管理

该管理页面允许您自定义包括隐私设置、集成配置及环境VPN设置在内的各项参数

该管理页面为用户提供访问审计日志的功能，可记录所有控制台活动（包括MDM连接）

常规设置

该常规选项卡提供环境的基本信息，包括公司信息及特定用户信息。

公司信息 ：包含租户ID、默认渠道（用于MDM集成）和方案等字段的常规信息。
已登录用户 ：显示当前登录控制台的用户信息。
更改密码 ：修改当前登录控制台用户的密码。若账户配置了SSO且禁用了本地登录，此链接将被禁用。
设置密码策略 ：为移动安全控制台用户定义密码要求。
首选语言 ：选择移动安全控制台使用的语言。
危险区域 ：当在 GravityZone MTD 中启用危险区域功能时，应用程序将在用户界面提供选项，以在客户环境中全局显示危险区域地图。未选择时，该选项将从 GravityZone MTD 中移除。危险区域默认禁用。
应用风险查询 ：允许您在 GravityZone MTD .
安卓电池优化 ：允许您将 GravityZone MTD 添加到安卓电池优化列表。启用此选项可确保应用在后台运行时设备仍受保护。此设置为租户级别配置。
隐私摘要 : 允许您在 GravityZone MTD 中为所有设备启用或禁用隐私摘要。启用此选项会向用户显示隐私摘要界面，该界面根据移动安全控制台的隐私策略设置，说明您的组织可以及无法从用户设备访问哪些信息。
三星Knox KPE许可证 : 有关此字段的信息，请参阅设置Knox KPE许可证章节。
设备闲置配置 : 此配置控制系统在判定设备处于休眠状态前的等待时长。
- 启用策略 : 需勾选此复选框才能设置其下方任何字段。
- 允许闲置时间 : 设备被视为闲置前可处于非活动状态的最长时间。在第一个框中输入有效数字，然后在右侧框中选择秒、分钟或小时。
- 警告间隔（宽限期） : 当设备超过允许闲置时间值后，将进入接收警告的宽限期。如需发送多次警告，此字段设置警告间隔时间。在框中输入有效数字，然后在右侧框中选择秒、分钟或小时。
- 最大警告次数 : 这是在宽限期或警告间隔字段中向设备发送推送通知或电子邮件的最大警告次数。输入“0”将禁用警告消息且不发送任何警告。
- 警告消息类型 : 当最大警告次数字段大于零时，可配置这些警告。
  - 向iOS设备发送通知 : 当设备处于非活动状态时，根据策略设置发送iOS推送通知。默认不勾选此复选框。
  - 向安卓设备发送通知 : 当设备处于非活动状态时，根据策略设置发送安卓推送通知。默认不勾选此复选框。
  - 向用户发送邮件（iOS设备） : 若iOS设备待激活或变为非活动状态，则根据策略设置向用户发送邮件。默认禁用此功能。
  - 向用户发送电子邮件（Android设备） ：根据策略设置，当Android设备待激活或变为非活动状态时，向用户发送电子邮件。默认情况下此选项处于禁用状态。
- 强制执行 GravityZone MTD 同时安装于Android企业版的工作和个人配置文件 ：仅当所有Android设备均使用Android企业版且具备双配置文件时勾选此框。启用后，仅当某一配置文件（工作或个人）安装该应用的时间超过“允许的非活动时间”设定值时，才会触发事件。
  
  注意
  
  对于Knox设备，请确保在Knox Configure设置中将MTD应用加入白名单，否则该应用可能被终止。更多信息请访问 Knox Configure 网站。

隐私设置

在隐私选项卡中，管理员可为每个已定义的群组 .

要应用隐私设置，请从下拉列表中选择目标群组，并从以下选项中选择模板：最大 , 高 , 中 , 低及 自定义 .

该 自定义 功能允许用户完全控制数据收集过程。

要修改自定义模板，请选择 自定义 选项并勾选所需配置的复选框。

选中某个设置后，点击部署。更新将推送至移动应用程序。

数据收集的时间范围如下：

登录时 ：当用户启动 GravityZone MTD .
威胁：检测到威胁时报告取证数据。
定期：每次 GravityZone MTD 向移动安全控制台报到时报告取证数据。包括Android设备开启Wi-Fi时、iOS设备锁屏后解锁时上报的事件。

本表列出了设备操作系统的默认条目及可用性。

	模板					设备操作系统
项目	最大	高	中	低	自定义	iOS	Android	Chrome
位置：街道					自定义
位置：城市					自定义
位置：国家					自定义
设备操作系统型号 IP地址					自定义
设备：运行进程					自定义
网络：连接详情					自定义
网络：运营商信息					自定义
网络：攻击者IP与MAC地址					自定义
网络：高风险或未授权网站					自定义
应用程序取证					自定义
应用程序二进制文件					自定义
应用程序清单					自定义
浏览器扩展清单					自定义
浏览器扩展取证					自定义

注意

若未满足指定条件，网络威胁缓解可能会遇到问题：当隐私策略配置为 自定义 时，必须启用威胁和定期部分的'网络'设置。

应用安装后，设备会初始化默认隐私策略，直至下载用户自定义策略。

若未启用取证数据配置项，威胁日志中的威胁详情可能不包含所访问的高风险站点。

注意

选择 高风险 或 未批准站点 选项将影响 隐私屏幕 在 GravityZone MTD .

