黑莓集成指南
黑莓目前有两款产品可与 移动安全 :
-
统一终端管理服务器(原称BES)
-
黑莓动态平台(原称Good Dynamics)
先决条件
为实现MDM设备与UEM的集成,需在Bitdefender 移动安全 控制台与UEM API服务器之间建立连接。通过TCP端口17433和18084的SSL协议实现互联网通信。此外,对于本地部署的UEM管理服务器,移动控制台必须能够通过端口17433或18084连接至API服务器。
|
项目 |
具体要求 |
|---|---|
|
已注册UEM MDM的设备 |
UEM V12.4版本 注意iOS应用配置仅支持UEM V12.6及以上版本。 |
|
UEM管理控制台中的API管理员账户 |
了解如何设置API管理员账户 此处 . |
|
访问UEM服务器特定TCP端口 |
TCP 17433和18084端口 |
|
MDM密码 |
请勿在MDM访问密码字段中使用冒号(:),或使用`password`作为密码值。 |
注意
MDM集成不支持UEM云版本(SaaS管理服务器),因其缺乏MDM集成所需的API支持。该功能仅支持本地部署的UEM产品。
MDM与 移动安全 控制台通信
该 移动安全 控制台已配置为启用API访问,以实现与UEM控制台的信息共享。当检测到事件时, GravityZone MTD 会参考设备的现有威胁策略,并将指定的MDM操作指令传送至 移动安全 控制台服务器。随后服务器与对应UEM API服务器建立通信,并传输执行指定操作所需的命令。
控制台集成:BlackBerry UEM与 移动安全 控制台
完整的MDM同步
在MDM集成配置期间完成初次完整同步后,系统会按照硬编码频率定期运行同步进程。
-
新注册设备:若用户组中的新用户用于同步,这些用户及其设备将被添加到 移动安全 控制台。
-
注销用户/设备(通过UEM MDM移除):若用户被注销,则将从 移动安全 控制台中移除。此操作不会删除与该用户或设备相关的任何事件记录。
按需设备同步
当新注册设备被推送应用并尝试在MDM同步前登录时, 移动安全 控制台将执行按需设备同步。控制台从 GravityZone MTD 获取用于身份验证的标识信息,并与对应UEM MDM进行匹配。匹配成功后, 移动安全 控制台会从配置的MDM中获取该设备及用户信息,使应用通过认证并继续运行。此类同步会随着设备激活逐步添加设备。
先决条件
为确保同步正常运行, GravityZone MTD 需按以下方式部署:
-
iOS :需将包含租户ID和默认通道的应用配置与推送应用关联,以实现按需设备同步。
-
Android :需使用企业版Android实现自动激活。对于原生Android系统,请使用 移动安全 控制台提供的激活URL。
同步设置
要配置同步,请按以下章节描述的步骤操作。
设置UEM管理员用户
要设置并创建具有适当角色访问权限的UEM管理员,请按照以下步骤操作:
选择“管理员”,然后选择“角色”。-
在导航面板中,选择“设置”。
-
选择“管理员”,然后选择“角色”。
-
点击图标以添加角色。
-
输入名称和描述。
-
勾选以下复选框:
-
群组管理
-
所有群组和用户
-
-
用户与设备
-
查看用户和已激活设备
-
管理设备
-
管理BlackBerry Dynamics应用
-
查看群组设置
-
-
在UEM中设置用户群组
创建一个或多个包含待保护设备的用户群组(如果尚未选择)。 移动安全 控制台使用用户群组同步用户和设备。 确保TCP端口18084已开放,并将用户添加到用户群组中。
在Bitdefender中设置用户与设备同步 移动安全 控制台
要在 移动安全 控制台中设置MDM集成:
-
登录 到 移动安全 控制台。
-
转到 管理 页面。
-
选择 集成 .
-
点击 添加MDM 并选择要使用的MDM集成方案。
-
在表格中输入与UEM集成列表相关的信息,然后点击 下一步 .
