VMware Workspace ONE UEM集成指南
与MDM服务器及 移动安全 控制台的集成可实现以下功能:
-
将用户和设备与 移动安全 控制台从MDM进行同步
-
为用户提供透明访问 GravityZone MTD .
-
定义用于策略及其他配置项的群组。
-
在 GravityZone MTD .
-
通过MDM的应用配置推送自动激活 GravityZone MTD 并验证设备标识符与用户身份。
GravityZone MTD 可检测恶意活动并执行本地处置。
与MDM集成时,MDM可执行防护操作。Workspace ONE UEM管理员可配置不同工作流以应对各类威胁场景。
通过智能群组、标签和配置文件实现设备保护工作流。
使用 GravityZone MTD 无需MDM集成,但集成可提供额外功能。
先决条件
与VMware Workspace ONE UEM集成需建立 Mobile Security 控制台与Workspace ONE UEM API服务器的连接。
创建仅供Bitdefender使用的API密钥,用于 Mobile Security 控制台与Workspace ONE UEM的通信。Workspace ONE UEM会按API密钥监控连接,确保不超过阈值。为Bitdefender流量使用独立API密钥可降低触发阈值的风险。
配置Workspace ONE控制台
在Workspace ONE UEM中启用API服务
启用API服务的步骤如下:
-
登录 Workspace ONE UEM。
-
转至 群组与设置 > 所有设置 > 系统 > 高级 > API > REST API .
-
点击 认证 选项卡,并为 API调用 .
-
返回 常规 选项卡下,为Bitdefender创建API密钥。该密钥将用于移动安全控制台的集成。
-
启用 API访问 (如果尚未启用)。
-
要创建唯一的 REST API密钥 ,请点击 + 添加 按钮。
-
在显示的新条目中,输入新服务名称—— BitdefenderAPI 并将账户类型设置为管理员。
-
-
点击 保存 .
-
复制新的 REST API密钥 以便在 移动安全 控制台中使用。
-
创建API管理员角色
通过以下步骤,在Workspace ONE UEM控制台中选择或创建一个具有适当访问权限的管理员账户:
-
在Workspace ONE UEM控制台中,选择 全局 ,然后选择客户级组织组。
-
导航至 账户 .
-
展开 管理员 并点击 角色 .
-
点击 添加角色 ,在弹出的窗口中,输入名称和描述。
-
在 类别 部分,展开 API 并点击 REST 显示可用资源列表。
-
点击 详情 查看更多资源,并选择所需资源。
权限
类别
子类别
描述
编辑
API/REST
设备
REST API MDM智能群组
编辑
API/REST
设备
REST API MDM配置文件
编辑
API/REST
设备
REST API MDM设备
编辑
API/REST
设备
REST API设备高级功能
读取
API/REST
设备
REST API设备读取
编辑
API/REST
群组
REST API智能群组写入权限
编辑
API/REST
群组
REST API智能群组执行权限
编辑
API/REST
群组
REST API智能群组删除权限
读取
API/REST
群组
REST API智能群组读取权限
读取
API/REST
配置文件
更新策略读取权限
读取
API/REST
配置文件
REST API配置文件读取权限
编辑
API/REST
配置文件
REST API配置文件写入权限
编辑
API/REST
配置文件
REST API配置文件执行
编辑
API/REST
配置文件
REST API配置文件删除
-
在 分类 区域中,展开 设备管理 并选择 批量管理 .
-
显示可用资源列表。
-
点击 详情 查看更多资源,并选择相应资源。
权限
类别
子类别
描述
编辑
设备管理
批量管理
设备批量管理分配标签
-
在 分类 中,展开 设置 并选择 标签 (如果此选项在您的安装中可用)。此时将显示可能的资源列表。
-
点击 详情 并选择资源。
权限
类别
子类别
描述
编辑
设置
标签
创建标签
编辑
设置
标签
编辑标签
编辑
设置
标签
删除标签
查看
设置
标签
查看标签
-
点击 保存 .
在Workspace ONE中创建新管理员用户
要在Workspace ONE控制台中创建新管理员用户,请按以下步骤操作:
-
登录 登录Workspace ONE。
-
通过导航至以下路径创建Workspace ONE UEM管理员用户: 账户 > 管理员 > 列表视图 > 添加 > 添加管理员 .
