管理

该管理页面允许您自定义环境的各种配置，包括隐私设置、集成功能及VPN设置。

该管理页面为用户提供访问审计日志的功能，这些日志记录了包括MDM连接在内的所有控制台活动。

常规设置

该常规选项卡提供环境的基本信息，包含公司信息及特定用户信息。

公司信息 ：此处包含租户ID、默认渠道（用于MDM集成）和方案等字段的常规信息。
已登录用户 ：此处显示当前登录控制台的用户信息。
更改密码 ：修改当前登录控制台用户的密码。若账户配置了SSO且禁用了本地登录，则该链接将被禁用。
设置密码策略 ：定义 Mobile Security 控制台用户的密码要求。
首选语言 ：选择 Mobile Security 控制台使用的语言。
危险区域 ：当在 GravityZone MTD 中启用危险区域功能时，应用程序将在用户界面提供选项，以全局显示客户环境中的危险区域地图。未启用时，该选项将从 GravityZone MTD 中移除。危险区域默认处于禁用状态。
应用风险查询 ：允许您在 GravityZone MTD .
Android电池优化 ：允许将 GravityZone MTD 添加到Android电池优化列表。启用此选项可确保应用在后台运行时设备仍受保护。此设置为租户级别设置。
隐私摘要 ：允许您在 GravityZone MTD 为所有设备启用隐私摘要。启用此选项后，将向用户显示隐私摘要界面，说明根据移动安全控制台的隐私政策设置，您的组织可以及无法从用户设备访问哪些信息。
三星Knox KPE许可证 ：请参阅设置Knox KPE许可证章节了解此字段的相关信息。
设备闲置配置 ：此配置控制系统在判定设备处于闲置状态前的等待时长。
- 启用策略 ：需勾选此复选框才能设置其下方的任何字段。
- 允许闲置时间 ：这是设备被视为闲置前可处于非活动状态的最长时间。在第一个框中输入有效数字，然后在右侧框中选择秒、分钟或小时。
- 警告间隔（宽限期） ：当设备超过允许的闲置时间值后，将进入宽限期并接收警告。如需多次警告，此字段设置警告之间的间隔时间。在框中输入有效数字，然后在右侧框中选择秒、分钟或小时。
- 最大警告次数 ：这是在宽限期或警告间隔字段中，作为推送通知或电子邮件发送至设备的最大警告次数。输入“0”将禁用警告消息且不发送任何警告。
- 警告消息类型 ：当最大警告次数字段大于零时，可配置这些警告。
  - 向设备发送iOS通知 ：当设备处于非活动状态时，根据策略设置发送iOS推送通知。默认不勾选此复选框。
  - 向设备发送Android通知 ：当设备处于非活动状态时，根据策略设置发送Android推送通知。默认不勾选此复选框。
  - 向用户发送电子邮件（iOS设备） ：若iOS设备待激活或变为非活动状态，则根据策略设置向用户发送电子邮件。默认禁用。
  - 向用户发送电子邮件（Android设备） ：若Android设备待激活或变为非活动状态，则根据策略设置向用户发送电子邮件。默认禁用。
- 强制 GravityZone MTD 安装在Android企业版的工作和个人双配置文件中 仅当所有安卓设备均使用安卓企业版且具备工作与个人双配置文件时勾选此项。启用后，仅当某一配置文件（工作或个人）安装应用的时间超过“允许闲置时间”设定值时才会触发事件。
  
  注意
  
  对于Knox设备，请确保在Knox Configure设置中将MTD应用加入白名单，否则该应用可能被强制停止。更多信息请访问 Knox Configure 官网。

隐私设置

通过隐私选项卡，管理员可配置每个已定义群组 .

要应用隐私设置，请从下拉列表中选择目标群组，并从以下模板中选择：最大 , 高 , 中 , 低及 自定义 .