字段
描述
URL
UEM API服务器的URL。例如,在URL末尾添加':18084/SRP_ID',其中SRP_ID是服务器路由协议标识符(SRP ID)。该SRP ID可在用户BlackBerry账户的“我的账户”标签下的服务器部分找到。
每个服务器具有不同的SRP ID。也可联系BlackBerry代表获取帮助。例如:https://se-lab-uem2.zdtmdc.com:18084/S62887113
用户名
已创建的具有所需角色访问权限的UEM管理员账户。
密码
UEM管理员的密码。
MDM名称
用于在 移动安全 控制台中代表此MDM集成的内部名称。
后台同步
勾选此框以确保用户/设备在定期同步窗口与下一页选择的UEM用户组保持同步。
屏蔽导入的用户信息
勾选此框以屏蔽用户的个人身份信息,例如姓名和电子邮件地址。
通过 移动安全 iOS设备控制台
勾选此框,为每台与MDM同步的iOS设备向用户发送邮件。
通过以下方式发送设备激活邮件 移动安全 Android设备控制台
勾选此框,为每台与MDM同步的Android设备向用户发送邮件。
-
点击 下一步 并选择要同步的用户组。可用组将显示在“可用设备组”列表中,可通过点击加号(‘+’)移动到“已选 移动安全 控制台组”列表。点击减号(‘-’)可撤销操作。
-
点击 下一步 .
-
指定MDM警报 若需在MDM同步错误时接收通知。如需多个邮箱地址,请用逗号分隔。
-
点击 完成 保存配置,并通过点击 立即同步 .
应用程序部署与激活
要通过UEM部署应用,可从各自应用商店下载iOS和Android版本。
在公开商店发布应用的步骤:
-
在App Store或Google Play商店创建新应用,搜索 GravityZone MTD 应用。
-
将应用添加为公共应用。若使用自动激活,请根据“企业激活”章节中iOS和Android的指定值配置应用。
-
将用户组分配给该应用并发布。
-
应用将安装在指定用户组的设备上
iOS零接触激活 GravityZone MTD
该功能使管理员能够在受管理设备上启用威胁防护,而无需终端用户与已安装应用进行交互。下图概述了交互流程。
设置概览
以下描述了为零接触激活和威胁报告设置的条目:
-
BlackBerry UEM为设备设置了用户组。
-
设备已在MDM中注册。
-
VPN配置文件最初会被推送到设备。
-
应用程序被推送到设备。
-
-
该 移动安全 控制台已将MDM定义为集成项。
-
该 移动安全 控制台为“应用待激活”威胁设置了MDM操作和缓解操作。
以下步骤描述了零接触激活配置后的示例流程:
-
该 移动安全 控制台策略页面针对“应用待激活”威胁设置了MDM操作,将设备加入与VPN配置文件关联的用户组,从而安装VPN配置文件。
缓解操作字段设置为“移除”,一旦 GravityZone MTD 被激活,VPN配置文件将从设备中移除。
-
MDM将应用和VPN配置文件推送到设备。
-
设备上会通过VPN配置文件显示“安装应用”通知,但终端用户尚未激活应用。
-
设备上会生成威胁,例如“设备PIN”威胁。
-
VPN配置文件显示设备上的威胁通知,而移动安全应用仍未启动。
-
该威胁可在 移动安全 控制台威胁日志页面查看,且:
-
应用名称显示为“VPN扩展”。
-
检测状态显示设备为“活跃”状态。
-
应用状态显示设备为“待激活”状态。
注意
此威胁记录于管理页面设置的“允许闲置时间”休眠期之后,位于 移动安全 控制台。
-
-
用户启动 GravityZone MTD 并激活该应用。
-
检测状态显示设备为“活跃”状态。
-
应用状态显示设备为“活跃”状态。
-
设置零接触配置
本组说明描述了零接触应用激活及工作流的设置方法。此选项可在终端用户设备上未激活 GravityZone MTD 的情况下检测威胁(该应用通过MDM推送)。系统会提示用户打开 GravityZone MTD ,但并非强制操作。在用户激活应用前,VPN配置文件将持续在设备上运行。
配置零接触激活需执行以下步骤:
-
登录BlackBerry UEM控制台。
-
确保以下配置已完成(具体说明参见 此处 .