-
为该管理员用户分配您先前设置的角色和权限。
点击 角色 > 选择一个或多个 智能组 (用于包含受管设备)> 选择 API角色 (上文创建的)> 将该角色应用至一个或多个 智能组 (如需要)。
-
点击 API 选项卡 > 启用证书并创建证书密码。
在此过程中您需要两次输入证书密码:导出证书时,以及将证书导入 移动安全 控制台时。完成此过程的步骤如下:
-
点击 保存
-
保存管理员账户后,重新打开该账户
-
输入为证书创建的密码,并进行导出。
-
确定或创建用于初始同步的分配组
在 移动安全 控制台与Workspace ONE UEM之间进行同步时,需要选择一个或多个特定的分配组。可通过以下路径在Workspace ONE UEM控制台中完成: 组与设置 > 组 > 分配组 .
在 移动安全 控制台中设置用户与设备同步
要在 移动安全 控制台中设置MDM集成:
-
登录 到 移动安全 控制台。
-
前往 管理 页面。
-
选择 集成 .
-
点击 添加MDM 并选择您要使用的MDM集成方案。
-
点击 下一步 ,随后将打开一个窗口,其中包含输入Workspace ONE API URL、管理员账户和UEM系统名称的字段,以及其他用于集成两个系统的配置字段。
-
在表格中输入与UEM集成列表相关的信息,然后点击 下一步 .
项目
具体内容
URL
Workspace ONE UEM API服务器的URL。
选择认证方法
选择证书或用户名/密码作为所需的认证方式。
用户名
具有API角色访问权限的Workspace ONE UEM管理员账户。
密码
Workspace ONE UEM管理员的密码。
证书
如果选择证书认证方法,则上传您的授权证书。
密码短语
如果选择证书认证方法,则提供证书的密码短语。
MDM名称
在 移动安全 控制台中用于引用此MDM集成的名称。该名称会附加到组名前,形成 移动安全 控制台中的组名。
后台同步
勾选此复选框以确保设备与下一页所选的Workspace ONE UEM智能组保持同步。
设置同步用户的密码
勾选此复选框以在用户同步时覆盖默认密码。若不勾选,所有同步用户的默认密码将按以下规则生成:以Bitdefender环境名称为基础,将所有大写字母转换为小写,并将空格替换为连字符,最后追加'1234!'。
同步用户密码
覆盖同步时为每个用户设置的密码值。
隐藏导入用户信息
勾选此框以在显示时隐藏用户的个人身份信息(如姓名和电子邮件地址)。
API密钥
API密钥用于对API服务器进行安全认证。
通过 移动安全 控制台发送iOS设备激活邮件
勾选此框可为每台与MDM同步的iOS设备向用户发送邮件。
通过 移动安全 控制台发送Android设备激活邮件
勾选此框可为每台与MDM同步的Android设备向用户发送邮件。
-
点击 下一步 并选择要同步的用户组。可用组将显示在“可用设备组”列表中,可通过点击加号(‘+’)移至“已选 移动安全 控制台组”列表。点击减号(‘-’)可撤销操作。
-
点击 下一步 .
-
指定MDM警报 若需在MDM同步错误时接收通知。如需多个电子邮件地址,请用逗号分隔。
-
点击 完成 保存配置,并通过点击 立即同步 .
用户与设备同步
系统按设定间隔运行定时同步流程,以添加新设备记录和新用户,其中仅同步用户的电子邮件地址及姓名信息。
-
新注册设备 :若新增用户或设备加入任何用于同步的群组,其关联设备将被同步至 移动安全 控制台。
-
注销设备或用户 :若用户或设备显示为移除或注销状态,则将从 移动安全 控制台中删除。此操作不会删除与该用户或设备关联的任何事件记录。
GravityZone MTD 配置与部署
应用程序部署
您可为iOS和企业版Android设备配置两种支持自动登录方式的应用程序。建议尽可能采用自动激活方案。
公共应用程序推荐部署方案
要通过Workspace ONE UEM部署应用程序,请从App Store获取 iOS版本 ,并从Google Play商店获取 Android版本 。
创建新的公共应用程序后,在对应应用商店搜索 GravityZone MTD .
