Оглавление

• Создание сервисной УЗ в Active Directory

• Установка компонента и настройка IIS

• Редактирование конфигурационных файлов:

  • Редактирование конфигурационного файла UC;

  • Редактирование конфигурационного файла MDP;

  • Редактирование конфигурационного файла IDP;

• Настройка Exchange

• Лицензирование
• Интерфейс сервиса
• Сбор логов
• Полезное

1. Создание сервисной УЗ в Active Directory
   
   Создаем в AD учетную запись с правами на чтение атрибутов, которая будет использоваться для взаимодействия Exchange с AD, например Mail Admin.
   
   
   
   
   
2. Установка компонента и настройка IIS
   
   Установка.
   Файл для установки IndeedAM.MobileDevProv-v8.2.2.x64.ru-ru.msi расположены в директории indeed AM <номер версии>/Indeed AM Mobile Device Provisioning/<номер версии>.
   По завершении установки будет предложено сгенерировать новый сертификат IDP. Сертификат необходим для аутентификации в сервис через Identity Provider.
   
   
   
   Настройка IIS
   После установки сервиса нужно добавить сервисную УЗ в удостоверение пула приложений в IIS и выставить параметр Загрузить профиль пользователя в значение true, а также выставить параметр Версия среды CLR .NET в значение Без управляемого кода.
   
   
   • Добавление УЗ в удостоверение пула приложений в IIS и выставление параметра Загрузить профиль пользователя в значение True:
     
     
     • Откройте оснастку Internet Information Services;
     • В меню слева разверните узел, соответствующий серверу Indeed Access Manager;
     • Выберите Пулы приложений;
     • В списке выберите IndeedAM.MDP;
     • В открывшемся меню справа выберите Дополнительные параметры;
     • В открывшемся окне Дополнительные параметры выберите Удостоверение и нажмите на значок с тремя точками;
     • В открывшемся окне Удостоверение пула приложений выберите Особая учетная запись и установите созданную сервисную запись Active Directory;
     • Нажмите ОК. Окно Удостоверение пула приложений закроется;
     • В окне Дополнительные параметры выберите Загрузить профиль пользователя и в выпадающем списке выберите значение True;
     • Сохраните изменения.
       
       
       
       

   • Выставление параметра Версия среды CLR .NET в значение Без управляемого кода
     
     

     • Откройте оснастку Internet Information Services;
     • В меню слева разверните узел, соответствующий серверу Indeed Access Manager;
     • Выберите Пулы приложений;
     • В списке выберите IndeedAM.MDP;
     • В открывшемся меню справа выберите Основные настройки;
     • Разверните выпадающий список для параметра Версия среды CLR .NET и выберите значение Без управляемого кода;
     • Нажмите ОК.
       
       
       
       
       
       
3. Редактирование конфигурационных файлов
   
   

   •  Редактирование конфигурационного файла UC:

     • Откройте конфигурационный файл web.config, который находится в директории C:\inetpub\wwwroot\am\uc;

     • В секцию configSections добавьте строку: section name="amMobileDeviceProvisioning" type="IndeedID.Web.SelfService.Settings.MobileDeviceProvisioningSettings";
       
       
       
       

     • В строке amMobileDeviceProvisioning isEnabled="false" url="MOBILE_DEVICE_PROVISIONING_URL/device/embed", в параметре isEnabled укажите значение true (чтобы настроить отображение вкладки в UC), в параметре url нужно указать адрес сервиса Exchange для iframe (ссылка до компонента mdp);
       
       
       
       

   • Редактирование конфигурационного файла MDP:
     
     

     • Откройте конфигурационный файл app-settings.json, который находится в директории C:\inetpub\wwwroot\am\mdp;
       
       

     • В секции Exchange, в параметре ServerUrl нужно указать адрес ExchangeServer в формате http(s)://полное_dns_имя_сервера/Powershell;
       
       
       
       

     • В секции Server, в параметр URL указать адрес LogServer в формате http(s)://полное_dns_имя_сервера/ls/api/;
       
       
       
       

       При работе с сервисом подготовки мобильных устройств Log Server записывает следующие события:

        

       • пользователь успешно вывел мобильное устройство из карантина;

       • не удалось вывести мобильное устройство из карантина;

       • пользователь заблокировал мобильное устройство;

       • не удалось заблокировать мобильное устройство.
         