禁用MTD位置权限提示

按以下步骤确保用户设备的MTD中不显示位置权限提示：

前往隐私选项卡（位于管理页面）。
将位置设置为无 .
前往 常规标签页 ，在管理页面中确保 MTD中的危险区域启用功能 未被勾选。
点击 保存并部署。

隐私变更已成功提交部署。

注意

对于安卓设备，需在 威胁策略 :

强制门户
危险区域连接
流氓接入点
中间人攻击
中间人攻击-ARP欺骗
中间人攻击-伪造SSL证书
中间人攻击-伪造SSL证书（自签名）
中间人攻击-SSL剥离
不安全WiFi网络

集成

该系统支持与环境中多个移动设备管理（MDM）实例及各类数据导出目标类型的同步集成。每个集成厂商的配置均独立，需根据客户支持门户中厂商专属的MDM集成指南填写特定参数。

集成部分包含以下子标签页：

MDM ：汇总并支持通过添加多个供应商实现MDM集成。
数据导出 ：汇总并支持集成以报告威胁，部分集成还可支持移动安全控制台用户活动。对于威胁导出，需配置威胁严重性过滤器等设置。

要配置MDM集成，请导航至管理 > 集成 .

添加MDM

添加MDM集成的步骤如下：

选择MDM供应商。
填写集成详细信息。
完成特定MDM的设置。

首先点击“添加MDM”按钮并选择要使用的供应商。

注意

具体集成文档请参阅相应MDM指南。按照特定供应商相关MDM指南中的说明完成集成。

指定MDM特定信息

添加或修改MDM集成时，会显示多个选项。MDM供应商的URL、用户名和密码为必填项。此外，用户需按下表配置电子邮件参数。可用电子邮件选项用于发送移动安全应用的激活链接。

选项	说明
为iOS设备发送设备激活邮件	启用此功能后，移动安全控制台将自动向用户发送每台从移动设备管理(MDM)系统同步的iOS设备的激活邮件。
为Android设备发送设备激活邮件	启用此功能后，移动安全控制台将自动向用户发送激活邮件，针对每台从移动设备管理（MDM）系统同步的安卓设备。

指定MDM群组

要选择同步群组，请在左侧栏中找到目标群组旁的绿色加号图标并点击。此操作会将指定群组转移至已选控制台群组列表。移除操作需点击红色减号。若要设置多个群组的优先级顺序，用户可拖拽群组按优先级从高到低排列。在移动安全控制台中，当用户属于多个群组时，策略和隐私设置将关联优先级更高的群组。图示为当前可用MDM群组列表的截图，其中已选中一个群组。

其他MDM集成

要集成其他MDM，请选择 添加MDM 按钮并输入相应参数。集成群组名称将附加供应商名称以标识同步来源。成功添加MDM集成后，摘要将显示在MDM集成列表中。

编辑MDM

要修改同步群组或其他参数，请按以下步骤操作：

进入主集成窗口并选择对应供应商
点击编辑按钮（与该供应商集成关联）

窗口将显示当前供应商集成设置。
您可在 群组筛选器 字段输入匹配前缀值，以查询显示在 可用设备群组 列表中的群组。
完成修改后如需手动同步，请点击 立即同步 （针对特定MDM集成）。

测试MDM

要验证MDM同步，请在MDM标签页点击该集成的测试按钮。测试将执行多项验证并显示每个测试项的通过状态。若发现问题，系统会提供解决建议。

以下适用领域将被测试：

登录凭证
群组
设备
用户
应用
配置文件

VPN设置

VPN设置选项卡提供与本地及远程VPN设置相关的信息。

本地VPN

控制台管理员可为SSID或Wi-Fi网络添加可定制的DNS服务器列表。该列表由 GravityZone MTD 生成，并在连接特定Wi-Fi网络时被本地VPN调用。DNS服务器定义有助于在启用反钓鱼措施和本地VPN的情况下，更广泛地访问企业内网页面。

可添加多个SSID行，每行包含两个DNS值。IP地址后可附带端口号，用冒号分隔。

远程VPN（仅限iOS）

运行于iOS设备的移动安全应用可定义VPN配置。该VPN可在事件触发时激活，从而保护设备免受所有潜在网络安全威胁。

正确配置VPN需在指定页面输入以下信息：

用户名
密码
服务器地址
共享密钥
组名
简短描述

注意

当前仅支持IPSEC类型的VPN。

VPN配置完成后，相关操作将显示于策略页面> 威胁策略 > 设备操作 .