对于Workspace ONE UEM,可通过包含推荐人属性的Google Play商店链接实现应用激活。
iOS配置与激活
iOS应用程序利用托管应用配置功能提供最佳用户体验。提供多种激活选项以满足不同需求。
-
零接触激活
-
VPN自动激活
该 GravityZone MTD 托管应用程序配置
托管应用程序配置会预先为iOS应用程序填充必要信息。该配置在Workspace ONE UEM平台内完成。配置移动应用程序时,可在分配智能组时指定应用程序配置功能。
按以下步骤配置应用程序:
-
在本页面点击“发送应用程序配置”
-
根据配置需求使用下列键值对
配置键
值类型
配置值
补充说明
MDM设备ID
字符串
{设备唯一标识}
必填
租户ID
字符串
从 移动安全 控制台
必填 从移动安全控制台管理页面通用标签页中的租户ID字段复制该值 移动安全 控制台管理页面通用标签页下
默认通道
字符串
从 移动安全 控制台
必填 从移动安全控制台管理页面通用标签页中的默认通道字段复制该值 移动安全 控制台管理页面通用标签页下
跟踪标识_1
字符串
使用所需的标识符
(可选)这是一个跟踪标识符。
tracking_id_2
字符串
使用所需的标识符
(可选)这是一个跟踪标识符。
display_eula
字符串
否
(可选)
若未使用此键,默认会显示最终用户许可协议(EULA),除非
zero_touch_activation设置为true。assume_vpn_permission_granted
字符串
是
(可选)值为true或false。设为true可授予此权限。若使用此参数,请确保其位于MDM应用配置键列表中。仅适用于iOS。
-
点击发布并保存,将其推送至智能组中的设备。
零接触激活
此功能允许管理员在受管设备上激活应用保护,无需终端用户点击已安装的应用。下图展示了交互流程概览。
配置零接触激活需执行以下步骤:
-
登录 VMware Workspace ONE控制台。
-
导航至 群组与设置 > 群组 > 分配群组 并添加一个新的智能组。
注意
确保与VPN配置文件和设备组关联的智能组不是同一个。
-
在左侧导航菜单中,转到 资源 > 配置文件和基线 > 配置文件 并添加一个新配置文件。
-
点击 添加 > 添加配置文件 .
-
选择 Apple iOS 平台,然后选择 设备配置文件 .
-
输入配置文件的名称。
-
点击 添加 在 自定义设置 行,并立即将 启用客户查找值 开关向右移动。这样可以让“{DeviceUID}”宏生效。
-
粘贴你编辑过的XML。你也可以在此表单中编辑,因为只需修改少量内容。
-
点击 下一步。
-
将配置文件分配到目标分配组,其他字段保持默认设置,然后点击 保存并发布 .
完成零接触激活配置需执行以下步骤:
-
登录 移动安全 控制台。
-
进入 管理 > 集成 ,添加VMware Workspace ONE MDM。
-
在 策略 页面中导航至威胁策略,选择 威胁策略 标签页。
-
从 选定组 字段中选择群组。该值为设备的原始智能群组。
-
更新 待激活应用 威胁的MDM操作和缓解操作字段值。
-
保存并部署 更改内容。
Android配置与激活
使用Android时存在以下设置选项:
面向云基础设施的原生Android设置
要为原生Android设备激活应用程序,可使用激活URL。这些链接可通过 移动安全 控制台或MDM发送给终端用户。要获取激活链接,请访问 管理 页面并选择 集成 选项卡和MDM选项卡。添加MDM后,系统会为设备提供激活链接。
该激活链接需与MDM设备标识符配合使用,且可重新生成。管理员通过电子邮件或短信向用户发送拼接后的激活链接,并附上接受推送应用程序的操作说明。
本地Android环境设置
推荐使用公开的Google Play商店版本部署Android Enterprise。若用户未配置使用Android Enterprise,可从 移动安全 控制台获取激活链接或联系客户支持。
Android Enterprise配置密钥
Android Enterprise用户可继续使用托管应用配置进行激活。请确保为配置参数传递正确的设备标识符值。
|
配置键 |
值类型 |
配置值 |
补充说明 |
|---|---|---|---|
|
MDM设备ID |
字符串 |
{设备唯一标识} |
必填 |
|
UUID |
字符串 |
{设备唯一标识} |
选填 |
|
租户ID |
字符串 |
从 租户ID 字段位于 移动安全 控制台 管理 页面下的 常规 选项卡中。 |
必填 |
|
defaultchannel |
字符串 |
复制 默认渠道 字段的值,该字段位于 移动安全 控制台 管理 页面下的 常规 选项卡中。 |
必填 |