该 自定义 功能允许用户完全控制数据收集过程。

要修改自定义模板，请选择 自定义 选项并通过勾选复选框配置所需设置。

选定设置后，点击部署。更新将被推送至移动应用程序。

数据收集的时间范围如下：

登录时 ：当用户启动 GravityZone MTD .
威胁：检测到威胁时报告取证数据。
定期：每次 GravityZone MTD 向移动安全控制台报到时报告取证数据。包括Android设备开启Wi-Fi时以及iOS设备屏幕锁定后解锁时上报的事件。

此表格列出了设备操作系统的默认条目及可用性。

	模板					设备操作系统
项目	最大	高	中	低	自定义	iOS	Android	Chrome
位置：街道					自定义
位置：城市					自定义
位置：国家					自定义
设备操作系统型号 IP地址					自定义
设备：运行进程					自定义
网络：连接详情					自定义
网络：运营商信息					自定义
网络：攻击者IP与MAC地址					自定义
网络：高风险或未授权网站					自定义
应用取证					自定义
应用二进制文件					自定义
应用清单					自定义
浏览器扩展清单					自定义
浏览器扩展取证					自定义

备注

若未满足指定条件，网络威胁缓解可能会遇到问题：当隐私政策配置为以下内容时，必须启用'网络'设置 自定义 在威胁与定期部分中。

应用安装时设备会初始化默认隐私策略，直至下载用户自定义策略。

若未启用取证数据配置项，威胁日志中的威胁详情可能不包含所访问的风险站点。

注意

选择 风险站点 或 未批准站点 选项将影响 隐私屏幕 在 GravityZone MTD .

屏蔽MTD位置权限提示

按以下步骤可确保用户设备的MTD中不显示位置权限提示：

进入隐私标签页的管理页面。
将位置权限设置为无 .
转至 常规选项卡 在管理页面并确保未选中 启用危险区域 MTD中的功能。
点击 保存并部署。

隐私变更已成功提交部署。

注意

对于安卓设备，您需要在 威胁策略 :

强制门户
危险区域连接
恶意接入点
中间人攻击
中间人攻击-ARP欺骗
中间人攻击-伪造SSL证书
中间人攻击-伪造SSL证书-自签名
中间人攻击-SSL剥离
不安全WiFi网络

集成

该系统支持与环境中多个移动设备管理（MDM）实例及各类数据导出目标类型的同步与集成。每个集成供应商的配置具有独特性，需遵循客户支持门户中供应商专属MDM集成指南列出的特定参数。

集成部分包含以下子选项卡：

MDM ：汇总并支持通过添加多个供应商实现MDM集成。
数据导出 ：汇总并支持威胁报告集成，部分集成还包含移动安全控制台用户活动。对于威胁导出，您需配置诸如威胁严重性过滤器等设置。

要配置MDM集成，请导航至管理 > 集成 .

添加MDM

请按照以下步骤添加MDM集成：

选择MDM提供商。
填写集成详细信息。
完成特定MDM的设置。

首先点击“添加MDM”按钮并选择要使用的提供商。

注意

具体集成文档请参阅各MDM指南。按照特定供应商相关MDM指南中的说明完成集成。

指定MDM特定信息

添加或修改MDM集成时，会显示多个选项。MDM提供商的URL、用户名和密码为必填项。此外，用户需按下表所示配置电子邮件参数。可用的电子邮件选项有助于发送Mobile Security应用的激活链接。

选项	说明
为iOS设备发送设备激活邮件	启用此功能后，移动安全控制台将自动向用户发送每台从移动设备管理（MDM）系统同步的iOS设备的激活邮件。
为Android设备发送设备激活邮件	启用此功能后，移动安全控制台将自动向用户发送每台从移动设备管理（MDM）系统同步的Android设备的激活邮件。

指定MDM群组

要选择同步群组，请在左侧列中找到目标群组旁边的绿色加号图标并点击。此操作会将指定群组移至已选控制台群组列表。移除操作需点击红色减号。要设置多个群组的优先级顺序，用户可拖拽群组按从高到低的优先级排序。在移动安全控制台中，当用户属于多个群组时，策略和隐私设置将关联优先级更高的群组。当前显示的截图展示了可用MDM群组列表，其中已选中一个群组。

其他MDM集成

要集成其他MDM，请选择 添加MDM 按钮并输入相应参数。集成组名称会附加供应商名称以用于同步。成功添加MDM集成后，摘要将显示在MDM集成列表中。

编辑MDM

要修改同步组或其他参数，请按以下步骤操作：

进入主集成窗口并选择相关供应商
点击编辑按钮（对应特定供应商集成）

该供应商集成的当前设置将显示在窗口中。
您可以在 群组筛选器 字段输入匹配前缀值，以查询要显示在 可用设备组 列表中的群组。
完成更改后如需手动同步，请点击 立即同步 （针对特定MDM集成）。

