inscrição do dispositivo, o Centrify apresentará as aplicações Web e móveis que lhes foram implementadas. Também apresentará as políticas de grupo instaladas pelo cloud service e as definições do cloud service. As instruções de utilização para instalar o Centrify e inscrever os dispositivos encontram-se na ajuda online do portal Web Centrify. << Removeu-se quando a fusão das aplicações MobileManager e Centrify foi implementada.>> Centrify para dispositivos ios Os seus utilizadores de dispositivos ios obtêm a aplicação Centrify a partir da Apple App Store. Após a instalação e inscrição do dispositivo, o Centrify apresentará as aplicações Web implementadas no perfil do utilizador num ecrã e as definições de aplicações noutro. As instruções de utilização para instalar o Centrify encontram-se na ajuda online do portal Web Centrify. MobileManager para dispositivos ios Os seus utilizadores de dispositivos ios obtêm a aplicação MobileManager a partir da Apple App Store. Após a sua instalação e inscrição dos dispositivos, o MobileManager apresentará Guia de Instalação e Configuração do Centrify Cloud Management Suite 16

17 O que fazer a seguir as suas informações de conta num dos ecrãs e as definições de aplicações noutro. Os utilizadores poderão utilizar a página Definições se precisarem de anular a inscrição do dispositivo. Nota As aplicações móveis implementadas nos dispositivos ios serão apresentadas no ecrã principal de cada dispositivo com as outras aplicações e não nas aplicações MobileManager ou Centrify. <<Remover para aqui.>> MobileManager para dispositivos ios Os utilizadores de dispositivos ios instalam a aplicação MobileManager a partir da Apple App Store e podem utilizá-la de imediato para inscrever os dispositivos. Após a inscrição do dispositivo, o MobileManager apresenta uma lista das aplicações Web implementadas para eles e as definições do dispositivo. Nota As aplicações móveis implementadas nos dispositivos ios serão apresentadas no ecrã principal do dispositivo e não no MobileManager. As instruções de utilização para instalar o MobileManager e inscrever os dispositivos encontram-se na ajuda online do portal Web Centrify. O que fazer a seguir A tarefa seguinte para os administradores do Centrify for SaaS e do Centrify for Mobile será instalar e configurar o Cloud Management Suite. O capítulo seguinte fornece as instruções necessárias. Depois disso, os administradores do Centrify for SaaS podem avançar diretamente para o Cloud Manager para configurar as definições, definir os perfis de administrador e de utilizador e implementar aplicações. Após a instalação do Cloud Management Suite, os administradores do Centrify for Mobile devem avançar para "Definir políticas de grupo de segurança" na página 30 para saberem mais sobre as políticas de grupo dos dispositivos móveis do Centrify. Depois de criar os seus objetos de política de grupo de dispositivos móveis e de os atribuir às unidades organizacionais dos dispositivos móveis, deve avançar para o Cloud Manager para configurar as definições, definir os perfis de administrador e de utilizador e implementar aplicações. Consulte a ajuda do Cloud Manager para obter uma descrição das suas opções de definições e das instruções correspondentes. Depois de concluir as outras definições do Cloud Manager e de implementar as aplicações, os utilizadores do Centrify for SaaS poderão iniciar sessão no MyCentrify e começar a utilizar as aplicações implementadas, enquanto os utilizadores do Centrify for Mobile poderão inscrever os seus dispositivos móveis. Consulte os anexos neste livro conforme necessário. Capítulo 1 Uma Descrição Geral dos produtos do Centrify Cloud Management Suite para Mobile e SaaS 17

18 O que fazer a seguir "Configurar o cloud proxy server" na página 54: utilize este anexo se precisar de compreender os separadores ou de modificar as propriedades na aplicação Cloud Proxy Server Configuration. "Instalar servidores proxy adicionais" na página 61: utilize este anexo se necessitar de instalar um cloud proxy server redundante para a ativação pós-falha e a continuidade do serviço. "Desinstalar o Centrify Cloud Management Suite" na página 63: utilize este anexo se necessitar de desinstalar o Cloud Management Suite, por exemplo, se estiver apenas a avaliar o software. "Configurar a autenticação silenciosa" na página 64: utilize este anexo para disponibilizar a autenticação silenciosa para o Centrify e o Cloud Manager. "Reinscrever um dispositivo em domínios com um ID de cliente diferente" na página 71: utilize este anexo quando algum utilizador do Centrify for Mobile estiver a mover um dispositivo de um cloud proxy server para outro. Guia de Instalação e Configuração do Centrify Cloud Management Suite 18

19 Capítulo 2 Instalar e configurar o Centrify Cloud Management Suite O processo de configuração da sua rede interna para trabalhar com o Centrify é simples. Comece por utilizar um instalador para instalar o Centrify Cloud Management Suite num computador anfitrião na sua rede. Depois de instalar o cloud proxy server, defina esse anfitrião para estabelecer ligação aos Centrify cloud services. Requisitos Para instalar e configurar o Centrify, são necessários os seguintes itens: Item Código de ativação do Centrify cloud proxy server Instalador do Centrify Cloud Management Suite computador anfitrião conta de utilizador com acesso administrativo ao seu controlador de domínio do Active Directory Descrição Neste momento, já criou uma conta e efetuou o registo para utilizar o cloud service. A página de registo fornece-lhe o seu ID de cliente e o código de ativação do cloud proxy server. Também recebe uma mensagem de correio eletrónico com o mesmo código. Tenha o código de ativação por perto. Precisará dele quando configurar o cloud proxy server. Se estiver a instalar servidores proxy adicionais, não utilize este código de ativação para os instalar. Em vez disso, receberá um novo código de ativação para cada servidor proxy adicional que utilize o Cloud Manager. Nota: O código de ativação só pode ser utilizado uma vez e expira após 24 horas. Este programa instala os componentes no local na sua rede interna. O ficheiro do instalador está incluído na sua transferência de avaliação. Também utiliza este programa para instalar os servidores proxy adicionais e, se licenciar o Gestão do Contentor Móvel baseada no Samsung KNOX Active Directory, para instalar apenas as extensões de consola ADUC e da política de grupo nos computadores dos administradores do cloud service. Instale o Centrify Cloud Management Suite neste computador para poder ligar o seu serviço do Active Directory ao Centrify cloud service. Este computador da sua rede interna deve cumprir ou exceder os seguintes requisitos: Windows Server 2008 R2 (64 bits) ou Windows 7 (32 bits ou 64 bits) <<e o Windows Server 2012? não está indicado na matriz de teste>> Estar associado ao domínio no qual pretende conceder acesso às aplicações Web por parte dos utilizadores Ter acesso à Internet Ser um computador servidor sempre acessível e em execução Possuir a versão 4.0 ou superior do Microsoft.NET; se o Microsoft.NET ainda não estiver instalado, o instalador do Centrify instala-o por si. A conta de utilizador que instala o Centrify Cloud Management Suite deve ter capacidade para "Modificar Permissões". O Centrify adiciona automaticamente este utilizador ao perfil sysadmin no Cloud Manager. 19

20 Requisitos Item Vários domínios e florestas Servidor Proxy Web (opcional) Dispositivos móveis e computadores a inscrever Conta Apple Conta da Apple App Store (para dispositivos ios) Conta Google (apenas para dispositivos Android) Aplicação Touchdown (apenas para dispositivos Android) Descrição Instala o cloud proxy server num único domínio. No entanto, é possível utilizar o mesmo ID de cliente e servidor proxy para utilizadores do Centrify for Mobile e SaaS noutros domínios na mesma árvore que o domínio do servidor proxy e em domínios noutras florestas. Para incluir utilizadores em vários domínios e florestas, tem de configurar a fidedignidade bidirecional entre o controlador de domínio do servidor proxy e os domínios na mesma árvore e entre florestas. Um servidor proxy Web na sua rede interna. Se a sua rede estiver configurada com um servidor proxy Web que pretende utilizar para estabelecer ligação ao Centrify cloud service, pode especificar este servidor durante o processo de instalação. É necessário saber o URL e o número de porta a utilizar. O ambiente também deve manter abertas as portas TCP de saída 9350 a 9355, ou a porta TCP de saída 443, ou a porta TCP de saída 80, se utilizar um proxy (é necessário um proxy 1.1 compatível com HTTP). O cloud service suporta a inscrição dos seguintes dispositivos e computadores no cloud service: Um dispositivo Android com o Android 2.3 ou superior. Um dispositivo ios (por exemplo, um iphone, ipad ou ipod Touch) com o ios 5.1 ou superior. Um computador da Apple com o OS X 10.8 ou superior. Pode consultar a lista mais atualizada dos dispositivos testados e certificados no Web site do Centrify, em **Temos uma lista? No Web site, existe apenas a indicação 2.2+ para android e 4.x e 5.x para ios**. Se pretender inscrever dispositivos ios, será necessário utilizar uma conta Apple separada para criar e atualizar um certificado Apple Push Notification Service (APNS) da Apple. Necessita de utilizar esta mesma conta anualmente para renovar o seu certificado APNS. Por exemplo, poderá ser mais simples criar um Apple ID geral para utilizar apenas na criação de um certificado APNS. Uma conta da Apple App Store para transferir a aplicação MyCentrify num dispositivo móvel. Uma conta Google para o dispositivo (normalmente, uma conta do Gmail), para que este possa receber notificações do Centrify cloud service. A conta estará indicada na aplicação Definições em Pessoal > Contas e Sincronização. Também utiliza esta conta para transferir a aplicação Centrify Mobile a partir do Google Play. Se pretender sincronizar correio no seu dispositivo Android, será necessário instalar a aplicação Touchdown, versão ou posterior. Existe uma versão de avaliação da aplicação Touchdown no Google Play. NOTA: Isto não se aplica a dispositivos Android com Samsung SAFE. Estes dispositivos podem utilizar a aplicação de correio eletrónico nativa. Sugestão Para obter informações sobre a configuração das definições da autenticação silenciosa no computador anfitrião ou nos seus browsers, consulte "Configurar a autenticação silenciosa" na página 64.<<ocultar este xref porque este ficheiro é utilizado em vários livros; no GI, consultar o anexo; nos guias de avaliação, consultar o GI>> Guia de Instalação e Configuração do Centrify Cloud Management Suite 20

21 Requisitos <<suportamos fidedignidades, em que os dispositivos pertencem a um domínio e os utilizadores que possuem esses dispositivos pertencem a um domínio diferente? agora não; partimos do princípio de que está tudo na mesma floresta>> Browsers suportados Esta versão do Centrify for Saas/Centrify for Mobile foi testada com os seguintes browsers: Internet Explorer: versão 8 no Windows XP apenas para o portal de utilizador MyCentrify versão 9 e 10 no Windows 7 e no Windows Server 2008 R2 versão 10 no Windows Server 2012 e Windows 8 Mozilla Firefox: versão 23 e posterior Google Chrome: versão 28 e posterior Apple Safari: versão 6 Para que a autenticação silenciosa funcione corretamente, alguns browsers necessitam de uma configuração adicional. Consulte "Configurar a autenticação silenciosa" na página 64 para obter uma explicação. Permissões do Active Directory necessárias Para instalar e administrar o Centrify Cloud proxy server, a conta de utilizador que utiliza para instalar o Centrify Cloud Management Suite tem de estar autorizada a modificar permissões. Esta função é ativada nas Funcionalidades Avançadas de Utilizadores e Computadores do Active Directory. <<o erro refere a capacidade de instalação como administrador local, mas a informação é confusa e pouco clara; pedir esclarecimentos a Johnson>> Para adicionar as permissões necessárias a um utilizador ou grupo do Active Directory: 1 Em Utilizadores e Computadores do Active Directory, certifique-se de que ativou as Funcionalidades Avançadas (Consulte > Funcionalidades Avançadas). 2 Abra as propriedades para o utilizador ou grupo desejado e clique no separador Segurança. 3 No separador Segurança, clique em Avançadas. 4 Na caixa de diálogo Definições de Segurança Avançadas, clique em Adicionar. 5 Introduza o nome da conta de serviço ou utilizador que irá utilizar para executar o Cloud Proxy server e clique em OK. 6 Na caixa de diálogo Introdução de permissão, clique em Permitir em "Modificar Permissões" e clique em OK. Capítulo 2 Instalar e configurar o Centrify Cloud Management Suite 21