         

     • В секции SAML/LocalServiceProviderConfigyration, в параметре Thumbprint требуется указать отпечаток сертификата MDP.
       

       В секции SAML/PartnerIdentityProviderConfigurations в параметрах SingleSignOnServiceUrl и SingleLogoutServiceUrl указать URL сервиса IDP в формате http(s)://полное_dns_имя_сервера/am/idp/Account/SsoService и https:// полное_dns_имя_сервера/am/idp/Account/SloService;
       В параметре Thumbprint требуется указать отпечаток сертификата IDP;
       
       
       

        

   • Редактирование конфигурационного файла IDP:
     
     

     • Откройте конфигурационный файл app-settings.json, который находится в директории C:\inetpub\wwwroot\am\idp;

     • В секции SAML/PartnerServiceProviderConfigurations  в параметрах SingleLogoutServiceUrl указать URL сервиса mdp в формате http(s)://полное_dns_имя_сервера/am/mdp/Account/SLOService;
       В параметре Thumbprint требуется указать отпечаток сертификата MDP;
       
       
       

     • В секции CustomAttributes в параметре ServiceProvider указать urn сервиса и атрибуты, например:
       
       

       	{
       	        "ServiceProvider": "urn:indeedid:mobiledeviceprovisioning",
       	        "Attributes": [
       	          {
       	            "Name": "user_name",
       	            "UserNameFormat": "PrincipalName"
       	          }
       	        ]
       	      }
       

       
       
       
       

       ВАЖНО!
       Для аутентификации в сервис подготовки мобильных устройств используется Identity Provider. Если User Console и Identity Provider находятся на разных машинах и у них разные доменные имена, то в конфигурационный файл Identity Provider web.config необходимо добавить заголовок Content-Security-Policy.
       

       Пример:

       <customHeaders>
       <add name="Content-Security-Policy" value="frame-ancestors 'self' https://*.domain.local" />
       </customHeaders>

       
       

4. Настройка Exchange
   
   

   • Требуется проверить URL по пути: servers - virtual directories - PowerShell - Internal URL, он должен совпадать с тем, что мы указывали в конфиге MDP;
     
     
     
     

     Конфигурационный файл MDP:
     
     
     
     

   • Нужно создать Административную роль и задать требуемые права, а также добавить в неё сервисную УЗ;
     permissions - admin roles - new(+):

     • Название роли указываем произвольное;
       
       

     • Требуемые права:

       • Mail Recipients — необходимы для получения данных по устройствам;

       • Mailbox Search — необходимы для получения электронного адреса. Если этих прав не будет, то под сервисной учетной записью можно будет получить только свой электронный адрес;

       • Organization Client Access — необходимы для предоставления доступа к устройству и для блокировки.
         
         

     • УЗ добавляем сервисную, ранее созданную в AD;
       
       
       
       
       

5. Лицензирование
   
   

   Для работы с MDP требуется лицензия, при авторизации в сервис происходит её захват.
   
   
   
   

6. Интерфейс сервиса
   
   
   
   
7. Логирование
   
   

   Включение логов осуществляется в конфигурационном файле: C:\inetpub\wwwroot\am\mdp\nlog.config;
   Для тега logger в параметре minlevel установите значение Trace, в параметре enabled установите true.
   
   
   
   

8. Полезное
   

   
   Во время тестирования сервиса может возникнуть необходимость принудительно ввести устройство в карантин, для этого можно использовать следующую командлету в PS:
   
   

   Set-CASMailbox useram@cds.local -ActiveSyncAllowedDeviceIDs $null