Ivanti MDM集成指南
该 GravityZone MTD 可检测恶意活动,并根据平台类型在本地执行预设操作。当应用与MDM集成时,相关操作可由MDM执行,从而提供更强大的防护能力。
前提条件
|
项目 |
要求 |
|---|---|
|
已注册的Ivanti/MobileIron MDM设备(非集成版) |
Core:最低版本v9 云服务(当前SaaS版本) |
|
搭载Ivanti Neurons移动威胁防御功能的MobileIron Core |
Core:v9.6.0.1 iOS Mobile@Work MDM代理:v9.7.0 Android Mobile@Work MDM代理:v9.6.0 (支持本地应用操作需Core v10.0.0.1及Mobile@Work v10版本) |
|
搭载Ivanti Neurons移动威胁防御功能的MobileIron Core |
MobileIron Cloud第52版 iOS版MobileIron Go客户端:v3.2 Android版MobileIron Go客户端:v2018.04.23 |
|
MobileIron管理控制台中的API管理员账户 |
根据以下章节定义的权限进行设置 |
|
MDM密码 |
MDM访问密码字段中请勿使用冒号(:),或使用`password`作为密码值 |
MDM与 移动安全 控制台通信
该 移动安全 控制台服务器通过REST API调用与MobileIron控制台共享信息。当 GravityZone移动威胁防御 检测到事件时,会查询设备上的当前威胁策略,若涉及MobileIron的操作,则本地执行或通知 移动安全 控制台。随后 移动安全 控制台会连接对应MobileIron API服务器,发送指令执行配置操作
Ivanti Neurons移动威胁防御与MobileIron Core
在此配置中,MobileIron威胁防御功能已通过MobileIron Core的Mobile@Work代理激活 GravityZone移动威胁防御 无需推送至设备,因其引擎已集成至Mobile@Work代理。此场景下,MobileIron Mobile@Work代理通过激活码配置启用威胁引擎,并在设备注册至MI Core时与相应 移动安全 控制台通信。MI控制台中定义的可响应威胁的操作包括:设备脱网时本地执行;设备联网时由控制台发起
由于MobileIron威胁防御功能由Mobile@Work代理提供,需通过激活码更新设备代理以启用该功能。iOS与Android操作方式不同,但均需相同MobileIron激活码。该激活码将在下一步完成MobileIron Core MDM集成后获取
在MobileIron Core控制台中设置同步
要创建具有适当API访问权限及通用平台服务权限的MobileIron管理员,请按以下步骤操作:
-
登录MobileIron Core控制台后,主 仪表盘 窗口将打开。
-
沿顶部多个选项卡点击 管理员 .
-
勾选CPS用户复选框,并从左上角操作下拉菜单中选择 编辑角色 .
-
随后 管理员角色 弹出窗口将打开。
注意
若使用MobileIron Core 10.8或更高版本,请在设备管理部分勾选「应用和移除设备标签」复选框(如下所示)。若使用早于10.8的版本,则无需此权限。
-
向下滚动至 隐私控制 部分,勾选 查看设备详情中的应用和电子书 及「定位设备」复选框。
-
继续滚动到 标签管理 部分,勾选 查看标签 及 管理标签 .
-
最后滚动至 其他角色 部分。
注意
若使用MobileIron Core 10.8或更高版本,请勾选Common Platform Services (CPS)复选框。若使用10.8之前版本的MobileIron Core,则需额外权限。请勾选API复选框。
-
点击 保存 .
在移动安全控制台中设置用户与设备同步
下一步需选择一个或多个标签(若尚未定义现有标签),用于包含待保护设备。移动安全控制台应用通过这些标签同步设备并将用户与移动安全控制台关联。
在移动安全控制台中设置MDM集成:
-
登录 移动安全控制台。
-
进入 管理 页面。
-
选择 集成 .
-
点击 添加MDM 并选择要使用的MDM集成。
-
在表格中输入与UEM集成列表相关的信息,然后点击 下一步 .