22 Instalar o Centrify Cloud Management Suite na sua rede O separador Permissões da caixa de diálogo Definições de Segurança Avançadas apresentará uma lista com o utilizador especificado e a capacidade de Modificar Permissões. 7 Na caixa de diálogo Definições de Segurança Avançadas, clique em OK. 8 Na caixa de diálogo Propriedades, clique em OK. Requisitos do servidor do Exchange O bloqueio está disponível para os servidores do Exchange 2010 e do Office 365. Não está disponível para os servidores do Exchange O SP1 tem de estar instalado nos servidores do Exchange Tem de ativar o PowerShell Remoto no servidor do Exchange ou do Office 365. Depois de ativar o PowerShell Remoto, o servidor do Exchange cria uma aplicação de Serviços de Informação Internet (IIS) denominada PowerShell. É necessário ativar um método de autenticação para esta aplicação. (Por predefinição, não está selecionado nenhum método de autenticação.) Siga este procedimento para ativar um método de autenticação para a aplicação PowerShell. Nota O procedimento seguinte é necessário apenas para Servidores do Exchange. Se estiver a utilizar um servidor do Office 365, ignore este procedimento. Para ativar o método de autenticação para a aplicação PowerShell: 1 Inicie o Gestor de IIS. 2 No painel esquerdo, selecione Site > Web Site Predefinido > PowerShell. 3 No painel direito, selecione IIS > Autenticação, clique com o botão direito do rato, clique e selecione Abrir Funcionalidade. 4 Selecione Autenticação do Windows ou Autenticação Básica, clique com o botão direito do rato e selecione Ativar. Nota Se selecionar a Autenticação Básica, certifique-se de que seleciona a caixa de verificação quando ativar o servidor do Exchange nas definições do Cloud Manager. 5 Faça uma cópia de segurança das suas definições originais. Neste caso, utilizaria um script do PowerShell para extrair as definições originais. Instalar o Centrify Cloud Management Suite na sua rede O instalador do Centrify Cloud Management Suite instala o cloud proxy server e, opcionalmente, as ferramentas de Gestão do Contentor Móvel baseada no Samsung KNOX Active Directory num computador Windows na sua rede interna. Após a conclusão da instalação, o instalador inicia o Assistente do Cloud Proxy Server Configuration para o ajudar a configurar o cloud proxy server instalado. Guia de Instalação e Configuração do Centrify Cloud Management Suite 22

23 Instalar o Centrify Cloud Management Suite na sua rede Para executar o instalador: 1 No computador anfitrião, execute o instalador do Centrify Cloud Management Suite adequado ao seu sistema: Cloud-Mgmt-Suite-<version>-win32.exe para Windows de 32 bits ou Cloud-Mgmt-Suite-<version>-win64.exe para Windows de 64 bits. Se a versão 4.0 ou superior do Microsoft.NET ainda não estiver instalada no seu computador, o instalador instala-a por si. Após a instalação do.net, reinicie o computador e poderá continuar a instalação do Cloud Management Suite. <<é necessário reiniciar?>> 2 No instalador do Centrify Cloud Management Suite, clique no ecrã de boas-vindas (Seguinte) e no contrato de licença de utilizador final (caixa de verificação e Seguinte). 3 Na caixa de diálogo Configuração Personalizada, selecione os itens a instalar. Se estiver a instalar o cloud proxy server, instale todos os componentes (a predefinição). Se não estiver a instalar os componentes do administrador de dispositivos móveis ou de políticas de grupo, desmarque a opção Centrify for Mobile. Se estiver a instalar os componentes para os computadores dos administradores de dispositivos móveis ou de políticas de grupo ou um servidor proxy de ativação pós-falha (consulte "Instalar servidores proxy adicionais" na página 61 para saber mais sobre servidores de ativação pós-falha), não instale todos os componentes. Em vez disso, instale os componentes conforme as indicações abaixo: Para uma consola de administrador de dispositivos móveis: Selecione apenas a Extensão de Consola de Utilizadores e Computadores do AD. Uma consola de administrador de dispositivos móveis é um computador Windows associado ao controlador de domínio utilizado por um administrador para gerir dispositivos móveis através da utilização da funcionalidade Utilizadores e Computadores do Active Directory e/ou do Centrify Cloud Manager. Para uma consola de administrador de políticas de grupo de dispositivos móveis: Selecione apenas a Extensão de Consola de Políticas de Grupo. Capítulo 2 Instalar e configurar o Centrify Cloud Management Suite 23

24 Instalar o Centrify Cloud Management Suite na sua rede Uma consola de administrador de políticas de grupo de dispositivos móveis é um computador Windows associado ao controlador de domínio utilizado por um administrador para criar objetos de política de grupo para os dispositivos móveis com o Editor de Gestão de Políticas de Grupo. Para um cloud proxy server de ativação pós-falha: Selecione apenas o Cloud Proxy Server. As ferramentas do Centrify for Mobile são opcionais.<<kh: não alterei este CfM pois está na IU>> 4 Pode clicar em Procurar para especificar uma localização de instalação diferente. Clique em Seguinte. 5 Na página Pronto para Instalar o Cloud Management Suite, clique em Instalar para efetuar a instalação. Nota Se estiver a atualizar o servidor proxy, o instalador pede-lhe, neste momento, que feche as aplicações que estão a utilizar ficheiros que precisam de ser atualizados. Selecione a opção para fechar as aplicações e clique em OK. 6 Quando a instalação estiver concluída, mantenha Executar Teste de Ligação selecionado e clique em Concluir. É executado um teste de ligação para verificar se o servidor está ligado de forma correta para que o servidor proxy seja executado. Se forem devolvidos erros, terá de os corrigir antes de continuar. 7 Clique em Fechar para fechar a caixa de diálogo Teste de Ligação e, em seguida, é iniciado o Assistente do Cloud Proxy Server Configuration. Esta ação conclui a instalação do cloud proxy server e das extensões de consola. Se instalou apenas as extensões de consola de Utilizadores e Computadores do AD ou de políticas de grupo, já concluiu o processo. Se instalou o cloud proxy server, é necessário configurá-lo. Instalar o cloud proxy server Utilize este procedimento apenas se estiver a instalar o cloud proxy server. O Assistente do Cloud Proxy Server Configuration abre automaticamente. Para executar novamente este assistente, clique em Voltar a Registar no separador Servidor Proxy da aplicação Cloud Proxy Configuration. Esta ação volta a registar o seu servidor proxy no Centrify cloud. <<o que queremos dizer sobre voltar a registar com um ID de cliente diferente?>> Para instalar o cloud proxy server utilizando o assistente de configuração: 1 Na página de Boas-vindas do Assistente do Cloud Proxy Server Configuration, clique em Seguinte. Guia de Instalação e Configuração do Centrify Cloud Management Suite 24

25 Instalar o Centrify Cloud Management Suite na sua rede 2 Na página Configuração do Proxy, introduza o seu código de ativação monouso no campo Código de Registo e clique em Seguinte. Nota Um único cloud proxy server é executado numa floresta em qualquer altura para comunicar entre o Active Directory e o cloud service. No entanto, recomenda-se a configuração de um ou vários servidores adicionais num ambiente de produção para proporcionar uma ativação pós-falha caso o servidor em execução fique offline. 3 << PSB: Isto é mesmo necessário? Porquê? kh: adicionámos durante a versão beta porque foi necessário alterar o endereço para nuvens beta; já não fazemos versões beta, mas saber para que é utilizado o botão deve ser útil para eles, embora não me consiga lembrar de um caso de utilização para o alterarem>>na caixa de diálogo Definições Avançadas, verifique se cloud.centrify.com está definido como o endereço do cloud service e clique em OK. 4 Clique em Seguinte. 5 Na página Configuração do Proxy Web, se a sua rede tiver um servidor proxy Web que pretende utilizar para a ligação ao Centrify cloud service, selecione a opção Utilizar um servidor proxy Web... Se não tiver um servidor proxy Web, clique em Seguinte sem selecionar a opção; o cloud proxy server não estabelecerá ligação através do servidor proxy Web. Se selecionou a opção do proxy Web, introduza as seguintes informações: Endereço O URL do servidor proxy Web. Porta O número de porta a utilizar para estabelecer ligação ao servidor proxy Web. 6 Clique em Seguinte para continuar. <<o que acontece aqui? o que determina o que aparece aqui ou não?>> Aparecerá o ecrã Configurar a Utilização Móvel. 7 Se for um utilizador do Centrify for Mobile, mantenha a opção selecionada para Configurar o Centrify for Mobile e avance para "Configurar o Centrify for Mobile" Capítulo 2 Instalar e configurar o Centrify Cloud Management Suite 25

26 Instalar o Centrify Cloud Management Suite na sua rede na página 26. Caso contrário, desmarque a opção e avance para "Concluir o Assistente do Cloud Proxy Server Configuration" na página 28.<<isto é apresentado no guia de Avaliação do Mobile e no guia de Instalação>> 8 Se for um utilizador do Centrify for Mobile, mantenha a opção selecionada para Configurar o Centrify for Mobile. Caso contrário, desmarque a opção e avance para "Concluir o Assistente do Cloud Proxy Server Configuration" na página 28.<<isto é apresentado apenas no guia de Avaliação do SaaS>> Configurar o Centrify for Mobile Se selecionou a opção para Configurar o Centrify for Mobile, aparecerá a caixa de diálogo Configurar a Utilização Móvel seguinte. Pode utilizar esta caixa de diálogo para indicar ao cloud service que grupos de utilizadores do Active Directory podem inscrever dispositivos e em que unidade organizacional devem ser armazenados os objetos de dispositivo desse grupo. O grupo de utilizadores e a unidade organizacional são sempre especificados como um par. Por predefinição, o grupo de utilizadores é "Utilizadores do Domínio" e a unidade organizacional é "Computadores". Isto significa que todos os utilizadores do Active Directory podem inscrever dispositivos móveis e os objetos de dispositivo móvel são armazenados na mesma unidade organizacional que os computadores do domínio. Pode alterar o par predefinido e criar pares adicionais. Por exemplo, se pretender que apenas um subconjunto dos utilizadores do seu domínio inscreva dispositivos e pretender armazenar os objetos de dispositivo móvel numa unidade organizacional separada, poderá criar um grupo e um contentor, como UtilizadoresMóveis e DispositivosMóveis, e editar a predefinição. Se considerar que a criação de grupos mais pequenos de utilizadores facilitaria a gestão de utilizadores e dispositivos, poderá adicionar mais grupos com o mesmo contentor ou um contentor diferente para os objetos de dispositivo móvel. A ativação de diferentes objetos de política de grupo para diferentes conjuntos de dispositivos é outro dos motivos para criar grupos e contentores adicionais. Consulte "Definir políticas de grupo de segurança" na página 30para saber mais sobre as políticas de Guia de Instalação e Configuração do Centrify Cloud Management Suite 26

27 Instalar o Centrify Cloud Management Suite na sua rede grupo dos dispositivos móveis do Centrify. Para atribuir diferentes objetos de política de grupo, terá de utilizar unidades organizacionais para os contentores do dispositivo. Sugestão Crie uma unidade organizacional denominada "Dispositivos Móveis" e modifique o par grupo-para-contentor predefinido para armazenar todos os objetos de dispositivo móvel separadamente dos computadores do domínio. Assim, será mais fácil definir uma política de grupo apenas para os seus dispositivos móveis. Não é necessário definir todos os grupos e unidades organizacionais neste momento. Pode utilizar o programa Centrify Cloud Proxy Server no seu servidor proxy para adicionar e eliminar grupos de utilizadores de dispositivos móveis e os respetivos contentores. Consulte "Configurar o cloud proxy server" na página 54 para obter a descrição deste programa. Utilize o separador Definições Móveis para modificar os pares grupo-para-contentor. Para modificar o par grupo e unidade organizacional predefinido: 1 Se o grupo e a unidade organizacional ainda não existirem, abra a funcionalidade Utilizadores e Computadores do Active Directory e crie o grupo e a unidade organizacional. 2 Adicione os utilizadores do dispositivo móvel ao grupo criado. 3 No ecrã Configurar a Utilização Móvel do Assistente do Cloud Proxy Service Configuration, selecione o grupo predefinido e clique no botão Editar. 4 Na caixa de diálogo Modificar Grupo de Inscrição, clique em Procurar para selecionar o grupo que criou. 5 Em seguida, clique em Procurar para selecionar o contentor. 6 Clique em OK. 7 Clique em Aplicar. Quando os membros do grupo selecionado inscreverem os seus dispositivos, os objetos de dispositivo serão armazenados no contentor selecionado. 8 Quando concluir o processo, clique em Fechar. Para adicionar mais pares grupo-para-unidade organizacional: 1 Em Utilizadores e Computadores do Active Directory, crie a nova ou as novas unidades organizacionais para os dispositivos móveis. 2 No ecrã Configurar a Utilização Móvel do Assistente do Cloud Proxy Service Configuration, clique no botão Adicionar. 3 Para Grupo, selecione o botão Criar e selecione o contentor, introduza o nome do grupo, selecione o âmbito (domínio local, global ou universal) e clique em OK. 4 Para Contentor, clique em Procurar e selecione o contentor criado para este grupo. Capítulo 2 Instalar e configurar o Centrify Cloud Management Suite 27