网络沉洞设置

对于iOS和Android设备，可在威胁策略中启用网络路由或域名的沉洞操作。

此配置需在管理页面选择网络沉洞设置选项卡完成。

从以下两个选项中选择其一：
- 阻止所有网络访问，但允许下方列出的IP地址范围/域名。
- 允许所有网络访问，但阻止下方列出的IP地址范围/域名。
根据用户用例选择类别并添加以下内容：
- IP地址。
- 域名。
- 国家/地区。

关于审计日志

所有活动均受监控并记录在管理页面的审计日志中。

要通过列进行搜索和筛选数据，只需点击列上显示的三角形图标。点击相应列标题即可实现排序。

某些日志条目可通过选择更多链接或关联特定行的按钮获取额外信息。在MDM同步期间，移动安全控制台会记录统计数据和可能发生的潜在问题。审计信息被整合为统一事件列表，便于排序和筛选。

白名单设置

该移动安全控制台为管理员提供SSL证书白名单、抑制特定威胁的Wi-Fi接入点以及应用程序开发者的管理功能。

证书

证书白名单流程允许管理员通过抑制特定威胁来降低风险。

白名单选项卡的功能是让用户上传具有PEM或CRT文件扩展名的SSL证书文件。

这些文件用于验证网站身份，使其免受特定类型威胁的影响：

MITM - 伪造SSL证书
MITM - SSL剥离

注意

证书可以是叶证书、中间证书或根证书，但推荐使用叶证书。代理白名单需使用RSA 2K或4K密钥的证书。

Wi-Fi接入点

管理员可通过配置Wi-Fi接入点来降低特定安全风险。为使管理员及时知晓用户连接至高危Wi-Fi接入点的情况，可能需要将企业内部已知且受信任的Wi-Fi网络从接入点威胁列表中排除。

您可将这些已知网络加入白名单，从而避免为其生成威胁告警：

未加密Wi-Fi网络
强制门户
已连接危险区域
附近危险区域

注意

内部网络列表通过SSID、BSSID及接入点IP地址定义，需上传包含该网络信息的CSV文件进行配置。

应用开发者

用户需将应用加入白名单时，可通过两种方式实现：

通过威胁日志白名单

若从iOS或Android系统生成侧载应用事件且设备仍连接至移动安全控制台时，用户可通过点击'白名单应用开发者'按钮将该事件标记为允许。

此功能利用开发者证书验证并授权所有关联应用，将其标记为允许的授权应用。

企业侧载应用不会被这些应用识别为威胁。

通过管理页面白名单

第二种应用白名单方式是通过移动安全控制台的'管理'导航选项。

点击管理导航面板中的选项。
点击 白名单 标签页。
点击 应用开发者 标签页。
点击 上传应用 按钮上传应用文件（.ipa或.apk格式）。

注意

要将应用开发者加入白名单，必须先上传该应用。
浏览并选择应用。
点击打开按钮选择要加入白名单的应用。
点击部署 .

移除应用的步骤如下：

勾选应用左侧的复选框。
点击操作栏的下拉菜单。
选择 从白名单移除 .

要应用添加或移除操作，请确保点击部署将所有更改推送到设备。

访问控制

管理员可设置自定义分类列表（也称为访问控制列表）。该列表允许管理员覆盖默认分类及对应操作，并可添加更多网站至列表、分配分类并定义所需操作。一个或多个群组可引用同一自定义分类列表。

管理访问控制列表

要管理这些列表，请点击管理页面中的访问控制标签页。在此标签页中，您可以：

输入URL并检查其分类。
查看哪些群组正在使用自定义分类列表。
下载示例CSV文件以导入自定义分类列表。
以CSV文件格式导入或导出自定义分类列表。
导航至钓鱼和内容过滤策略设置页面。
创建、重命名、修改或删除自定义分类列表。

注意

CSV文件大小上限为1MB或1000条条目。域名或URL描述的最大字符数为256。若导入请求报错，请下载示例CSV文件。

描述站点时需输入完整URL或域名。站点URL或域名值中不可使用通配符或特殊字符，否则该值将被忽略。

要检测使用HTTPS/TLS的站点，站点必须仅包含域名。完整URL仅适用于HTTPS/非TLS站点。

在页面右侧的 网站分类检查器 框中输入URL或域名并点击检查按钮。界面将更新显示该站点的分类，并展示URL被引用的其他列表。 "使用此列表的群组"区域显示引用该列表的群组。点击 前往钓鱼防护与内容过滤功能 可返回 策略页面 及 钓鱼与内容过滤 选项卡管理群组详情。

仅当 访问控制列表 未被任何群组引用时方可删除。 使用此列表的群组 区域显示引用该列表的群组。删除前必须解除该列表与所有群组的关联。

本节内容 :

管理