字段/选项
说明
URL
MobileIron API服务器的URL。
用户名
具有API角色访问权限的MobileIron管理员账号。
密码
MobileIron管理员的密码。
MDM名称
在移动安全控制台中用于引用此MDM集成的名称。该名称会作为前缀与组名结合,构成移动安全控制台中的组名。
允许列表中的MDM托管应用
添加或编辑MobileIron MDM时,用户可选择将始终被视为安全的iOS和Android应用加入允许列表(白名单)。启用此选项后,当用户设备上打开允许的应用时,系统将不会检查其漏洞。 对于Android,允许列表适用于"可疑Android应用"、"不合规应用"和"侧载应用"威胁。对于iOS,允许列表适用于"可疑iOS应用"和"不合规应用"威胁。 在MobileIron MDM中启用此选项后,下一步需在移动安全控制台添加需要允许(白名单)的应用。
后台同步
勾选此选项可确保用户/设备与下一页选择的MobileIron标签保持同步。
隐藏导入的用户信息
勾选此选项可在显示时隐藏用户的个人身份信息(如姓名或电子邮件地址)。
通过移动安全控制台发送iOS设备激活邮件
勾选此选项将为每个与MDM同步的iOS设备向用户发送邮件。
通过移动安全控制台发送Android设备激活邮件
勾选此选项将为每个与MDM同步的Android设备向用户发送邮件。
-
点击 下一步 并选择要同步的用户组。可用组将显示在"可用设备组"列表中,点击加号('+')可将其移至"选定的移动安全控制台组"列表。点击减号('-')可撤销此操作。
-
点击 下一步 .
-
指定MDM警报 若希望在MDM同步出错时接收通知,可在此设置。如需多个邮箱地址,请用逗号分隔。
-
点击 完成 保存配置,并通过点击 立即同步 .
启用Ivanti Neurons MTD
完成有效的MobileIron MDM集成设置后,获取MobileIron威胁防御的激活码并将其应用于设备上的Mobile@Work代理。
在iOS中启用Ivanti Neurons MTD
按照上述流程操作后,需执行以下步骤在iOS设备上启用Ivanti Neurons MTD:
-
登录移动安全控制台并导航至 管理 ,然后选择 集成 和 MDM .
-
找到刚刚配置的MobileIron实例,并将MobileIron激活代码复制到剪贴板。
-
登录MobileIron控制台。
-
导航至 应用 并选择 应用目录 .
-
找到 iOS Mobile@Work 条目。如果不存在,请从App Store添加并关联所需标签。
-
点击Mobile@Work应用并 编辑 .
-
确保启用以下选项(设置为“是”)。
-
允许将应用从未管理模式转换为管理模式。
-
在设备注册或激活时发送安装请求或将未管理应用转换为管理应用的请求。
-
向隔离设备发送安装或将未管理应用转换为管理应用的请求。
-
-
在“托管应用配置”下,点击 添加+ .
-
为此 应用配置 .
-
点击 展开 .
-
输入 激活码 .
-
启用 激活 .
-
保存 设置。
-
在Android中启用MobileIron威胁防御
-
登录移动安全控制台并导航至 管理 ,然后选择 集成 与 MDM .
-
找到刚配置的MobileIron实例,将MobileIron激活码复制到剪贴板。
-
登录MobileIron控制台。
-
创建包含以下内容的XML文件:
<?xml version="1.0" encoding="UTF-8"?><bitdefender><token>插入激活令牌</token></bitdefender>
-
确保文件保存后没有多余的换行符或回车符。
-
在MobileIron控制台中,导航至 策略与配置 ,选择 配置 并点击 新增
-
导航至 Android ,并选择 Android XML 配置 .
-
输入此配置的 名称 。
-
提供描述信息。
-
选择 Bitdefender 作为 配置类型 .
-
浏览并上传之前创建的 XML 文件。
-
勾选 我同意 复选框,然后点击 保存 .
-
为此新的 Android XML 配置分配所需的 标签 。
现在,Ivanti Neurons MTD 已在 iOS 和 Android 上启用。当用户注册设备时,激活码会发送至 Mobile@Work 代理,Ivanti Neurons MTD 随即启动。
设备会立即显示在 Mobile Security Console 的默认组中,MDM 集成自动同步后,将显示在分配的组中。
GravityZone MTD 与 MobileIron Core 的集成
以下部分描述了 MobileIron Core 与 GravityZone MTD .
应用程序部署
若用户未使用MobileIron威胁防御, GravityZone MTD 可被部署。要通过MobileIron部署该应用,需先从iOS的公共App Store和Android的Google Play Store下载,随后按提供的步骤进行部署。
登录访问MobileIron Core平台。若无适合的应用部署标签可用,则应创建新标签。开发一个新型内部应用,并上传相应的应用文件(iOS为IPA,Android为APK)至MobileIron。为应用添加标签后继续发布流程。
-
创建需部署 GravityZone MTD .