28 Instalar o Centrify Cloud Management Suite na sua rede Nota É possível emparelhar vários grupos com o mesmo contentor. No entanto, um grupo pode ter apenas um contentor associado. 5 Clique em OK. 6 Quando concluir o processo de definição de pares, clique em Aplicar. 7 Clique em Fechar. 8 Adicione os utilizadores ao grupo criado. Concluir o Assistente do Cloud Proxy Server Configuration A caixa de diálogo A Iniciar o Cloud Proxy Server aparecerá enquanto o assistente regista o proxy junto do Centrify cloud service e inicia o proxy. Quando a configuração e o arranque estiverem concluídos, aparecerá a caixa de diálogo Configuração Concluída. Clique em Concluir para sair do assistente. Agora, o cloud proxy server está instalado e em execução. A aplicação Centrify cloud proxy server configuration é iniciada automaticamente. No entanto, não é necessário efetuar qualquer outra configuração. Se pretender instalar servidores proxy adicionais em diferentes computadores anfitriões, por exemplo, para proporcionar uma ativação pós-falha automática em caso de falha de um servidor proxy, consulte Anexo B, Instalar servidores proxy adicionais. << PSB: Penso que o resto deste capítulo e o capítulo seguinte, Configurar o cloud proxy server, deveriam ser fundidos num anexo. Este é um material de referência fundamental.>> Atualizar automaticamente o servidor proxy Pode atualizar automaticamente o seu servidor proxy sem ser necessário executar um novo instalador. O servidor proxy verifica regularmente a existência de atualizações e pode executá-las automaticamente. No entanto, se a aplicação Centrify Cloud Proxy Server Configuration estiver aberta, o servidor proxy não poderá atualizar-se automaticamente. Neste caso, execute a atualização manualmente. Para atualizar o Cloud Proxy Server: 1 Abra a aplicação Centrify Cloud Proxy Configuration. Guia de Instalação e Configuração do Centrify Cloud Management Suite 28

29 Instalar o Centrify Cloud Management Suite na sua rede 2 Na parte inferior esquerda do painel Estado, clique com o botão direito do rato no ícone de atualização e selecione Atualizar. Clique com o botão direito do rato no ícone de atualização e selecione Atualizar para atualizar manualmente o Cloud Proxy Server. O Cloud Proxy Server efetua a atualização e, em seguida, apresenta uma mensagem com a indicação de que o software está atualizado. <<sugerir a reformulação de atualizado, mas posteriormente>> Capítulo 2 Instalar e configurar o Centrify Cloud Management Suite 29

30 Capítulo 3 Definir políticas de grupo de segurança Este capítulo apresenta as políticas de grupo do Centrify específicas para dispositivos móveis e explica como defini-las num objeto de política de grupo. As políticas de grupo são utilizadas para permitir aos utilizadores criar um contentor Samsung KNOX nos respetivos dispositivos e a lista de permissões que autoriza as aplicações móveis, incluindo o Centrify, a utilizar a funcionalidade de início de sessão único do contentor. Certifique-se de que executa os procedimentos referidos no fim do presente capítulo para ativar os contentores Samsung KNOX e criar listas de permissões. O Cloud Management Suite inclui uma extensão de consola de políticas de grupo que adiciona uma ampla variedade de políticas que pode utilizar na gestão dos dispositivos móveis. A extensão de consola é instalada aquando da instalação do cloud proxy server. Consulte a ajuda do Cloud Manager para obter uma tabela das políticas de grupo de dispositivos móveis do Centrify com uma breve descrição. Para utilizar estas políticas, abra o Editor de Gestão de Políticas de Grupo da Microsoft para criar um objeto de política de grupo para os dispositivos móveis e ative as políticas necessárias. Em seguida, deve ligar o objeto de política de grupo à unidade organizacional do Active Directory que contém os dispositivos móveis. Nota É possível ativar políticas de grupo para diferentes tipos de dispositivos, por exemplo, Android, ios e Samsung SAFE, no mesmo objeto de política de grupo. Os perfis de política de grupo encontram-se listados, em dispositivos Android, no ecrã Configuração da aplicação móvel do Centrify e, em dispositivos ios e OS-X, no ecrã Geral/Perfis da aplicação Definições. Descrição geral das políticas de grupo de dispositivos móveis <<introduza o GroupPolicy-overview-shared.fm a partir da pasta DocsPartilhados>> As políticas de grupo do Centrify cloud service são apresentadas com as políticas de grupo da Configuração do Computador Windows ao abrir um objeto de política de grupo para edição. A seguinte figura ilustra a lista das políticas de grupo dos dispositivos móveis do Centrify apresentadas no Editor de Gestão de Políticas de Grupo. 30

31 Descrição geral das políticas de grupo de dispositivos móveis Nota Se as Definições do Centrify Cloud Management não forem apresentadas ao abrir o Editor de Gestão de Políticas de Grupo, necessita de instalar a Extensão Consola de Políticas de Grupo no seu computador. Consulte as instruções de instalação do Cloud Management Suite para instalar a extensão de consola GPME. O Centrify cloud proxy server cria um conjunto de políticas para dispositivos Android e perfis para dispositivos ios e computadores OS X e instala-os quando o utilizador inscreve o dispositivo. Os perfis são atualizados automaticamente de forma periódica. Este intervalo de consulta é definido no programa Cloud Proxy Server Configuration, no separador Definições dos Dispositivos Móveis. Se efetuar muitas alterações (por exemplo, mais de 20), o servidor proxy poderá emitir as atualizações para os dispositivos em vários lotes, em vez de o fazer de uma só vez. Também é possível emitir uma atualização imediata utilizando os comandos da ferramenta Utilizadores e Computadores do Active Directory e do Cloud Manager (consulte a ajuda do Cloud Manager). Descrições da secção da política de grupo do Cloud Management Suite As políticas do dispositivo móvel estão organizadas nos seguintes nós na secção Definições do Centrify Cloud Management: Definições dos Dispositivos Móveis Comuns: Políticas de grupo para dispositivos ios ou Android. Capítulo 3 Definir políticas de grupo de segurança 31

32 Utilizar as Definições dos Dispositivos Móveis Comuns Definições do ios: Políticas de grupo que apenas se aplicam aos dispositivos ios. Definições do OS X: Políticas de grupo apenas para computadores Macintosh. Definições do Samsung KNOX: Políticas de grupo que se aplicam a aplicações e serviços executados no contentor Samsung KNOX. Definições do Samsung SAFE: Políticas de grupo para gerir um dispositivo Samsung SAFE. Definições do Touchdown: Uma política de grupo que utiliza para configurar as comunicações do Exchange ActiveSync nos dispositivos Android que utilizam a aplicação de correio eletrónico Touchdown. Nota As políticas de grupo do Samsung SAFE e KNOX requerem uma licença válida. Não é possível ativar estas políticas a menos que tenha adquirido uma licença. Se a licença expirar, as políticas de grupo permanecem ativadas. Contudo, depois de a licença expirar, não é possível ativar políticas do Samsung SAFE ou KNOX adicionais nem pode alterar as definições para quaisquer políticas que tenha ativado. A única alteração da política de grupo do Samsung SAFE ou KNOX que poderá efetuar após a licença expirar é definir uma política ativada para Não Configurada. Consulte "Apresentar o estado das suas licenças de subscrição" na página 64 para determinar o estado da sua licença. A parte restante deste capítulo apresenta as políticas do Samsung KNOX e informa-o sobre como ativar as políticas da lista de permissões da aplicação e contentor. Para uma introdução às restantes políticas, consulte a ajuda do Cloud Manager. Utilizar as Definições dos Dispositivos Móveis Comuns As tabelas seguintes resumem as políticas e os nós de políticas nas Definições dos Dispositivos Móveis Comuns. Consulte o separador Explicar para obter as instruções de configuração de cada política. Políticas de grupo Encriptar/não encriptar o armazenamento do dispositivo Para fazê-lo Encripte automaticamente a área de armazenamento nos dispositivos Android não SAFE. Definições do Exchange ActiveSync Configure os perfis do Exchange ActiveSync relativamente às comunicações de servidor e à sincronização de contas para dispositivos ios. Nota: Se tiver um servidor POP ou IMAP, utilize a política de grupo Definições do ios > Definições do correio em vez desta. Definições de VPN Definições de Wi-Fi Configure os perfis da VPN para dispositivos ios. Configure os perfis de Wi-Fi para outros dispositivos ios e Android que não os dispositivos Samsung SAFE e Samsung KNOX. Guia de Instalação e Configuração do Centrify Cloud Management Suite 32

33 Utilizar as definições do ios Secções de políticas de grupo Definições do Código de Acesso Para fazê-lo Defina as regras que regem a utilização do código de acesso por exemplo, o limite máximo de tentativas falhadas, o comprimento mínimo do código de acesso e a longevidade máxima do código de acesso. Na maioria dos casos, estas políticas aplicam-se a dispositivos ios e Android, exceto para as políticas com o prefixo do ios. Definições de Restrições Defina as regras que regem a utilização das funcionalidades do dispositivo por exemplo, permitir ou proibir a utilização da câmara e revelar ou não revelar a localização do dispositivo. Utilizar as definições do ios As tabelas seguintes resumem as políticas e os nós de políticas nas Definições do ios. Consulte o separador Explicar para obter as instruções de configuração de cada política. Políticas de grupo Definições do calendário Definições dos contactos Definições LDAP Definições de correio Para fazê-lo Sincronize os dados do calendário com os dispositivos ipad, iphone e ipod touch. Sincronize os dados de contacto com os dispositivos ipad, iphone e ipod touch. Configure os perfis das informações dos contactos para as comunicações de servidor LDAP para dispositivos ios. Configure perfis de conta para servidores de correio IMAP e POP para dispositivos ios e OS X. Secções de políticas de grupo Para fazê-lo Definições de Restrições Defina as regras que regem a utilização das funcionalidades do dispositivo por exemplo, permitir ou proibir a utilização do Safari, do YouTube e do Photos Stream e definir requisitos para cópias de segurança encriptadas e a palavra-passe da itunes Store. Capítulo 3 Definir políticas de grupo de segurança 33

34 Utilizar as Definições do OS X Utilizar as Definições do OS X As definições do OS X apenas se aplicam aos computadores Mac inscritos. A seguinte tabela resume as políticas nas secções das Definições do OS X. Consulte o separador Explicar para obter as instruções de configuração de cada política. Definições de Restrições Aplicações Multimédia Preferências Para fazê-lo Defina as pastas a partir das quais os utilizadores podem ou não podem iniciar aplicações. Nota: Tem de ativar a política Restringir aplicações para definir as pastas Ative ou desative o acesso do utilizador aos suportes de multimédia do dispositivo por exemplo, DVDs, discos externos e discos graváveis. Restrinja as preferências do sistema disponíveis para o utilizador. Nota Se tiver um dispositivo OS X inscrito no Centrify cloud service e adicionado ao seu controlador de domínio utilizando o Centrify for Servers, pode ter perfis de segurança com diferentes definições para a mesma política. (O Centrify for Servers é um SSO, um controlo de acesso, uma solução de auditoria e uma autenticação no local para redes empresariais Windows, Mac, UNIX e Linux mistas.) Por exemplo, a política para a utilização no local poderia permitir o acesso ao DVD, enquanto a definição da política fora do local proibiria o acesso ao DVD. Quando o dispositivo foi adicionado e inscrito, a definição da política para a utilização no local sobrepõe-se à definição da política nas Definições do Centrify Cloud Management quando o dispositivo está no local e fora do local. Utilizar as Definições do Samsung KNOX As políticas de grupo Definições do Samsung KNOX permitem que o utilizador crie uma utilização do contentor Samsung KNOX e permitem a gestão das definições das aplicações que apenas se aplicam quando o utilizador alternar para o contentor. Por exemplo, pode configurar definições de restrições para o Exchange ActiveSync, VPN, correio IMAP/POP, firewall e dispositivo separadas para o contentor Samsung KNOX. As tabelas seguintes resumem as políticas e as secções das políticas nas Definições do Samsung KNOX. Consulte o separador Explicar para obter as instruções de configuração de cada política. Guia de Instalação e Configuração do Centrify Cloud Management Suite 34

