IBM MaaS360集成指南

与 移动设备管理(MDM) 服务器及 移动安全控制台 提供以下功能：

从MDM同步用户和设备。
为用户提供透明的访问 GravityZone MTD .
定义用于策略和其他配置项的组。
除了内置的 GravityZone MTD .
通过MDM的应用配置推送自动激活应用，并验证设备标识符和用户。

要将 Mobile Security 控制台与 IBM MaaS360 集成，必须在 Mobile Security 控制台与IBM MaaS360 API服务器之间建立连接。

这是通过使用SSL的互联网实现的。

先决条件

项目	具体要求
IBM MaaS360 MDM注册设备	7.2及以上版本
IBM MaaS360管理控制台中的API管理员账户	已定义适当的角色。
IBM MaaS360 Web服务访问	您必须具有对IBM MaaS360环境的Web服务访问权限。
Python访问权限	需具备Python访问权限以进行IBM MaaS360的可选初始设置。
MDM密码	在MDM访问密码字段中不要使用冒号(:)，或使用`password`作为密码值。

MDM与移动安全控制台通信

该移动安全控制台已配置为支持通过API与IBM MaaS360控制台共享数据。

当检测到事件时， GravityZone MTD 会参考设备上现有的威胁策略。若指定了特定移动设备管理（MDM）操作，该操作将被传递至移动安全控制台。

随后，控制台将与相应的IBM MaaS360 API服务器建立通信，并发送执行指定操作所需的指令。

若用户被移除，其也将从控制台中删除。相关变更不会清除与该用户或设备关联的任何事件记录。

完整MDM同步

在MDM集成设置期间的初始完整同步后，系统会每四小时运行一次计划同步流程。

按需MDM同步

由于MDM同步存在四小时窗口期，可能出现新MDM用户已接收移动应用推送至设备，却在设备完成MDM同步前尝试启动应用的情况。

此时移动安全控制台将处理该情况——当应用尝试启动但尚未获取相关信息时，控制台会执行按需设备连接。

为进行验证，移动安全控制台会从应用中获取客户身份信息，并与正确客户进行匹配。

匹配成功后，移动安全控制台将从为该客户配置的MDM中获取设备及人员信息。

至此，该设备的移动应用即获得授权并可继续运行。

设置设备应用部署

API访问

MaaS360需要这些详细信息来生成访问其REST API的身份验证令牌。

账单ID
应用ID
应用版本
平台ID
应用访问密钥

初始配置

可使用可选Python脚本在IBM MaaS360环境中执行初始配置。该脚本可配置iOS和Android GravityZone MTD 从公共商店、自定义属性及若干设备组中获取。

下载 GravityZone MTD 包含脚本和自述文件的压缩包，下载地址：此处 .
登录后，此链接允许您下载名称类似以下的ZIP文件： BitdefenderIntegrationScriptForMaaS360_版本号.zip 其中版本号为脚本和ZIP集合的版本。
ZIP文件包含ReadMe_v2.0.pdf文件，该文档详细说明了脚本运行方法。

注意

在运行 Runner.py 脚本前，需确保已安装 requests Python包。

使用 pipinstallrequests 在您的平台上安装该包以运行脚本。也可使用其他等效命令在Python环境中安装此包。
ZIP文件中的脚本用于在IBM MaaS360环境中设置集成配置，该脚本仅需运行一次。
要发布 GravityZone MTD 从公共应用商店发布，需新建一个公共应用并在相应商店搜索该应用。至此，应用已发布并安装到指定设备上。用户现在可以激活该应用。

MDM配置

要设置设备同步，需创建一个具有适当访问权限的IBM MaaS360管理员：

导航至设置 > 角色 > 添加角色 .
输入新角色的名称和描述。

选择服务管理员角色作为模板。

管理自定义属性	具备添加、修改或删除自定义属性的权限。
选择性擦除	具备选择性擦除设备上企业数据的权限。
设置自定义属性值	具备设置自定义属性的权限。
用户-只读	仅具备用户视图的查看权限。
查看已安装应用	具备查看设备上已安装应用的权限。
查看私有群组	具备查看所有管理员的私有设备群组的权限。

API访问与设备群组

要设置API访问并创建设备群组：

联系IBM客户支持以获取 REST API密钥 .
如需使用，创建一个或多个 设备组 以包含需保护的设备。若不想使用预定义分组，移动安全控制台可通过设备组同步设备及其关联用户。

在Bitdefender中设置用户与设备同步移动安全控制台

要在移动安全控制台中设置MDM集成：

登录至移动安全控制台。
进入管理页面。
选择集成 .
点击 添加MDM 并选择要使用的MDM集成方案。

在表格中输入与UEM集成列表相关的信息，然后点击 下一步 .