-
进入设备菜单点击用户,选择标签后点击添加标签。
-
输入标签名称及简短描述。
-
点击保存。
-
-
上传 GravityZone MTD .
-
前往应用菜单选择添加+。
-
点击下一步,在后两个界面按需添加/更新信息后点击完成。
-
应用现已准备就绪可进行部署。
-
-
将步骤1创建的标签分配给该应用。
-
勾选刚导入应用前的单选按钮,点击操作菜单选择应用到标签。
-
选择步骤1创建的标签并点击应用。
-
-
将该标签分配给所有需受 GravityZone MTD .
-
导航至设备与用户菜单选择设备。
-
勾选所有待保护设备旁的单选按钮。
-
点击操作菜单后选择应用到标签。
-
选择需应用的标签并点击应用。
-
同步
完整MDM同步
在MDM集成设置期间的初始完整同步后,计划同步进程每四小时运行一次。
按需设备同步
由于MDM同步存在四小时的时间窗口,有时会出现新MDM用户的 GravityZone MTD 已推送至设备,但在设备实际完成MDM同步前就尝试启动的情况。移动安全控制台通过以下方式处理:当 GravityZone MTD 尝试激活但尚未存在相关信息时,执行按需设备同步。
移动安全控制台应用程序从用于身份验证的应用程序接收识别信息,并将其与对应客户进行匹配验证。匹配成功后,移动安全控制台会从为该客户配置的MDM中检索设备及用户信息。此时该设备上的应用程序即完成认证并允许继续操作。为实现此功能,应用程序需按以下方式部署:
iOS
将PLIST文件与 GravityZone MTD 关联,该文件会下传用于按需设备同步的字段。具体说明请参阅自动激活/高级应用程序部署章节。
Android
此功能需使用Android企业版实现自动激活。原生Android系统请使用移动安全控制台激活URL。有关此主题的更多信息,请联系客户支持团队。
设置同步
-
创建具有适当API访问权限的MobileIron管理员。
-
导航至设备与用户,选择用户,点击添加,然后选择添加本地用户。
-
接着选择管理员标签页,将打开如图所示的窗口。
-
勾选API管理员用户复选框,点击左上角操作按钮,从下拉菜单中选择编辑角色。
-
将弹出管理员角色窗口。若使用MobileIron Core 10.8或更高版本,请在设备管理部分勾选应用和移除设备标签复选框(如下所示)。10.8之前版本则无需此权限。
-
向下滚动至隐私控制部分,勾选查看设备详情中的应用程序和ibooks以及定位设备复选框
-
向下滚动至标签管理部分,勾选查看标签和管理标签复选框
-
向下滚动至其他角色部分。若使用MobileIron Core 10.8或更高版本,请勾选通用平台服务(CPS)复选框;若使用10.8之前版本,则需额外权限,请在其他角色部分勾选API复选框
-
点击弹窗底部的蓝色保存按钮。
-
若不存在包含受保护设备的标签,请创建一个或多个。移动安全控制台将使用这些标签来同步设备及其关联用户。
iOS零接触激活 GravityZone MTD 用于MobileIron Core
此功能允许管理员在管理设备上激活应用保护,而无需终端用户点击已安装的应用程序。
设置概览
-
MobileIron Core控制台为设备配置有标签和VPN配置文件(简称VPN)。
-
设备已在MDM中完成注册。
-
应用程序被推送至设备。
-
VPN配置文件初始阶段即推送至设备。
-
-
移动安全控制台已将MDM定义为集成项。
配置完成后的示例流程
以下步骤描述零接触激活配置后的典型流程:
-
MDM将应用程序和VPN配置文件推送至设备。
-
设备会收到来自VPN配置文件的“启动应用”通知,但终端用户尚未激活应用。
-
设备上生成威胁(如“设备PIN”威胁)。
-
VPN配置文件显示设备上的威胁通知,此时应用仍未启动。
-
威胁可见于移动安全控制台的威胁日志页面,且:
-
应用名称显示为“VPN扩展”。
-
检测状态显示设备为“活跃”。
-
应用状态显示设备为“待激活”。
-
-
用户启动并激活应用。
为iOS设置零接触激活
更新配置文件
以下是更新VPN配置文件的步骤:
-
联系客户成功团队并获取以下内容:
-
MobileIron Core零接触激活的默认XML配置文件
-
零接触激活的默认通道值(该字符串末尾必须包含“/json”)。
-
零接触激活的租户ID值。
-
-
使用客户成功团队提供的defaultchannel和tenantid更新配置文件。
-
确保值符合以下规范且键名严格匹配(区分大小写)。
键
可选/必填
键描述
示例值/备注