35 Utilizar as Definições do Samsung KNOX Depois da tabela, são fornecidos vários procedimentos que mostram como permitir que os utilizadores criem um contentor Samsung KNOX e adicionem uma aplicação móvel a uma lista de permissões. Políticas de grupo Criar/Não criar contentor na inscrição Eliminar/Não eliminar o contentor ao anular a inscrição Ativar/Não ativar o início automático da VPN para pacotes Para fazê-lo Permita que o utilizador crie um contentor Samsung KNOX depois de o utilizador inscrever o dispositivo. Utilize o procedimento que se segue a esta tabela para ativar esta política. Esta política não cria o contentor Samsung KNOX. Depois de a ativar e de a definir para verdadeira, o dispositivo apresentará um ícone na barra de estado depois de o utilizador inscrever o dispositivo. Se a definir para falsa, o ícone não será apresentado depois da inscrição por parte do utilizador. Em alternativa, pode permitir que o utilizador crie um contentor Samsung KNOX utilizando os comandos das funcionalidades Utilizadores e Computadores do Active Directory e Criar Contentor do Cloud Manager. Além disso, os utilizadores podem, eles próprios, ativá-lo utilizando o comando Criar Contentor do portal de utilizador Centrify. << Esta não aparece no Comboio 6. Talvez tenha sido removida.>> Elimine o contentor Samsung KNOX quando o utilizador ou o administrador da nuvem anular a inscrição do dispositivo. Todas as aplicações instaladas no contentor Samsung KNOX serão desinstaladas e todos os ficheiros de dados serão perdidos quando o contentor for eliminado. Inicie uma VPN automaticamente quando uma aplicação for iniciada. Pode especificar várias VPN e pares de aplicações. Pode configurar cada VPN na política Definições de VPN. Definições do Exchange ActiveSync Configure os perfis do Exchange ActiveSync para as comunicações de servidor e a sincronização de contas para a aplicação de correio eletrónico executada no contentor Samsung KNOX. Definições de IMAP/POP Definições de VPN Configure perfis de conta para servidores de correio IMAP e POP. Estas definições apenas se aplicam à aplicação de correio executada no contentor Samsung KNOX. Configure os perfis da VPN. Esta definição apenas se aplica às ligações VPN Capítulo 3 Definir políticas de grupo de segurança 35

36 Utilizar as Definições do Samsung KNOX Secções de políticas de grupo Gestão de aplicações Definições do Browser Definições de Correio Eletrónico Definições de Firewall Definições do Código de Acesso Definições de Restrições Para fazê-lo Defina que aplicações podem utilizar o início de sessão único (SSO) e que aplicações estão desativadas (proibidas). Os dispositivos com Samsung KNOX incluem uma extensão SSO no sistema operativo que fornece uma autenticação silenciosa para aplicações móveis instaladas no contentor Samsung KNOX. Se tiver aplicações móveis que utilizem a extensão SSO, tem de as adicionar a uma lista de permissões. Nota: Caso pretenda que os seus utilizadores de dispositivos móveis instalem a aplicação móvel Centrify no contentor KNOX, tem de ativar a política Lista de permissões de aplicações e adicionar Centrify à lista. (A aplicação móvel Centrify instalada no contentor KNOX permite que os utilizadores iniciem as aplicações Web que implementa dentro do contentor KNOX.) Controle o comportamento do browser por exemplo, ative ou desative as janelas de pop-up, os cookies e o JavaScript Controle o comportamento da aplicação do correio eletrónico por exemplo, proíba a adição de novas contas e o reencaminhamento de correio eletrónico através de uma conta pessoal. Configure as regras de permissão e de negação da iptable e a filtragem de URLs. Configure as regras que regem as propriedades dos códigos de acesso (por exemplo, comprimento mínimo, ocorrência de caracteres e comprimento da sequência) e a utilização (por exemplo, número de tentativas falhadas, visibilidade e histórico) Permita ou proíba a utilização das funcionalidades do dispositivo, tais como a câmara, a captura de ecrã e a "partilha em lista". Ativar as políticas para criar o contentor Samsung KNOX e a lista de permissões de SSO para Centrifyaplicações móveis Caso pretenda utilizar o contentor KNOX e aplicações móveis que utilizem a extensão SSO do Samsung KNOX, deve ativar as seguintes políticas de Definições do Samsung KNOX: Criar/Não criar contentor na inscrição: Defina esta política para iniciar automaticamente o produto de criação do contentor KNOX assim que o utilizador inscrever o dispositivo. Gestão de aplicações > Lista de permissões de aplicações: Depois de ativar esta política, adicione todas as aplicações móveis que utilizam a extensão SSO e que os seus utilizadores instalarão no contentor KNOX. Não é necessário adicionar as aplicações móveis que não utilizam a extensão SSO à lista de permissões. Guia de Instalação e Configuração do Centrify Cloud Management Suite 36

37 Utilizar as Definições do Samsung KNOX Além disso, caso pretenda implementar aplicações Web para utilizadores e pretenda que estes as possam iniciar a partir do interior do contentor KNOX, será necessário adicionar a aplicação móvel Centrify à Lista de permissões de aplicações. Para permitir que um utilizador crie um contentor Samsung KNOX: Ative a política "Criar/Não criar contentor na inscrição" para pedir ao utilizador que crie um contentor Samsung KNOX imediatamente depois de inscrever o dispositivo. Se não utilizar esta política, poderá enviar um comando para o dispositivo no Cloud Manager para iniciar o processo consulte a ajuda do Cloud Manager para obter a descrição do comando. Em alternativa, o utilizador também pode enviar um comando para o dispositivo (consulte a ajuda do MyCentrify). 1 Abra o Editor de Gestão de Políticas de Grupo e selecione o objeto de política de grupo que associou à unidade organizacional com os dispositivos Samsung KNOX. 2 Expanda a secção Definições do Centrify Cloud Management e selecione Definições do Samsung KNOX. 3 Faça duplo clique em Criar/Não criar contentor na inscrição. 4 Selecione Ativada e Criar contentor na inscrição e clique em OK. Para adicionar uma aplicação móvel à lista de permissões: As aplicações móveis que instalar no contentor Samsung KNOX e que utilizarem a extensão SSO do Samsung KNOX têm de estar na lista de permissões de aplicações. 1 Abra o Editor de Gestão de Políticas de Grupo e selecione o objeto de política de grupo que associou à unidade organizacional com os dispositivos Samsung KNOX. 2 Expanda a secção Definições do Centrify Cloud Management para Definições do Samsung KNOX > Gestão de Aplicações. 3 Faça duplo clique em Lista de permissões de aplicações. 4 Clique em Ativada e no botão Adicionar. 5 Introduza o nome do pacote para a aplicação e clique em OK. O nome do pacote não é o nome da aplicação. Se estiver a instalar a aplicação a partir da loja de aplicações do Samsung KNOX, pode obter o nome do pacote a partir do URL. Por exemplo, no seguinte URL, o nome do pacote está a negrito. Se estiver a instalar uma aplicação móvel interna, pergunte o nome do pacote ao programador. 6 Clique em OK para sair da caixa de diálogo. Capítulo 3 Definir políticas de grupo de segurança 37

38 Utilizar as Definições do Samsung SAFE Para adicionar o Centrify à lista de permissões SSO: Ative a política de grupo Lista de permissões de aplicações e adicione a aplicação móvel Centrify à lista de permissões para que os seus utilizadores possam iniciar as aplicações Web que implementa dentro do contentor Samsung KNOX. 1 Abra o Editor de Gestão de Políticas de Grupo e selecione o objeto de política de grupo que associou à unidade organizacional com os dispositivos Samsung KNOX. 2 Expanda a secção Definições do Centrify Cloud Management para Definições do Samsung KNOX > Gestão de Aplicações. 3 Faça duplo clique em Lista de permissões de aplicações. 4 Clique em Ativada e no botão Adicionar. 5 Introduza o seguinte nome do pacote e clique em OK. com.centrify.sso.myapps 6 Clique em OK para sair da caixa de diálogo. Utilizar as Definições do Samsung SAFE Utilize as políticas nesta secção para definir políticas de grupo que regem as comunicações de VPN, Wi-Fi de dispositivos móveis e as comunicações do Exchange ActiveSync de dispositivos que implementem o Samsung SAFE. As políticas de grupo do SAFE foram introduzidas ao longo do tempo com cada nova versão do software MDM do dispositivo. A versão do MDM exigida para a política de grupo é apresentada nos textos que explicam as políticas. Para visualizar o número da versão do MDM do dispositivo, abra as Propriedades do dispositivo em Utilizadores e Computadores do Active Directory e selecione o separador Centrify Mobile. A versão é a versão do SDK do MDM. As tabelas seguintes resumem as políticas e os nós das políticas nas Definições do Samsung SAFE. Consulte o separador Explicar para obter as instruções de configuração de cada política. Políticas de grupo Para fazê-lo Definições do Exchange ActiveSync Configure os perfis do Exchange ActiveSync para as comunicações de servidor e a sincronização de contas para a aplicação de correio eletrónico executada num dispositivo com o SAFE. Definições de VPN Definições de Wi-Fi Configure os perfis da VPN para dispositivos SAFE. Configure perfis de Wi-Fi para dispositivos SAFE. Guia de Instalação e Configuração do Centrify Cloud Management Suite 38

39 Utilizar as Definições do Touchdown Secções de políticas de grupo Gestão de aplicações Definições de Bluetooth Definições de Inventário do Dispositivo Definições de Firewall Definições de palavra-passe Definições de Restrições Definições de Roaming Definições de Segurança Definições de VPN Definições de Wi-Fi Para fazê-lo Defina uma variedade de restrições de utilização de aplicações, incluindo aplicações que o utilizador pode ou não instalar, iniciar ou parar, permissões de aplicações e listas de permissões e listas de proibições de aplicações. Configurar a interface de Bluetooth do dispositivo Ative ou desative os registos do dispositivo (por exemplo, informações de chamada, bytes de dados da rede de Wi-Fi e utilização a rede de dados). Configure as regras de permissão e de negação da iptable e a filtragem de URLs. Defina as regras que regem a utilização de palavras-passe nos dispositivos Samsung SAFE por exemplo, cadeias de caracteres proibidas, aplicação de um padrão de palavras-passe e número mínimo de caracteres alterados numa nova palavra-passe. Este nó também inclui políticas que gerem outros comportamentos relacionados com palavras-passe, incluindo a visibilidade do bloqueio de ecrã e palavra-passe e a eliminação do armazenamento externo caso o utilizador não consiga introduzir a palavra-passe correta. Nota: Os requisitos predefinidos da Samsung configurados no dispositivo podem ser mais rigorosos do que os valores que definiu no grupo Centrify. Se definir um valor mais fraco, será aplicada a política mais rigorosa. Defina as regras que regem a utilização das funcionalidades do dispositivo. Existe uma longa lista de políticas disponíveis para ativar ou desativar essas funcionalidades, tais como o acesso ao Bluetooth, a utilização do Android e do S Beam, a gravação de áudio e a funcionalidade da tecla página inicial. Nota: A ativação ou desativação do Wi-Fi e da VPN é efetuada utilizando as políticas nesta secção de políticas de grupo. Contudo, os perfis do Wi-Fi e da VPN definem-se em nós separados. Ative ou desative o funcionamento do dispositivo em modo de roaming. Ative ou desative a inscrição com um servidor MDM e encripte ou não encripte o armazenamento externo. Configure para permitir apenas ligações VPN IPsec ou SSL/TLS. Configure uma grande variedade de privilégios de utilizador e propriedades do ponto de acesso da rede de Wi-Fi. Utilizar as Definições do Touchdown Utilize estas Definições do Exchange ActiveSync para definir o perfil do Exchange ActiveSync em dispositivos Android que utilizem a aplicação Touchdown para fazer a interface com os servidores do Exchange. Capítulo 3 Definir políticas de grupo de segurança 39