-
在BlackBerry UEM控制台中创建共享证书配置文件:导航至指定位置并点击加号图标。
策略与配置文件 > 证书 > 共享证书
注意
证书内容可灵活设置,仅需存在即可,因此任何.pfx或.p12扩展名的证书均可接受。
-
导航至该位置
策略与配置文件>网络与连接>VPN,点击加号图标并添加VPN配置文件。 -
打开初始步骤中创建的用户组。确保VPN配置文件与该用户组关联、共享证书与该用户组关联,且已将相应应用设为必装应用。
在 移动安全 控制台上设置零接触激活
要将 移动安全 控制台与BlackBerry UEM MDM集成以实现零接触激活,请执行以下步骤:
-
登录 移动安全 控制台。
-
导航至“管理”页面和“集成”选项卡,添加BlackBerry UEM MDM。
-
在“策略”页面的“威胁策略”选项卡中导航至威胁策略。
-
从“所选组”字段中选择组。此值为设备的原始用户组。
-
使用MDM操作和缓解操作字段值更新“待激活应用”威胁。
-
保存并部署您的更改。
iOS: GravityZone MTD 自动激活配置
当应用被推送到设备时, GravityZone MTD 会利用应用配置。这为用户提供了最佳的iOS用户体验,允许用户无需输入任何密码即可启动 GravityZone MTD for iOS。应用配置会将必要信息预加载到iOS应用中。 首先,将 GravityZone MTD for iOS设为公共应用。 此配置在UEM中进行。在添加应用步骤中,可以定义添加应用配置。
-
如果当前已定义应用,请编辑该应用并滚动至底部。
-
点击加号(+)以添加带有键和值的应用配置。
-
点击“保存”。
-
在将此应用分配给组时,确保选择要使用的应用配置。
Android: GravityZone MTD 自动激活配置
Android Enterprise(Android for Work)用户可使用托管应用配置进行激活。管理员必须确认配置参数传递的是正确的设备标识符值。
对于原生Android设备,激活需使用激活URL。这些URL通过 移动安全 控制台或MDM发送给终端用户。点击 GravityZone MTD 而无链接不会激活Android设备上的应用。当用户通过激活URL链接运行应用时,将激活并下载正确的威胁策略。这些可通过 移动安全 控制台或MDM发送给终端用户。
要获取激活链接,请访问 移动安全 控制台的“管理”页面,选择“集成”标签页。添加MDM后,系统会为设备提供激活链接。该链接需与MDM设备标识符拼接使用。 移动安全 控制台页面会显示过期日期和时间,必要时可重新生成链接。
管理员通过邮件或短信将拼接好的激活链接发送给用户,并附上接受推送应用的指引。
BlackBerry Dynamics(MAM/容器化选项)
UEM中的Dynamics安全移动平台为公司知识产权提供额外保护。BlackBerry用户与 移动安全 控制台同步,后者会告知BlackBerry Dynamics在不同情境/威胁下需采取的设备保护措施。这些措施通过威胁策略选择。
先决条件要求
|
项目 |
具体要求 |
|---|---|
|
BlackBerry Dynamics或UEM管理控制台中的管理员账户 |
确保管理员账户具有下文定义的角色。 |
|
BlackBerry Dynamics服务器上的公共SSL证书 |
公共证书需受外部信任(来自可信CA)。 |
|
访问BlackBerry Dynamics服务器特定TCP端口 |
TCP/18084 TCP/17433 |
|
运行许可 GravityZone MTD 适用于BlackBerry Dynamics试用或概念验证期间。 |
导航至请求URL |
BlackBerry Dynamics与 移动安全 控制台通信
该 移动安全 控制台配置为通过API访问与BlackBerry Dynamics服务器共享信息。当 GravityZone MTD 检测到事件时,会查询当前威胁策略,若定义了特定合规操作,则会将该操作传达至 移动安全 控制台服务器。
控制台集成
移动安全 控制台与BlackBerry Dynamics控制台
设备通过计划同步流程进行管理,新增用户会被添加至 移动安全 控制台移动安全控制台并从控制台移除。当前所有在BlackBerry Dynamics控制台激活的设备均会同步。
设置同步步骤:
-
创建具有以下权限角色的BlackBerry Dynamics管理员账户。
-
导航至设置并选择管理员。
-
选择角色。
-
点击图标添加角色。
-
此账户用于同步。
-
确保以下端口在UEM Dynamics服务器入站方向开放:
-
在 移动安全 控制台中,通过以下步骤创建MDM集成:
-
在导航菜单点击管理并选择集成选项卡。
-
点击添加MDM。
-
选择BlackBerry UEM图标。
-
输入该集成特有的参数值。
-
点击下一步,选择要同步的用户组。可用设备组会显示在“可用设备组”列表中,可通过点击加号(‘+’)移动到“已选 移动安全 控制台组列表”。点击减号(‘-’)可撤销操作。
-
点击下一步。
-
如需在MDM同步出错时接收通知,请指定MDM警报。多个邮箱地址需用逗号分隔。
-
点击完成。
-