defaultchannel
必填
将defaultchannel设置为JSON端点值。该值可从Mobile Security Console的Manage页面和General选项卡获取,且必须在末尾添加“/json”字符串。
欧盟区:https://gz2-acceptor.ms.gravityzone.bitdefender.com/srx/json
美国区:https://gz1-acceptor.ms.gravityzone.bitdefender.com/srx/json
tenantid
必填
根据客户成功团队为您的租户提供的值设置tenantid。
####-####-#### 或 1234-ABCD-5678
MDMDeviceID
必填
这是该MDM系统中设备的唯一标识符。
$DEVICE_UUID$
enable_auth_redirect
可选
值为true或false。通过设置此值可控制并启用将HTTP URL重定向至自定义网页(要求用户启动应用)的功能。 若使用其他重定向配置参数,则此键为必填项。
false
enable_auth_notification
必填
值为true或false。用于控制是否显示要求用户启动应用的本地通知消息。
true
auth_custom_notification_title
必填
默认值为“启动应用”,也可根据需要将通知标题更改为自定义标题。
“启动应用”
runlevel
可选
表示检测的运行级别,可选值为“QA”、“Beta”和“Production”,默认设置为Production。
“启动应用”
auth_custom_html_base64
可选
管理员可设置访问HTTP站点时显示的自定义HTML页面,需先进行Base64编码再填入此字段。
VPN子类型
可选
这是您希望激活的应用程序。
在MobileIron Core控制台中配置
-
登录 MobileIron Core 使用管理员ID和密码。
-
导航至 设备与用户 > 添加并创建 一个类型为手动的新标签。
-
导航至 策略与配置 并创建一个新的配置配置文件。
-
该 策略与配置 窗口将打开。点击左上角“添加新项”旁边的下拉菜单。
-
选择 添加新项 ,然后选择 iOS/macOS/tvOS .
-
点击 配置配置文件 .
-
在此窗口中,输入零接触配置文件的名称和描述。
-
浏览您在上方部分创建的配置文件,并将其与您创建的新标签关联。
-
确保将配置分配给您在步骤2中创建的标签。
在Mobile Security控制台中配置
-
登录移动安全控制台。
-
导航至管理页面及集成选项卡,添加MobileIron Core MDM。
-
在策略页面进入威胁策略选项卡。
-
使用MDM操作和缓解操作字段值更新待激活应用威胁策略。
-
保存并部署更改
自动激活/高级应用部署
GravityZone MTD GravityZone MTD 在iOS和Android企业版中均可实现自动激活。各平台流程如下所述。
iOS激活流程
添加应用后,在MobileIron中配置以下键值。 请参照下表变量说明,创建包含对应信息的PLIST文件。
|
配置键 |
值类型 |
配置值 |
|---|---|---|
|
MDM设备ID |
字符串 |
$UDID |
|
租户ID |
字符串 |
从移动安全控制台管理页面「常规」选项卡的租户ID字段复制该值。 从移动安全控制台获取 |
|
默认渠道 |
字符串 |
从移动安全控制台管理页面「常规」选项卡的默认渠道字段复制该值。 从移动安全控制台获取 |
|
跟踪ID_1 |
字符串 |
(可选)使用指定标识符 |
|
跟踪ID_2 |
字符串 |
(可选)使用所需标识符 |
|
显示最终用户许可协议 |
字符串 |
否(可选)若未使用此键,则默认显示最终用户许可协议(EULA)。 |
|
假定VPN权限已授予 |
字符串 |
(可选)true 值为true或false。设为true表示授予此权限。使用时请确保该键存在于MDM应用配置键列表中。仅适用于iOS。 |
通过控制台将PLIST文件添加至MobileIron,步骤如下:
-
前往“策略与配置”并选择“配置”。
-
选择“新增”,然后选择“iOS与OS X”。
-
选择“托管应用配置”。
-
选择已创建的上述文件进行上传。
-
输入iOS应用的捆绑ID。
-
勾选新托管应用配置项的单选按钮。
-
前往“更多操作”并选择“添加至标签”。
-
选择与iOS应用关联的标签。
-
点击“应用”