40 Ativar políticas Ativar políticas Para definir as políticas de grupo para os seus dispositivos móveis, ative as definições das políticas dos dispositivos móveis num objeto de política de grupo (GPO) existente ou crie um novo GPO especificamente para dispositivos móveis. Em qualquer caso, certifique-se de que o GPO está associado à unidade organizacional do Active Directory que contém os dispositivos móveis inscritos. Pode ter uma mistura de políticas semelhantes (por exemplo, políticas de configuração do Exchange ActiveSync e do Wi-Fi) que se aplicam a diferentes tipos de dispositivos no mesmo GPO. A aplicação do Centrify cloud service executada no dispositivo pode identificar as políticas que se aplicam a esse tipo de dispositivo. A única situação na qual necessita de um GPO separado para um tipo de dispositivo é se necessitar de definir a mesma política de forma diferente para diferentes conjuntos de dispositivos semelhantes. Por exemplo, se tiver um grupo de dispositivos ios que necessitem que as definições do Exchange ActiveSync estejam configuradas de uma forma e outro grupo que necessite de uma definição do Exchange ActiveSync diferente, terá de colocar cada grupo numa unidade organizacional separada. Por predefinição, todas as políticas de grupo do Centrify têm a definição "Não Configurada". Uma política pode ser definida para "Ativada", "Verdadeira", "Falsa" ou "Desativada". Estas definições estão configuradas da seguinte forma: Não Configurada: Se mantiver o estado desta política, o dispositivo permanecerá na sua predefinição até que o utilizador (utilizando a aplicação Definições do dispositivo, por exemplo) ou um objeto de política de grupo (por exemplo, um GPO associado a uma unidade organizacional principal) a modifique. A predefinição pode ser diferente para fornecedores de dispositivos diferentes. Desativada: Ao definir a política para este estado, o dispositivo reverte para a sua predefinição, independentemente das definições configuradas pelo utilizador ou por um GPO principal. A predefinição pode ser diferente para fornecedores de dispositivos diferentes. Ativada: Isto significa que ativou a definição desta propriedade do dispositivo. Contudo, "Ativada" tem diferentes opções, dependendo da política. Para muitas políticas, significa que está a "ligar" esta funcionalidade e a definir as propriedades que regem a sua utilização. Por exemplo, "Ativa" o histórico de códigos de acesso para que o dispositivo guarde os códigos de acesso ao longo do tempo e, em seguida, define a quantidade de códigos de acesso que pretende guardar. Para outras políticas, ativa a política e, em seguida, determina se é "Verdadeira" ou "Falsa". A definição "Verdadeira" ou "Falsa" está normalmente associada às políticas de Restrições que permitem ou proíbem uma funcionalidade ou comportamento. Guia de Instalação e Configuração do Centrify Cloud Management Suite 40

41 Configurar perfis das Definições do Exchange ActiveSync Verdadeira: Isto significa que vai impor a política e que vai permiti-la. Por exemplo, ao ativar a política de acesso ao Bluetooth está a dizer "Importo-me acerca desta política" e define-a como "Verdadeira" para permiti-la. Falsa: Isto significa que vai impor esta política e que não vai permiti-la. Por exemplo, ao ativar a política de acesso ao Bluetooth está a dizer "Importo-me acerca desta política" e define-a como "Falsa" para impedir que o utilizador utilize o Bluetooth. Se definiu políticas dos dispositivos móveis na Política Predefinida de Domínio ou criou unidades organizacionais hierárquicas para os seus dispositivos móveis e associou diferentes GPOs a cada unidade organizacional, utilize a seguinte tabela para determinar qual a definição da política que está em vigor: Definição para os Pais Ativado Desativado Não Configurada Definição para as Crianças Ativado Ativado Ativado Ativado Desativado Desativado Desativado Desativado Não Configurada Ativado Desativado Não Configurada Para ativar uma definição de política de grupo do Centrify: 1 Selecione o objeto de política de grupo, clique com o botão direito do rato e selecione Editar para abrir o Editor de Gestão de Políticas de Grupo. 2 Faça duplo clique na definição e selecione Ativada. 3 Selecione as opções e introduza ou selecione os valores necessários. 4 Clique em OK ou Aplicar para guardar a definição. Se tiver vários tipos de dispositivos no mesmo objeto de política de grupo, terá de definir algumas políticas, tais como políticas de configuração do Exchange ActiveSync, VPN e Wi- Fi, em separado para cada dispositivo. Por exemplo, terá de definir as Definições do Exchange ActiveSync separadamente se a unidade organizacional contiver dispositivos ios, Samsung SAFE e Touchdown. Configurar perfis das Definições do Exchange ActiveSync Utilize a política Definições do Exchange ActiveSync para configurar perfis de conta do Exchange que são transferidos para dispositivos pelo Centrify cloud service. Cada perfil define as propriedades de sincronização e segurança atribuídas a um servidor do Exchange ActiveSync específico. Configure o perfil do servidor do Exchange ActiveSync separadamente para cada tipo de dispositivo na unidade organizacional associada ao GPO. Por exemplo, se o GPO estiver associado a uma unidade organizacional que tem dispositivos com SAFE, dispositivos Capítulo 3 Definir políticas de grupo de segurança 41

42 Configurar perfis das Definições do Exchange ActiveSync Samsung KNOX, dispositivos ios e dispositivos que utilizem o Touchdown, defina perfis nos seguintes nós: Definições dos Dispositivos Móveis Comuns para os dispositivos ios que utilizam servidores do Exchange ActiveSync. Nota Se tiver um servidor POP ou IMAP para o seu correio eletrónico ios, não utilize esta política de grupo. Se tiver um servidor POP ou IMAP, utilize a política de grupo Definições do ios > Definições de correio. Definições do Samsung KNOX para dispositivos com um contentor Samsung KNOX Definições do Samsung SAFE para dispositivos com o Samsung SAFE Definições do Touchdown para dispositivos que utilizem o Touchdown para comunicar com o servidor do Exchange ActiveSync Se um dispositivo estiver ligado a mais do que um servidor do Exchange, terá de criar um perfil separado para cada servidor. Nota Não crie vários perfis para uma plataforma (ios, Samsung SAFE, Samsung KNOX ou Touchdown) no mesmo objeto de política de grupo, a menos que cada perfil se aplique a um servidor do Exchange diferente. Utilize as instruções que se seguem para ativar as políticas do Exchange ActiveSync para os seus dispositivos. Para dispositivos ios: "Ativar as Definições do Exchange ActiveSync Básicas" na página 42 Para dispositivos Samsung SAFE: "Ativar as Definições do Exchange ActiveSync do Samsung SAFE" na página 44 Para dispositivos Android que utilizem o Touchdown: "Ativar as Definições do Exchange ActiveSync com TouchDown" na página 47 Ativar as Definições do Exchange ActiveSync Básicas Utilize esta política para ativar o Exchange ActiveSync apenas para dispositivos ios. Depois de o Centrify cloud service atualizar o dispositivo ios com as novas definições do Exchange ActiveSync, será pedida uma palavra-passe aos utilizadores para perfis do servidor do Exchange ActiveSync novos ou atualizados. Nota Para dispositivos ios, os utilizadores deverão remover manualmente um perfil de conta do Correio do Exchange ActiveSync existente antes da inscrição do dispositivo. (Se o perfil existente especificar o mesmo servidor do Exchange, não será possível instalar o perfil do Centrify.) Será pedida uma nova palavra-passe aos utilizadores dos dispositivos ios para perfis do Exchange ActiveSync novos ou atualizados. Guia de Instalação e Configuração do Centrify Cloud Management Suite 42

43 Configurar perfis das Definições do Exchange ActiveSync Para criar um Perfil do Exchange para dispositivos ios: 1 Abra o objeto de política de grupo para edição associado à unidade organizacional com os dispositivos ios. 2 No Editor de Gestão de Políticas de Grupo, faça duplo clique em Definições dos Dispositivos Móveis Comuns > Definições do Exchange ActiveSync. Esta ação abre a caixa de diálogo Propriedades das Definições do Exchange ActiveSync. 3 Selecione Ativada para ativar a política. 4 Clique no botão Adicionar para mostrar a caixa de diálogo Perfil do Exchange. Utilize a seguinte tabela para preencher os campos e ativar os elementos do protocolo: Definição Nome do perfil Anfitrião do Exchange ActiveSync Utilizar SSL Utilize o Nome Principal de Utilizador (UPN) se não houver um endereço de correio eletrónico Domínio de autenticação O que fazer Introduza um nome para o perfil. O nome tem de ser exclusivo e não pode duplicar outros nomes de perfis do Exchange ActiveSync, incluindo nomes utilizados nos perfis do Exchange para outros dispositivos. Introduza o URL de um servidor do Exchange ao qual um dispositivo poderá estabelecer ligação Poderá especificar um URL num domínio diferente do domínio onde está localizado o servidor proxy. Selecione esta caixa de verificação para exigir que um dispositivo utilize uma ligação SSL para o servidor do Exchange. Se a conta de utilizador do Active Directory não tiver um endereço de correio eletrónico especificado, esta definição especifica a utilização do UPN como o endereço de correio eletrónico. Se esta opção não estiver selecionada e a conta de utilizador do Active Directory não tiver um endereço de correio eletrónico, o dispositivo não receberá o perfil do Exchange ActiveSync. Introduza o domínio de autenticação se for diferente do domínio dos utilizadores do Active Directory com dispositivos inscritos. Por exemplo, os seus utilizadores do AD podem estar em acme.com, mas os utilizadores do ActiveSync são autenticados através de subdomínios como qa.acme.com e eng.acme.com ou através de um domínio alojado como gmail.com ou Office 365. Se especificar um domínio de autenticação, também terá de introduzir um valor em "Nome de utilizador" para especificar qual o atributo de utilizador que deve ser usado para identificar a conta do utilizador para a autenticação. Capítulo 3 Definir políticas de grupo de segurança 43

44 Configurar perfis das Definições do Exchange ActiveSync Definição Nome de utilizador Dias passados de correio a sincronizar Fornecer o certificado de cliente Impedir que a mensagem seja movida Não permitir utilização da conta por terceiros Desativar sincronização de endereços recentes Ativar S/MIME O que fazer Introduza um atributo variável para especificar nomes de utilizador se estiver a utilizar um domínio de autenticação separado. Poderá especificar qualquer atributo do Active Directory, mas os atributos mais úteis para o utilizador são aqueles que contêm o nome do utilizador, tais como userprincipalname e samaccountname. Por exemplo, para especificar o samaccountname: %{samaccountname} Quando um utilizador inscreve um dispositivo, o Centrify cloud service contacta o Active Directory para resolver o valor do atributo do nome de utilizador e também prefixa o domínio de autenticação e uma barra invertida ao nome. Por exemplo, o cloud service resolve os três atributos seguintes para gmail.com\j.weeks: Utilizador do Active Directory: j.weeks@gmail.com Domínio de autenticação: gmail.com Atributo variável: %{samaccountname} Selecione quantos dias de correio eletrónico anteriores (calculados a partir da data e hora atuais) pretende sincronizar com o dispositivo. As opções incluem Sem Limite (todo o correio armazenado para a conta no servidor do Exchange é sincronizado), 1 dia, 3 dias, 1 semana, 2 semanas ou 1 mês. Selecione para que o Centrify cloud proxy server tente obter um certificado para o utilizador a partir do servidor de AC do domínio e inclui-lo no perfil do Exchange. Se não for selecionado, o certificado não será incluído no perfil. Selecione para impedir que outras aplicações num dispositivo ios movam mensagens de correio eletrónico desta conta do Exchange para outras contas do Exchange através do dispositivo ios. Selecione para impedir que outras aplicações num dispositivo ios enviem correio através desta conta do Exchange. Selecione para impedir que dois dispositivos que utilizam a mesma conta de correio eletrónico sincronizem os endereços de correio eletrónico recentemente utilizados. Se esta caixa não estiver marcada (predefinição), os endereços de correio eletrónico recentemente utilizados serão automaticamente sincronizados entre os dois dispositivos. Selecione para ativar o envio de mensagens de correio eletrónico seguras. Se selecionar esta opção, o remetente terá de ter o certificado do destinatário (para a chave pública). Se o destinatário estiver na lista de contactos ou na lista de endereços geral do remetente, o ios obterá o certificado do destinatário automaticamente. Se o destinatário não for uma conta do Exchange ou não estiver no ambiente do Exchange do remetente, o certificado do destinatário terá de estar no dispositivo. Ativar as Definições do Exchange ActiveSync do Samsung SAFE Utilize esta política para ativar o Exchange ActiveSync para dispositivos Android com SAFE API MDM 3.0 ou superior. Guia de Instalação e Configuração do Centrify Cloud Management Suite 44

