Headwind MDM в локальной сети

Особенности настройки Headwind MDM и мобильных устройств в закрытой сети организации

Можно ли настроить управление Android-устройствами без Интернета?

В отличие от большинства MDM систем, Headwind MDM (Корпоративная лицензия) может использоваться в закрытых корпоративных сетях без доступа к сети Интернет.

Headwind MDM on the LAN

Работа Headwind MDM в локальной сети

При установке сервиса в локальной сети нужно учитывать несколько моментов.

  1. Настройка HTTPS. При настройке HTTPS во внутренней сети нужно корректно реализовать сервис выдачи доменных имен, и в случае локальных доменов — организовать внутренние сервисы сертификации и наладить передачу корневых сертификатов на мобильные устройства. Headwind MDM не будет работать с «самоподписанными» сертификатами!
  2. Настройка мобильных устройств. Многие Android-устройства требуют соединения с сетью Интернет при начальной настройке MDM для инициализации сервисов Google, отказываясь от продолжения настройки при отсутствии соединения.
  3. Установка необходимого ПО. Установщик Headwind MDM использует Интернет-ресурсы для загрузки необходимого программного обеспечения, как стороннего (базы данных, веб-сервера, и т.д.), так и компонентов Headwind MDM (мобильных агентов). Если во внутренней сети нет доступа к внешним Интернет-ресурсам, требуемое ПО нужно будет установить вручную.

Настройка HTTPS

Перед началом настройки HTTPS, мы рекомендуем уточнить у службы информационной безопасности, допустима ли работа во внутренней сети без шифрования (использование протокола HTTP). Если такой вариант допустим, то это может быть наиболее простым решением проблемы, поскольку не требует наличия ни сертификатов, ни даже доменного имени — достаточно использовать IP-адрес сервера. При использовании HTTP в Headwind MDM не будет работать модуль удаленного доступа.

Доменные имена и сертификаты

Для работы HTTPS сервер должен иметь:

  • Доменное имя
  • Сертификат домена, подписанный доверенным центром сертификации

Настройте DNS во внутренней сети и обеспечьте наличие DNS-записи A, связывающую доменное имя с IP адресом сервера Headwind MDM.

Сервис бесплатной сертификации LetsEncrypt

По умолчанию Headwind MDM использует сервис бесплатной сертификации LetsEncrypt для генерации HTTPS-сертификатов. Для подтверждения владения доменом, этот сервис соединяется с вашим доменом по протоколу HTTP. В локальной сети LetsEncrypt работать не сможет, поэтому потребуется самостоятельно подготовить сертификаты и отключить LetsEncrypt при установке Headwind MDM.

Интернет-домен

Мы рекомендуем устанавливать Headwind MDM на поддомен реально существующего домена вашей организации, например mdm.your-company.com. В этом случае, если у компании уже есть wildcard сертификат (*.your-company.com), вы сможете использовать его для настройки HTTPS.

Если сертификата нет, закажите его для поддомена Headwind MDM в любом центре сертификации (для верификации домена рекомендуем использовать DNS-запись).

Локальный домен

«Локальные» домены, например mdm.local, не могут быть сертифицированы Интернет-центрами сертификации. Обходным путем в этом случае будет запрос специальной сборки, игнорирующей ошибку сертификата. Проблемы, с которыми вы можете столкнуться, будут такими:

  • Служба информационной безопасности может не допустить работу с HTTPS с игнорированием сертификата;
  • Другие приложения, как сторонние (например, браузер), так и компоненты Headwind MDM, могут отказаться работать без сертификата.

Локальный центр сертификации

Android не допускает работу с самоподписанными доменными сертификатами! Для корректной работы HTTPS с локальными доменами необходимо организовать собственный «центр сертификации», а именно, сгенерировать:

  • Самоподписанный «корневой» сертификат
  • «Промежуточный» сертификат, подписанный корневым
  • Доменный сертификат, подписанный промежуточным

После генерации цепочки сертификатов, нужно доставить их на устройство. Для этого Корпоративная лицензия Headwind MDM предоставляет сервис сборки кастомной версии мобильного агента Headwind MDM, включающей в себя ваши сертификаты. Необходимо предоставить ваш корневой и промежуточный сертификаты службе поддержки Headwind MDM в формате PEM (Base64).

Настройка мобильных устройств

Headwind MDM setup on the LAN

Для начальной настройки устройства может потребоваться доступ в Интернет

Многие наши пользователи сталкиваются с проблемой настройки мобильных устройств в локальной сети: несмотря на то, что все сертификаты присутствуют, и панель управления Headwind MDM прекрасно открывается в браузере, устройства долго (в районе 1-3 минут) висят на странице загрузки MDM (приложения администратора), после чего выдают ошибку «Не удалось установить приложение администратора» с единственной альтернативой сброса к заводским настройкам.

Эта проблема возникает из-за недоступности сервисов Google.

Если вы столкнулись с подобной проблемой, обходным решением будет начальная настройка в отдельной Wi-Fi подсети, имеющей соединение с Интернетом (но в целях безопасности изолированной от внутренней сети).

В этом случае адрес сервера Headwind MDM, находящегося во внутренней сети, будет недоступен. Чтобы операционная система Android смогла скачать приложение MDM, нужно в веб-панели Headwind MDM указать внешний ресурс для загрузки мобильного агента (com.hmdm.launcher), например, отсюда. Это делается во вкладке «Приложения».

После установки мобильного приложения Headwind MDM, переключитесь обратно в локальную сеть, чтобы мобильное приложение смогло связаться с сервером и получить конфигурацию.