|
tracking_id_1 |
字符串 |
任意字符串标识符 |
(可选) 使用所需的标识符。 |
|
tracking_id_2 |
字符串 |
任意字符串标识符 |
(可选) 使用所需的标识符。 |
|
display_eula |
字符串 |
否 |
(可选) 若未使用此键,默认会显示最终用户许可协议(EULA),除非zero_touch_activation设为true。 |
Android企业配置中个人资料自动激活及上报的附加配置键值对。
|
配置键 |
值类型 |
配置值 |
附加说明 |
|---|---|---|---|
|
share_activation_data |
字符串 |
true或false |
若用户需自动激活个人资料应用则必须设置此项。默认值为
|
|
activation_package |
字符串 |
用于查询激活信息的应用Bundle ID。 |
(可选)仅在share_activation_data为true时需要设置。 |
|
check_activation_status |
布尔值 |
|
(可选)若需让 GravityZone MTD 在工作资料中上报个人资料应用未安装或未激活状态时使用。默认为false。 |
|
check_activation_status_seconds |
整型 |
|
(可选但若
|
Android企业版 - GravityZone MTD 静默安装与激活
Workspace ONE UEM可通过Android企业版和配置功能在设备上启动或激活应用。该安卓应用支持前台或后台模式启动。但Workspace ONE UEM配置不支持公司拥有个人启用(COPE)模式,因此设备上仅会创建工作配置文件,不提供个人配置文件。
Workspace ONE UEM控制台的应用设置
在Workspace ONE UEM控制台设置应用的步骤如下:
-
将公开的安卓应用添加至 Workspace ONE UEM .
-
添加 Android企业版配置密钥 章节所述的应用配置参数。
-
分配应用时,通过导航至 应用 > 图书 并选择 原生 .
-
点击 公开 .
-
选择环境中已配置的安卓版 GravityZone MTD 。
-
点击 分配 并找到相应的智能群组。
-
修改该群组并确保应用交付方式设置为
自动然后点击 添加 . -
选择 保存并发布 > 发布 .
在Workspace ONE UEM控制台进行配置设置
要在Workspace ONE UEM控制台配置自动启动功能,请执行以下步骤:
-
导航至 设备 并选择 配置 .
-
点击 组件 并选择 文件/操作 .
-
点击 添加文件/操作 并选择 Android .
-
填写 通用信息 。输入名称和描述。
-
点击 清单 选项卡。
-
在 安装清单 下,点击添加 操作 并选择 运行意图 .
-
在命令行信息中输入以下选项之一:
-
前台启动 MTD 。此选项下用户可见启动过程。
com.bitdefender.gravityzone.securityformobile.MainActivity -
后台启动 MTD 。此选项下用户不可见启动过程。
com.bitdefender.gravityzone.securityformobile.ui.DormancyStartActivity
-
-
选择“- 1 ”作为超时值并点击 保存 .
-
点击 保存 ,该操作将显示在列表中。
-
导航至 设备 并选择 配置 .
-
点击 产品列表视图 并选择 添加产品 .
-
选择 安卓 并输入名称值。
-
选择相同的关联智能群组。
-
点击 清单 然后选择 添加 .
-
选择 安装文件/操作 .
-
在 文件/操作 输入框中,选择之前创建的操作并点击 保存 .
-
点击 激活 然后点击 保存 .
-
产品列表视图显示设备当前状态及MTD操作选项。
配置静默安装
静默安装为可选配置。当MTD应用首次启动时,Android系统会强制要求获取存储、位置等权限。
要实现静默安装,需通过Workspace ONE UEM控制台提前配置策略文件应答这些权限请求,步骤如下:
-
导航至 设备 并选择 策略与资源 然后点击 策略 .
-
点击 添加 ,再点击 添加策略 并选择 Android .
-
填写基本信息后,选择需要保护的设备所属智能群组。
-
在左侧栏选择 权限 然后点击 配置 .
-
在权限策略选项中,选择 向用户请求 权限
-
在下方选择应用作为 例外 .
-
点击 配置 以选择用于已安装问题的答案。
-
选择 授予 所有设置为预答的问题。
注意
通常为所有选项选择“授予”。其他任何选择都可能在应用程序中提示用户响应,并可根据需要进行调整。
-
点击 保存 然后点击 发布 .