45 Configurar perfis das Definições do Exchange ActiveSync Nota Se um dispositivo tiver o Touchdown instalado, as políticas do SAFE ativadas e perfis definidos em separado, o perfil das políticas do SAFE prevalecerá e o perfil do Touchdown será ignorado. Para criar um Perfil do Exchange para dispositivos Samsung SAFE: 1 Abra o objeto de política de grupo para edição associado à unidade organizacional com os dispositivos ios. 2 No Editor de Gestão de Políticas de Grupo, faça duplo clique em Definições do Samsung SAFE > Definições do Exchange ActiveSync. Esta ação abre a caixa de diálogo Propriedades das Definições do Exchange ActiveSync. 3 Selecione Ativada para ativar a política. 4 Clique no botão Adicionar para mostrar a caixa de diálogo Perfil do Exchange. O perfil tem vários separadores com opções para ativar e campos para preencher. Utilize as seguintes tabelas para obter instruções sobre o separador correspondente. Separador do servidor. Definição Nome do perfil Anfitrião do Exchange ActiveSync Utilize SSL (Secure Sockets Layer) Utilize a TLS (Transport Layer Security) Aceitar todos os certificados relacionados com SSL Utilize o Nome Principal de Utilizador (UPN) se não houver um endereço de correio eletrónico O que fazer Introduza um nome para o perfil. O nome tem de ser exclusivo e não pode duplicar qualquer outro nome de perfil do Exchange ActiveSync. Introduza o URL de um servidor do Exchange ao qual um dispositivo poderá estabelecer ligação Poderá especificar um URL num domínio diferente do domínio onde está localizado o servidor proxy. Selecione para exigir que o dispositivo utilize uma ligação SSL para o servidor do Exchange. Selecione para exigir que o dispositivo utilize uma ligação TLS para o servidor do Exchange. Selecione para aceitar todos os certificados relacionados com SSL Selecione para utilizar o UPN como o endereço de correio eletrónico se a conta de utilizador do Active Directory não tiver um endereço de correio eletrónico especificado. Se esta definição estiver selecionada e a conta de utilizador do Active Directory não tiver um endereço de correio eletrónico, o dispositivo não recebe o perfil do Exchange ActiveSync. Capítulo 3 Definir políticas de grupo de segurança 45

46 Configurar perfis das Definições do Exchange ActiveSync Definição Domínio de autenticação Nome de utilizador Fornecer o certificado de cliente O que fazer Introduza o domínio de autenticação se for diferente do domínio dos utilizadores do Active Directory com dispositivos inscritos. Por exemplo, os seus utilizadores do AD podem estar em acme.com, mas os utilizadores do ActiveSync são autenticados através de subdomínios como qa.acme.com e eng.acme.com ou através de um domínio alojado como gmail.com ou Office 365. Se especificar um domínio de autenticação, também terá de introduzir um valor em "Nome de utilizador" para especificar qual o atributo de utilizador que deve ser usado para identificar a conta do utilizador para a autenticação. Introduza um atributo variável para especificar nomes de utilizador se estiver a utilizar um domínio de autenticação separado. Pode especificar qualquer atributo do Active Directory, mas os mais úteis para o utilizador são aqueles que contêm o nome do utilizador, tais como userprincipalname e samaccountname. Por exemplo, para especificar o samaccountname: %{samaccountname} Quando um utilizador inscreve um dispositivo, o Centrify cloud service contacta o Active Directory para resolver o valor do atributo do nome de utilizador e também prefixa o domínio de autenticação e uma barra invertida ao nome. Por exemplo, o cloud service resolve os três atributos seguintes: Utilizador do Active Directory: j.weeks@gmail.com Domínio de autenticação: gmail.com Atributo variável: %{samaccountname} para gmail.com\j.weeks Selecione para que o Centrify cloud proxy server tente obter um certificado para o utilizador a partir do servidor de AC do domínio e inclui-lo no perfil do Exchange. Separador Exchange ActiveSync Definição Tamanho da obtenção do correio eletrónico Período para sincronizar o correio eletrónico Período para sincronizar o calendário O que fazer Utilize a lista pendente para selecionar o tamanho máximo. Utilize a lista pendente para selecionar o tempo máximo. Utilize a lista pendente para selecionar o tempo máximo. Guia de Instalação e Configuração do Centrify Cloud Management Suite 46

47 Configurar perfis das Definições do Exchange ActiveSync Separador Agenda de Sincronização Definição Dias de ponta Início da hora de ponta Fim da hora de ponta Agenda do período de ponta Agenda fora do período de ponta Em roaming O que fazer Selecione os dias nos quais pretende sincronizar os dispositivos com o servidor. Selecione a hora do dia para o início do período de sincronização. Selecione a hora do dia para o fim do período de sincronização. Selecione Push, Manual ou um período de tempo. Selecione Push, Manual ou um período de tempo Selecione as definições atuais ou as definições manuais para as propriedades de sincronização quando o dispositivo estiver em roaming. Geral Definição Definir como conta predefinida Adicionar assinatura Sincronização... Notificar o utilizador ao receber uma nova mensagem de correio eletrónico Notificação O que fazer Selecione para especificar que o nome de utilizador no separador Servidor é a conta predefinida do utilizador. Selecione para adicionar uma assinatura. Introduza a assinatura na caixa. Selecione os dados que pretende sincronizar. Selecione se pretender que o utilizador seja notificado sempre que uma nova mensagem de correio eletrónico seja enviada para a conta. Selecione quando pretende que o dispositivo vibre. Ativar as Definições do Exchange ActiveSync com TouchDown Utilize esta política para ativar o Exchange ActiveSync em dispositivos Android que utilizem a aplicação do Touchdown. Nota Se um dispositivo tiver o Touchdown instalado, as políticas do SAFE ativadas e perfis definidos em separado, o perfil das políticas do SAFE prevalecerá e o perfil do Touchdown será ignorado. Para criar um Perfil do Exchange para dispositivos Android que executem o Touchdown: 1 Abra o objeto de política de grupo para edição associado à unidade organizacional com os dispositivos Android. 2 No Editor de Gestão de Políticas de Grupo, faça duplo clique em Definições do Touchdown > Definições do Exchange ActiveSync. Esta ação abre a caixa de diálogo Propriedades das Definições do Exchange ActiveSync. 3 Selecione Ativada para ativar a política. Capítulo 3 Definir políticas de grupo de segurança 47

48 Configurar perfis das Definições do Exchange ActiveSync 4 Clique no botão Adicionar para mostrar a caixa de diálogo Perfil do Exchange. Utilize a seguinte tabela para preencher os campos e selecionar as propriedades. Definição Nome do perfil Anfitrião do Exchange ActiveSync Utilize o Nome Principal de Utilizador (UPN) se não houver um endereço de correio eletrónico Domínio de autenticação Nome de utilizador Dias passados de correio a sincronizar O que fazer Introduza um nome para o perfil. O nome tem de ser exclusivo e não pode duplicar qualquer outro nome de perfil do Exchange ActiveSync. Introduza o URL de um servidor do Exchange ao qual um dispositivo poderá estabelecer ligação Poderá especificar um URL num domínio diferente do domínio onde está localizado o servidor proxy. Se a conta de utilizador do Active Directory não tiver um endereço de correio eletrónico especificado, esta definição especifica a utilização do UPN como o endereço de correio eletrónico. Se esta opção não estiver selecionada e a conta de utilizador do Active Directory não tiver um endereço de correio eletrónico, o dispositivo não receberá o perfil do Exchange ActiveSync. Introduza o domínio de autenticação se for diferente do domínio dos utilizadores do Active Directory com dispositivos inscritos. Por exemplo, os seus utilizadores do AD podem estar em acme.com, mas os utilizadores do ActiveSync são autenticados através de subdomínios como qa.acme.com e eng.acme.com ou através de um domínio alojado como gmail.com ou Office 365. Se especificar um domínio de autenticação, também terá de introduzir um valor em "Nome de utilizador" para especificar qual o atributo de utilizador que deve ser usado para identificar a conta do utilizador para a autenticação. Introduza um atributo variável para especificar nomes de utilizador se estiver a utilizar um domínio de autenticação separado. Pode especificar qualquer atributo do Active Directory, mas os atributos mais úteis para os utilizadores são aqueles que contêm o nome do utilizador, tais como userprincipalname e samaccountname. Por exemplo, para especificar o samaccountname: %{samaccountname} Quando um utilizador inscreve um dispositivo, o Centrify cloud service contacta o Active Directory para resolver o valor do atributo do nome de utilizador e também prefixa o domínio de autenticação e uma barra invertida ao nome. Por exemplo, o cloud service resolve os três atributos seguintes para gmail.com\j.weeks: Utilizador do Active Directory: j.weeks@gmail.com Domínio de autenticação: gmail.com Atributo variável: %{samaccountname} Selecione quantos dias de correio eletrónico anteriores (calculados a partir da data e hora atuais) pretende sincronizar com o dispositivo. As opções incluem Sem Limite (todo o correio armazenado para a conta no servidor do Exchange é sincronizado), 1 dia, 3 dias, 1 semana, 2 semanas ou 1 mês. Guia de Instalação e Configuração do Centrify Cloud Management Suite 48

49 Configurar perfis de definições de VPN Configurar perfis de definições de VPN Utilize a política Definições de VPN para configurar perfis que são transferidos para dispositivos pelo Centrify cloud service. Cada perfil define um nome da ligação, o nome do servidor, o tipo de VPN (PPTP, IPsec, VPN de terceiros) e as propriedades. Configure o perfil do servidor da VPN separadamente para cada tipo de dispositivo na unidade organizacional associada ao GPO. Por exemplo, se o GPO estiver associado a uma unidade organizacional que tem dispositivos com SAFE, dispositivos Samsung KNOX, dispositivos ios, defina perfis nos seguintes nós: Definições dos Dispositivos Móveis Comuns para os dispositivos ios. Definições do Samsung KNOX para dispositivos com um contentor Samsung KNOX. Definições do Samsung SAFE para dispositivos com o Samsung SAFE. Não defina vários perfis para o mesmo servidor de VPN para o mesmo tipo de dispositivo. As Definições do Samsung SAFE fornecem uma política de grupo separada através da qual pode especificar se permite ou não ligações VPN IPsec e SSL/TLS. Ativar a política de VPN nas Definições dos Dispositivos Móveis Comuns Para ativar a política de VPN para dispositivos ios: 1 Abra o objeto de política de grupo para edição associado à unidade organizacional com os dispositivos ios. 2 No Editor de Gestão de Políticas de Grupo, faça duplo clique em Definições dos Dispositivos Móveis Comuns > Definições da VPN. Esta ação abre a caixa de diálogo Propriedades das Definições de VPN. 3 Selecione Ativada para ativar a política. 4 Clique no botão Adicionar para mostrar a caixa de diálogo Perfil da VPN. O perfil tem vários separadores. Utilize as seguintes tabelas para preencher os campos e selecionar as propriedades. Separador Geral Definição Nome da Ligação Servidor O que fazer Introduza um nome para o perfil. O nome tem de ser exclusivo e não pode duplicar qualquer outro nome de perfil de VPN. Introduza o URL do servidor de VPN ao qual os dispositivos móveis estabelecem ligação. Separador Segurança: No separador Segurança, defina o tipo de VPN: PPTP, IPsec ou Terceiros. Os parâmetros que necessita de introduzir dependem do seu tipo de VPN. Capítulo 3 Definir políticas de grupo de segurança 49

50 Configurar perfis de definições de VPN Separador PPTP Definição Tipo de VPN: PPTP Autenticação de Utilizador Nível de encriptação Enviar Todo o Tráfego O que fazer Selecione esta opção se a sua VPN utilizar PPTP. Este tipo de VPN não suporta a autenticação PKI. Selecione uma das seguintes opções para especificar o modo como o proprietário do dispositivo móvel autentica para o servidor de VPN: Palavra-passe Requer um nome de conta de utilizador e uma palavra-passe. RSA SecurID Requer um valor RSA SecurID. Especifique o nível de encriptação da ligação selecionando uma das seguintes opções da lista pendente: Nenhum Sem encriptação. Automático O servidor estabelece o nível de encriptação. Máximo (128 bits) Encriptação de 128 bits. Selecione esta opção para exigir que todo o tráfego de rede passe pela ligação VPN. Remova a seleção para permitir que o tráfego de rede passe pela ligação VPN e por qualquer outra ligação do dispositivo. Separador IPsec Definição Tipo de VPN: IPsec (Cisco) Tipo de autenticação Incluir PIN de Utilizador Nome do Grupo Segredo Partilhado Utilizar a Autenticação Híbrida Pedir Palavra-passe O que fazer Selecione esta opção se a sua VPN utilizar IPsec (Cisco). Com este tipo de VPN, a autenticação PKI é suportada em dispositivos ios que utilizam o cliente VPN nativo ios. Não é necessária qualquer transferência em separado a partir da Apple App Store. Selecione uma das seguintes opções para especificar o modo como o proprietário do dispositivo móvel autentica para o servidor de VPN: Certificado Segredo Partilhado/Nome do Grupo Apenas para a autenticação Certificado: Selecione esta opção para incluir o PIN de utilizador com o certificado Apenas para a autenticação Segredo Partilhado/Nome do Grupo: Introduza o nome do grupo a utilizar se os utilizadores autenticarem os seus dispositivos através de um segredo partilhado e de um nome do grupo. Apenas para a autenticação Segredo Partilhado/Nome do Grupo: Introduza o texto do segredo partilhado se os utilizadores autenticarem os seus dispositivos através de um segredo partilhado e de um nome do grupo. Apenas para a autenticação Segredo Partilhado/Nome do Grupo com o Nome do Grupo: Selecione esta opção para incluir um certificado com a autenticação segredo partilhado/nome do grupo. Apenas para a autenticação Segredo Partilhado/Nome do Grupo com o Nome do Grupo: Selecione esta opção para pedir uma palavra-passe ao utilizador durante a autenticação. Guia de Instalação e Configuração do Centrify Cloud Management Suite 50