Android激活
Android企业用户可使用托管应用配置进行激活。原生Android设备需通过Mobile Security Console或MDM发送激活URL给终端用户。Mobile Security Console页面会显示过期日期时间,必要时可重新生成链接。管理员通过邮件或短信向用户发送拼接的激活链接及接受推送应用的说明。
GravityZone MTD 与MobileIron Cloud集成
同步
完整MDM同步
MDM集成设置期间完成初始完整同步后,计划同步流程每四小时运行一次。
按需设备同步
由于MDM同步存在四小时窗口期,可能出现新MDM用户的应用已推送至设备,但设备尚未完成MDM同步即尝试启动的情况。Mobile Security Console会通过按需设备同步处理此类场景——当 GravityZone MTD 尝试激活但尚未存在相关信息时,系统会从认证应用中获取标识信息并与对应客户进行匹配。匹配成功后,Mobile Security Console会从为该客户配置的MDM中获取设备及用户信息。此时该设备上的 GravityZone MTD 即完成认证并允许继续操作。为实现该功能,应用需按以下方式部署:
-
iOS:将应用配置与推送用于按需设备同步字段的应用程序关联。
-
Android:此功能需要Android企业版以实现自动激活。对于原生Android系统,请使用移动安全控制台激活URL。
设置同步
下一步是创建一个或多个设备组(若尚未存在此类设备组),用于包含受保护的设备。移动安全控制台利用这些设备组来同步设备及其可能关联的用户。请在MobileIron控制台中设置设备组,然后按照以下步骤在移动安全控制台中继续完成同步设置。
零接触激活适用于 GravityZone MTD (MobileIron Cloud版)
此功能允许管理员在托管设备上激活应用保护,而无需终端用户点击已安装的应用程序。
设置概览
-
MobileIron Cloud控制台已为设备配置设备组和VPN配置文件(VPN)
-
移动安全控制台已将MDM定义为集成项。
设置iOS应用程序的零接触激活
本指令集描述如何配置iOS版 GravityZone MTD 的零接触激活及工作流程。该选项可在终端用户设备未激活应用的情况下检测威胁,此时 GravityZone MTD 由MDM推送。系统会提示用户打开应用,但非强制操作。在用户激活应用前,VPN配置文件将持续在设备上运行。
为iOS配置MobileIron Cloud
-
使用管理员ID和密码登录MobileIron Cloud。
-
创建新设备组。
-
导航至配置页面。
-
点击添加->选择自定义配置。
-
在此窗口中输入零接触配置文件的名称,例如命名为
VPN. -
浏览至前文章节创建的配置文件,并将其上传至配置中。
-
确保将该配置文件分配至步骤2中创建的设备组。
在移动安全控制台中配置零接触激活
要完成零接触激活配置,请执行以下步骤:
-
登录移动安全控制台。
-
在管理页面中导航至集成选项卡,添加MobileIron Cloud MDM。
-
在策略页面中导航至威胁策略选项卡。
-
在“选定组”字段中选择相应群组。
-
使用MDM操作和缓解操作字段值更新“待激活应用”威胁项。
-
保存并部署更改。
安卓零接触激活设置 GravityZone MTD
MobileIron Cloud可通过Android Enterprise和配置功能启动并激活设备上的应用。该选项可在不启用终端用户设备上的 GravityZone MTD 情况下检测威胁(应用由MDM推送)。系统会提示用户打开应用,但非强制操作。VPN配置文件将在设备上运行直至用户激活应用。 需在移动安全控制台和MobileIron Cloud两端完成设置。
为安卓配置MobileIron Cloud
为设备创建以下两项附加配置并分发给用户群组。
始终开启VPN配置
-
使用管理员ID和密码登录MobileIron Cloud。
-
选择“配置”并点击+添加。
-
搜索“始终开启VPN”并选中。
-
输入名称并选择安卓平台。
-
选择GravityZone移动安全应用作为“始终开启”应用,并选定目标配置设备。
-
将此配置分发给用户群组。
自动运行时权限授予配置
-
使用管理员ID和密码登录MobileIron Cloud。
-
选择“配置”并点击+添加。
-
搜索“默认应用运行时权限”并选中。
-
输入名称并选择“自动授予”。
-
点击下一步并选定目标配置设备。
-
将此配置分发给用户群组。