项目	详情
URL	IBM MaaS360 API服务器的URL。
用户名	具有API角色访问权限的IBM MaaS360管理员账号。
密码	IBM MaaS360管理员账号的密码。
MDM名称	本文档规定了移动安全控制台中用于表示MDM集成的命名规则。"名称"一词用作前缀与组名连接，从而形成移动安全控制台组名称。
后台同步	勾选此框可确保用户/设备与IBM MaaS360设备组保持同步。您可以在下一页选择同步的群组。
隐藏导入用户信息	勾选此框可在显示时隐藏用户的个人身份信息，例如姓名或电子邮件地址。
应用访问密钥	来自该MDM提供商的应用访问密钥值。启用Web服务后可从IBM获取该API密钥值。
计费ID	来自该MDM提供商的应用访问密钥值。
应用ID	来自该MDM提供商的应用标识符。
应用版本	来自该MDM提供商的应用版本号。
平台ID	来自该MDM提供商的平台ID。
通过移动安全控制台（iOS设备）	勾选此项后，将为每台与MDM同步的iOS设备向用户发送电子邮件。
通过移动安全控制台（Android设备）发送设备激活邮件	勾选此项后，将为每台与MDM同步的Android设备向用户发送电子邮件。

点击 下一步 并选择要同步的用户组。可用组将显示在“可用设备组”列表中，可通过点击加号（‘+’）移至移动安全控制台的“已选组”列表。点击减号（‘-’）可撤销此操作。
点击 下一步 .
指定MDM警报通知 若需在MDM同步出错时接收通知。如需设置多个邮箱地址，请用逗号分隔。
点击完成保存配置，并通过点击 立即同步 .

配置设备应用自动激活

iOS

iOS版 GravityZone MTD 在应用推送至设备时采用托管应用配置功能。这能提供最佳用户体验，用户启动iOS版 GravityZone MTD 时无需输入任何凭证。托管应用配置会预先将必要信息写入iOS GravityZone MTD。

配置PLIST值并确保PLIST XML文件中使用相同数值。

配置键	值类型	配置值	附加说明
MDM设备ID	字符串	%csn%
租户ID	字符串	从以下位置获取移动安全控制台	复制移动安全控制台“管理”页面“常规”选项卡中的租户ID字段值。
默认渠道	字符串	从以下位置获取移动安全控制台	复制移动安全控制台“管理”页面“常规”选项卡中的默认渠道字段值。
跟踪ID_1	字符串	使用自定义标识符	(可选) 此为跟踪标识符。
跟踪ID_2	字符串	使用自定义标识符	（可选）这是一个跟踪标识符。
display_eula	字符串	否	（可选）若未使用此键，默认显示最终用户许可协议（EULA）。

为应用配置源选择配置XML文件（手动）或键/值对。
若选择XML文件选项，该XML文件需包含以下示例内容（适用于 GravityZone MTD .
若选择键值对选项，可直接输入数值而无需创建文件。

Android

Android企业用户可继续使用托管应用配置进行激活。需确保为配置参数传递正确的设备ID值。

原生Android设备需通过激活URL进行激活。可通过移动安全控制台或MDM发送给终端用户。

点击 GravityZone MTD （无链接）不会激活 GravityZone MTD 的Android设备功能。用户通过含激活URL链接运行应用时，将完成激活并下载正确的威胁策略。

获取激活链接需访问移动安全控制台的MDM管理与集成页面。

添加MDM后，系统会为设备生成激活链接。该链接需与MDM设备标识符拼接使用。移动安全控制台页面会显示过期日期时间，必要时可重新生成链接。

管理员通过邮件或短信向用户发送拼接后的激活链接，并附接受 GravityZone MTD 推送的说明。

使用下表数值进行配置：

配置键	值类型	配置值	附加说明
MDM设备ID	字符串	%设备ID%
租户ID	字符串	从移动安全控制台获取	复制移动安全控制台管理页面通用标签页中的租户ID字段值
默认渠道	字符串	从移动安全控制台获取	复制移动安全控制台管理页面通用标签页中的默认渠道字段值
跟踪ID_1	字符串	使用所需标识符	(可选) 此为跟踪标识符
跟踪ID_2	字符串	使用所需标识符	（可选）这是一个追踪标识符。
display_eula	字符串	否	（可选）若未使用此键，默认显示最终用户许可协议（EULA）。

本节内容 :