51 Configurar perfis de definições de VPN Separador Terceiros Definição Tipo de VPN: VPN de Terceiros Tipo de Ligação Autenticação de Utilizador Grupo Realm Função Domínio ou Grupo de Início de Sessão O que fazer Utilize esta opção se a sua VPN utilizar um dos produtos da lista pendente Tipo de Ligação. Nota: A utilização de uma VPN de terceiros num dispositivo ios exige a transferência de uma aplicação VPN em separado da Apple App Store. Selecione um dos seguintes: Cisco AnyConnect Juniper SSL F5 SSL SonicWALL Mobile Connect Aruba VIA Os campos adicionais que necessita de preencher dependem do Tipo de Ligação selecionado. Para todos os tipos: Selecione uma das seguintes opções para especificar o modo como o proprietário do dispositivo móvel autentica para o servidor de VPN: Palavra-passe: Requer um nome de conta de utilizador e uma palavra-passe. Certificado: Requer um certificado PKI. Apenas Cisco: Introduza o nome do grupo utilizado para a autenticação (opcional). Apenas Juniper SSL: Introduza o nome do realm utilizado para a autenticação (opcional). Apenas Juniper SSL: Introduza o nome do perfil utilizado para autenticação (opcional). Apenas SonicWALL Mobile Connect: Introduza o nome do domínio ou grupo de início de sessão a utilizar para a autenticação (opcional). Separador Proxy: Apenas necessita de configurar estas definições se a VPN exigir o encaminhamento através de um servidor proxy: Definição Configuração do proxy Nenhum O que fazer Selecione uma das seguintes opções da lista pendente para especificar o tipo de encaminhamento que a VPN necessita através de um servidor proxy: Nenhum Manual Automático Não foi configurado qualquer proxy. Capítulo 3 Definir políticas de grupo de segurança 51

52 Configurar perfis de definições de VPN Definição Manual Automático O que fazer Defina um perfil de VPN manualmente. Após selecionar Manual, configure as seguintes definições: Servidor Introduza o URL do servidor proxy manual e especifique a porta utilizada para a ligação do proxy escrevendo ou utilizando as teclas de seta. Nome de utilizador Introduza o nome de conta utilizado para a autenticação. Palavra-passe Introduza a palavra-passe utilizada para a autenticação. O perfil de VPN define um proxy automático. Após selecionar Automático, aparecerá o campo adicional URL do servidor proxy. Neste campo, introduza o URL do servidor proxy a utilizar para criar o proxy automático. Ativar a política de VPN nas definições do Samsung SAFE Para ativar a política de VPN para dispositivos Samsung SAFE: 1 Abra o objeto de política de grupo para edição associado à unidade organizacional com os dispositivos Samsung SAFE. 2 No Editor de Gestão de Políticas de Grupo, faça duplo clique em Definições do Samsung SAFE > Definições de VPN. Esta ação abre a caixa de diálogo Propriedades das Definições de VPN. 3 Selecione Ativada para ativar a política. 4 Clique no botão Adicionar para mostrar a caixa de diálogo Perfil da VPN. O perfil tem vários separadores. Utilize a seguinte tabela para preencher os campos e selecionar as propriedades: Definição Nome da Ligação Servidor Tipo de VPN Encriptação PPP (MPPE) Tipo de autenticação O que fazer Introduza um nome para o perfil. O nome tem de ser exclusivo e não pode duplicar qualquer outro nome de perfil de VPN. Introduza o URL de um servidor de VPN ao qual um dispositivo móvel poderá estabelecer ligação. Utilize a lista pendente para selecionar PPTP, IPsec ou AnyConnect Se tiver selecionado PPTP como o tipo de VPN, selecione a caixa de verificação para permitir a encriptação PPP. Se tiver selecionado AnyConnect, utilize a lista pendente para selecionar Automático, Utilizar Certificado ou Não utilizar certificado. Guia de Instalação e Configuração do Centrify Cloud Management Suite 52

53 Configurar as Definições de Wi-Fi Configurar as Definições de Wi-Fi Utilize a política Definições de VPN para configurar os perfis que são transferidos para dispositivos pelo Centrify cloud service. Cada perfil define o protocolo do tipo de segurança (por exemplo, WPA ou WEP) e outras propriedades para um SSID. Configure um perfil SSID separadamente para cada tipo de dispositivo na unidade organizacional associada ao GPO. Por exemplo, se o GPO estiver associado a uma unidade organizacional que tem dispositivos com SAFE, dispositivos Samsung KNOX, dispositivos Android e dispositivos ios, defina perfis nos seguintes nós: Definições dos Dispositivos Móveis Comuns para os dispositivos ios e Android. Definições do Samsung KNOX para dispositivos que tenham um contentor Samsung KNOX. Definições do Samsung SAFE para dispositivos com o Samsung SAFE. Não defina vários perfis para o SSID de Wi-Fi para um tipo de dispositivo específico. As Definições do Samsung SAFE fornecem políticas de grupo adicionais que regem a utilização do Wi-Fi. No entanto, defina-os após definir os perfis de Wi-Fi. Capítulo 3 Definir políticas de grupo de segurança 53

54 Anexo A Configurar o cloud proxy server Este anexo descreve como utilizar a aplicação Cloud Proxy Server Configuration para configurar e monitorizar o seu cloud proxy server. São abordados os seguintes tópicos: Acerca do Centrify cloud proxy server e da aplicação de configuração Separador Estado Separador Servidor Proxy Separador Definições dos Dispositivos Móveis O separador Alertas Separador Registo Inicie a aplicação Cloud Proxy Server Configuration a partir do menu Iniciar no computador anfitrião. Modifique as definições selecionando diferentes separadores na janela. Pode ver os separadores na seguinte imagem. Acerca do Centrify cloud proxy server e da aplicação de configuração O cloud proxy server é executado num computador anfitrião e gere as comunicações entre o Active Directory e o Centrify Cloud service. Especifica os grupos cujos membros podem inscrever dispositivos e um grupo cujos membros podem gerir dispositivos. Além disso, realiza a monitorização do Active Directory para alterações de políticas de grupo, enviadas para o Centrify Cloud service para a atualização dos dispositivos inscritos. A configuração inicial do cloud proxy server segue a instalação com o assistente do cloud proxy server configuration, que é iniciado automaticamente. Para concluir o assistente, deve identificar um grupo de utilizadores cujos membros possam inscrever dispositivos e 54

55 Separador Estado um contentor que armazene contas para dispositivos inscritos. Deve ainda identificar um grupo cujos utilizadores tenham permissão para gerir dispositivos inscritos e a configuração. A aplicação Cloud Proxy Server Configuration permite-lhe concluir a configuração inicial, efetuar eventuais alterações e configurar funcionalidades adicionais, tais como o registo e o envio de alertas estabelecidos para valores predefinidos durante a configuração inicial. Esta aplicação também pode ser executada para monitorização do estado do seu cloud proxy server. Nota Também pode monitorizar os proxies através da aplicação Web do Centrify Cloud Manager. Contudo, o Cloud Manager apenas permite monitorizar proxies, não permitindo, de forma alguma, a configuração de um cloud proxy server. Embora seja possível configurar vários cloud proxy servers para uma única instalação do Centrify for Mobile, apenas um deles fica ativo de cada vez, sendo que os restantes ficam suspensos para utilização em caso de falha. Cada servidor possui a sua própria aplicação de configuração do servidor proxy, que deve ser iniciada no computador que aloja o servidor proxy. No entanto, se efetuar uma alteração a qualquer um dos servidores proxy numa instalação (ou seja, servidores registados com o mesmo ID de cliente), as alterações são aplicadas a todos os servidores da instalação para garantir que todos ficam sincronizados. A aplicação Centrify cloud proxy server configuration pode ser instalada em qualquer computador que tenha um cloud proxy server instalado. Inicie-a através do menu Iniciar do Windows, a partir da pasta Centrify/Cloud Management Suite onde está localizada. A aplicação é apresentada sob a forma de janela com cinco separadores: Estado, que indica o estado do servidor proxy. Servidor Proxy, que controla a funcionamento do servidor proxy. Definições dos Dispositivos Móveis, que especifica os grupos autorizados a inscrever dispositivos, o grupo autorizado a gerir dispositivos e o intervalo com que o proxy consulta o Active Directory. Alertas, que especifica se e quando devem ser enviados alertas por correio eletrónico quando o Centrify for Mobile deteta dispositivos móveis inutilizados. Registo, que ativa e desativa o registo para esta aplicação de configuração e para as extensões ADUC e de editor de políticas de grupo. É ainda especificada a localização de armazenamento do ficheiro de registo. Separador Estado O separador Estado apresenta as seguintes informações só de leitura acerca do servidor proxy: O Nome do servidor apresenta o nome atribuído a este cloud proxy server. O ID de cliente apresenta o ID de cliente com o qual este cloud proxy server está registado. Forneça este ID aos utilizadores para a inscrição de dispositivos móveis. Este Anexo A Configurar o cloud proxy server 55

56 Separador Servidor Proxy ID também é utilizado para iniciar sessão no Centrify cloud manager. É possível instalar vários cloud proxy servers com este ID para criar servidores proxy suspensos para situações de falha. Apenas é executado um servidor proxy de cada vez. Nota O Centrify cloud service atribui o ID de cliente quando regista o cloud proxy server (durante a instalação) através do assistente do cloud proxy server configuration. Embora seja possível alterar o ID de cliente no separador Servidor Proxy, nunca deverá fazê-lo, salvo indicação em contrário do suporte ao cliente do Centrify. O Cloud Proxy Server está ligado desligado indica se o cloud proxy server está ligado (em execução) ou não. Ligação ao Centrify Cloud Service indica a data, hora e o resultado da última ligação ao Centrify cloud service. Separador Servidor Proxy O separador Servidor Proxy indica o ID de cliente com o qual o servidor proxy está registado e se o servidor está ligado ou desligado. Disponibiliza ainda os seguintes controlos: O botão Voltar a registar inicia o assistente do Centrify cloud proxy server configuration e permite-lhe voltar a registar este cloud proxy server. Geralmente, o proxy é registado novamente com o mesmo ID de cliente e apenas depois, se o proxy apresentar problemas de comunicação com o Centrify Cloud service, o suporte ao cliente recomenda que volte a efetuar o registo para resolver o problema. Nota Voltar a registar com outro ID pode desestabilizar o ambiente e apenas deve ser efetuado depois de consultar o suporte ao cliente do Centrify. Ao alterar o ID, o servidor proxy é movido de uma instalação para outra. Se o servidor proxy for o único servidor numa instalação, a remoção do servidor da mesma provocará a falha da inscrição de qualquer dispositivo na instalação e os dispositivos inscritos deixarão de receber alterações de políticas. Clique em Iniciar para iniciar o cloud proxy server caso esteja desligado. Clique em Parar para desligar o cloud proxy server caso esteja em execução. Selecione Autorizar o suporte a aceder aos registos de serviço do proxy local para permitir ao fornecedor do cloud service abrir os ficheiros de registo do servidor proxy. (Consulte Program Files\Centrify\Cloud Management Suite\log.txt.* Estes ficheiros podem ser úteis para resolver um problema e são os únicos ficheiros que o fornecedor de serviços consegue abrir. Está selecionada a predefinição. Clique em Ver Registo para ver o registo do servidor proxy. Tenha em atenção que este não é o mesmo registo de configuração do servidor proxy visualizado no separador Registo. O registo do servidor proxy é ativado em todas as situações e grava todas as ações do servidor proxy. O registo de configuração do servidor proxy não está ativado Guia de Instalação e Configuração do Centrify Cloud Management SuiteCentrify for SaaS Centrify for Mobile Guia de AvaliaçãoGuia de Instalação e Configuração

57 Separador Definições dos Dispositivos Móveis por predefinição. Se estiver ativado, grava as atividades de configuração do servidor proxy realizadas com esta aplicação, mas não as ações do servidor proxy. Utilize a caixa de texto Intervalo de atualização de definições para definir o número de minutos que este servidor proxy demora entre verificações das definições de proxy com o Centrify cloud service. Quando as definições de um servidor proxy numa instalação são alteradas, estas definições são enviadas para o cloud service. Quando um servidor proxy verifica as definições com o cloud service, no caso de existirem novas definições comunicadas por qualquer um dos outros servidores proxy da instalação, o proxy de verificação transfere e aceita essas definições. Deste modo, garante-se que todos os proxies de uma instalação têm as mesmas definições. Utilize a caixa de texto Intervalo de verificação de utilizadores do Active Directory para definir o número de minutos que este servidor proxy demora entre verificações de contas de utilizadores do AD ativas. Quando o servidor proxy verifica as contas de utilizadores do AD, contacta o Active Directory para confirmar se a conta de utilizador listada para cada dispositivo inscrito está ativa. Se a conta de utilizador associada a um dispositivo não estiver ativa (estiver desativada ou removida), o Centrify for Mobile anula a inscrição do dispositivo. Selecione a caixa de verificação Ativar a atualização automática para ativar (se marcada) ou desativar (se desmarcada) a atualização automática do servidor proxy. Quando a atualização automática está ativada, o servidor proxy verifica o Centrify cloud service periodicamente para confirmar se está disponível alguma atualização do servidor proxy. Se estiver disponível, o servidor proxy transfere e instala e atualização e reinicia. Deste modo, garante-se que o software do servidor proxy está atualizado. Recomendamos que ative esta opção, que se encontra desativada por predefinição. Selecione a caixa de verificação Utilizar um servidor proxy Web para ligação ao Centrify Cloud Service se a sua rede estiver configurada com um servidor proxy Web que pretende utilizar para a ligação ao Centrify cloud service. Tenha em atenção que o proxy Web tem de suportar HTTP 1.1 para que uma correta ligação ao Centrify cloud service. O ambiente também deve manter abertas as portas TCP de saída 9350 a Depois de selecionar esta opção, introduza as seguintes informações para ativar a ligação ao proxy Web: O Endereço é o URL do servidor proxy Web. A Porta corresponde ao número da porta a utilizar para estabelecer ligação ao servidor proxy Web. Separador Definições dos Dispositivos Móveis O separador Definições dos Dispositivos Móveis é composto por três painéis: Anexo A Configurar o cloud proxy server 57

58 Separador Definições dos Dispositivos Móveis O painel Grupos autorizados a inscrever dispositivos especifica pares de grupo de utilizadores/contentor que definem que grupos de utilizadores do Active Directory podem inscrever dispositivos móveis e onde são armazenados os registos desses dispositivos. O painel Intervalo de consulta da política de grupo (minutos) especifica o período de tempo para consultas do cloud proxy server ao Active Directory para verificar a existência de alterações às políticas de grupo móveis. A lista pendente Autoridade de certificação permite-lhe selecionar a autoridade de certificação (AC). A autoridade de certificação predefinida é a AC de raiz empresarial. A lista pendente contém todas as AC empresariais encontradas no Active Directory. Para selecionar uma AC subordinada, clique na lista pendente, selecione a AC e clique em Aplicar. Autorização de inscrição O painel "Grupos autorizados a inscrever dispositivos" inclui uma lista de um ou mais pares de grupo de utilizadores/contentores (unidade organizacional). Cada par especifica um grupo de utilizadores cujos dispositivos móveis podem ser inscritos no Centrify for Mobile e o contentor onde o objeto de dispositivos inscritos está armazenado. O servidor proxy armazena esta lista de pares de grupo de utilizadores/contentor. Quando um utilizador solicita a inscrição de um dispositivo móvel, o Centrify for Mobile percorre a lista e procura o grupo de utilizadores a que pertence o utilizador em questão. Quando se trata de um par que inclui o grupo de utilizadores a que o requerente pertence, o servidor proxy inscreve o dispositivo e coloca o respetivo registo no contentor especificado pelo par. Em seguida, o servidor proxy interrompe a consulta da lista, pelo que, se o utilizador for um membro de um grupo de utilizadores especificado num par posterior, esse par não afeta a inscrição. O painel tem um conjunto de botões que controla as entradas da lista: Mover para cima move o par selecionado para a parte superior da lista. Mover para baixo move o par selecionado para a parte inferior da lista. Adicionar abre a caixa de diálogo Adicionar Grupo de Inscrição, onde um administrador pode criar um novo par de grupo/contentor. A caixa de diálogo inclui controlos padrão do Active Directory que lhe permitem criar um novo grupo de utilizadores ou procurar um grupo de utilizadores existente e procurar um contentor existente. Editar abre a caixa de diálogo Modificar Grupo Adicionado, onde o administrador pode modificar o par selecionado. Esta caixa de diálogo tem os mesmos controlos da caixa de diálogo Adicionar Grupo de Inscrição, mas com uma diferença: já estão preenchidos alguns valores que definem o grupo e o contentor. Remover elimina o par selecionado da lista. Guia de Instalação e Configuração do Centrify Cloud Management SuiteCentrify for SaaS Centrify for Mobile Guia de AvaliaçãoGuia de Instalação e Configuração

59 O separador Alertas Consulta da política de grupo O painel Política de Grupo tem um único controlo: a caixa de texto Intervalo de consulta. Este campo aceita um valor inteiro que define o número de minutos entre consultas do Active Directory realizadas pelo cloud proxy server. O cloud proxy server consulta o Active Directory para procurar políticas de grupo novas e modificadas. O separador Alertas O separador Alertas permite-lhe ativar as notificações por correio eletrónico para dispositivos móveis inutilizados e configurar o endereço de correio eletrónico e o servidor para a receção das notificações. Para ativar as notificações por correio eletrónico para dispositivos inutilizados, selecione Enviar notificação por correio eletrónico para dispositivos inativos. Nota O Centrify cloud service envia pings a dispositivos inscritos uma vez por dia para confirmar que estão ativos. Se um determinado dispositivo não responder à mensagem ping num período de cinco dias, é considerado "inutilizado" e o Centrify cloud service altera o seu estado para "terminado". Se, após esse período de tempo, o dispositivo se ligar novamente, o Centrify cloud service volta a alterar o estado para GPApplied e ativa o dispositivo no Active Directory. <<erro altera inutilizado de volta para GPApplied>> Após a ativação das notificações por correio eletrónico, introduza as seguintes informações para especificar o endereço de correio eletrónico e o assunto da notificação e para especificar o endereço de correio eletrónico para receber a notificação: Endereço De Especifique o endereço "de" fornecido na notificação por correio eletrónico. Este valor é obrigatório. Tem de ser um endereço de correio eletrónico verdadeiro? Endereço Para Especifique o endereço de destino da notificação. Este valor é obrigatório. O Assunto do correio Especifique a linha de assunto da notificação por correio eletrónico. Este valor é opcional. Servidor SMTP Especifique o servidor SMTP utilizado para enviar a notificação por correio eletrónico. Este valor é obrigatório. Porta SMTP Especifique o número da porta utilizada para estabelecer a ligação ao servidor SMTP. Este valor é opcional. Utilizar SSL Selecione para especificar que o Centrify cloud service deve utilizar uma ligação SSL para se ligar ao servidor SMTP. Anexo A Configurar o cloud proxy server 59

60 Separador Registo Utilizar autenticação SMTP Selecione para especificar que o Centrify cloud service deve fornecer um nome de utilizador e respetiva palavra-passe para a autenticação do servidor SMTP aquando da ligação ao mesmo. Nome de utilizador e Palavra-passe Se Utilizar autenticação SMTP estiver selecionado, deve fornecer o nome de utilizador e a palavra-passe para esta autenticação. Clique no botão Testar para verificar a configuração da notificação enviando uma notificação de teste por correio eletrónico com todos os valores de notificação indicados. Em caso de falha no envio do correio, é apresentada uma caixa de notificação. Tenha em atenção que este botão só fica disponível quando todos os valores de notificação obrigatórios estiverem preenchidos. Separador Registo Utilize o separador Registo para ativar o registo da aplicação de configuração do proxy, da ADUC e da extensão do editor de políticas de grupo. A aplicação escreve três ficheiros de registo em separado. Clique em Ver Registo, para ver o registo de configuração do servidor proxy, ou em Registo da ADUC ou Registo do GPOE, para ver o registo dessas extensões de dispositivos móveis. Tenha em atenção que o registo de configuração do servidor proxy não é igual ao visualizado no separador Servidor Proxy. O registo de configuração do servidor proxy comunica apenas ações de configuração do servidor proxy realizadas com esta aplicação de configuração. O registo do servidor proxy comunica ações realizadas pelo servidor proxy. Para ativar o registo: 1 Selecione Ativar registo. 2 Clique em Procurar para procurar uma pasta onde guardar as entradas do registo. Guia de Instalação e Configuração do Centrify Cloud Management SuiteCentrify for SaaS Centrify for Mobile Guia de AvaliaçãoGuia de Instalação e Configuração

61 Anexo B Instalar servidores proxy adicionais Um único cloud proxy server é executado numa floresta para comunicar, em qualquer altura, entre o Active Directory e o cloud service. No entanto, recomenda-se a configuração de um ou vários servidores proxy adicionais para proporcionar uma ativação pós-falha caso o servidor em execução fique offline. Este anexo descreve o procedimento de instalação de várias instalações proxy servidor para uma única conta de ID de cliente Centrify. O cloud service mantém os dados de configuração e sincroniza as informações de configuração do servidor proxy entre todos os servidores proxy registados no mesmo ID de cliente. Por exemplo, se alterar a autorização de inscrição num cloud proxy server de modo a incluir um novo grupo de inscrição e uma unidade organizacional associada, o servidor proxy envia essa alteração para o cloud service. Por sua vez, o cloud service atualiza os seus registos e propaga as informações de configuração para todos os cloud proxy servers registados nesse ID de cliente. Obter códigos de registo para servidores proxy É necessário um código de ativação único para cada servidor proxy. Pode obter o código de ativação para cada servidor proxy adicional no separador Proxies na página Definições do Centrify Cloud Manager. Necessitará de um novo código de ativação para cada servidor proxy adicional que instalar. Todos os códigos de ativação são de utilização única. Não é necessário manter um registo dos mesmos. Quando instala o primeiro cloud proxy server, o Centrify for Mobile especifica um dos servidores para comunicar entre o Centrify cloud service e o serviço Active Directory da sua rede interna. Os outros cloud proxy servers ficam suspensos, prontos para entrarem em execução em caso de falha. Se o servidor utilizado falhar, o Centrify for Mobile muda a comunicação para outro cloud proxy server em execução na instalação. Instalar um cloud proxy server adicional Para instalar um cloud proxy server adicional, siga o mesmo procedimento utilizado para instalar o servidor inicial. A única diferença é a origem do código de ativação introduzido durante a configuração do servidor proxy. Siga este procedimento para obter um código de ativação para servidores proxy redundantes. Tem de ter um código de registo separado para cada servidor proxy adicional que instalar. Antes de começar, consulte os requisitos do computador anfitrião e das permissões do Active Directory na secção "Requisitos" na página

62 Instalar um cloud proxy server adicional Depois de obter o código de registo, siga os procedimentos indicados na secção "Instalar o Centrify Cloud Management Suite na sua rede" na página 22 para efetuar a instalação. Para obter o código de ativação: 1 Inicie sessão no computador em que pretende instalar o servidor proxy. Este computador tem de estar associado ao controlador de domínio. 2 Abra um browser e utilize este URL para abrir o Cloud Manager: 3 Introduza o seu nome de utilizador do Active Directory completo (username@domain) e a palavra-passe. 4 Clique em Definições, selecione o separador Proxies e clique no botão Adicionar Servidor Proxy. 5 Copie o Código de Ativação e clique em OK. Nota Se necessitar de uma cópia do instalador do cloud proxy server, clique na ligação correspondente à arquitetura do processador do computador para transferir um ficheiro zip, copie o ficheiro para uma localização conveniente e deszipe-o. 6 Feche o Cloud Manager. Esta ação conclui o processo de obtenção de um código de ativação. Avance para "Instalar o Centrify Cloud Management Suite na sua rede" na página 22 para consultar os passos seguintes. Guia de Instalação e Configuração do Centrify Cloud Management Suite 62