测试MDM

要验证MDM同步，请在MDM标签页点击对应集成的测试按钮。该测试将执行一系列验证，并显示每个测试项目的成功或问题状态。若发现问题，系统会给出解决建议。

以下适用领域将被测试：

登录凭证
群组
设备
用户
应用
配置文件

VPN设置

VPN设置选项卡提供与本地和远程VPN设置相关的信息。

本地VPN

控制台管理员可为SSID或Wi-Fi网络添加可定制的DNS服务器列表。该列表由 GravityZone MTD 生成，并在连接特定Wi-Fi网络时被本地VPN调用。DNS服务器定义可在反钓鱼措施和本地VPN并存时，为企业内网页面提供更广泛的访问权限。

可添加多个SSID行，每行包含两个DNS值。IP地址可附带端口号，用冒号分隔。

远程VPN（仅限iOS）

iOS设备上的移动安全应用程序可定义VPN配置。该(VPN)可在事件触发时激活，从而保护设备免受所有潜在网络安全隐患的威胁。

正确配置VPN需在指定页面输入以下信息：

用户名
密码
服务器地址
共享密钥
组名
简短描述

注意

当前唯一支持的VPN类型为IPSEC。

VPN配置完成后，相关操作将显示于策略页面> 威胁策略 > 设备操作 .

网络沉洞设置

针对iOS和Android设备，可在威胁策略中启用沉洞网络路由或域名的操作。

此功能需在管理页面选择网络沉洞设置选项卡进行配置。

从以下两个选项中选择其一：
- 阻止网络访问，但允许下方列出的IP地址范围/域名。
- 允许网络访问，但阻止以下IP地址范围/域名。
为用户用例选择类别并添加以下内容：
- IP地址。
- 域名。
- 国家。

关于审计日志

活动在管理页面的审计日志中进行监控和记录。

要通过列搜索和筛选数据，只需点击列上显示的三角形图标。点击相应列的标题即可进行排序。

某些日志条目可通过选择更多链接或与特定行关联的按钮获取更多信息。在MDM同步期间，移动安全控制台会记录统计数据和可能发生的任何潜在问题。审计信息被整合成一个统一的事件列表，可以方便地进行排序和筛选。

白名单

该移动安全控制台为管理员提供了一种方法来将SSL证书、Wi-Fi接入点和应用开发者加入白名单，以抑制特定威胁。

证书

证书白名单流程使管理员能够通过抑制特定威胁来减轻风险。

白名单选项卡的功能是允许用户上传具有PEM或CRT文件扩展名的SSL证书文件。

这些文件用于验证网站身份，从而使其免受某些类型的威胁影响：

MITM - 伪造SSL证书
MITM - SSL剥离

注意

证书可以是叶子证书、中间证书或根证书，但建议使用叶子证书。代理白名单需要RSA 2K或4K密钥的证书。

Wi-Fi接入点

管理员可以配置Wi-Fi接入点以减轻特定的安全风险。为了让管理员了解用户连接到危险Wi-Fi接入点的情况，可能需要从接入点威胁列表中排除企业内部已知且受信任的Wi-Fi网络。

您可以将这些已知网络加入白名单，这样就不会为它们生成以下威胁：

不安全的Wi-Fi网络
强制门户
危险区域已连接
附近危险区域

注意

内部网络列表通过SSID、BSSID和接入点IP地址定义。该列表需上传包含此类网络信息的CSV文件来提供。

应用开发者

用户需将应用加入白名单时，可通过两种方式实现：

通过威胁日志添加白名单

若从iOS或Android系统生成侧载应用事件且设备仍连接至移动安全控制台时，用户可通过点击'白名单应用开发者'按钮将该事件标记为允许。

此功能利用开发者证书验证并授权所有对应应用，从而将其标记为允许且经过授权。

企业侧载应用不会被这些应用识别为威胁。

通过管理页面添加白名单

第二种方法是通过移动安全控制台的'管理'导航选项进行操作。

点击管理导航面板中的选项。
点击 白名单 标签页。
点击 应用开发者 标签页。
点击 上传应用 按钮上传.ipa或.apk格式的应用文件。

注意

要将应用开发者加入白名单，必须上传该应用。
导航并选择应用程序。
点击打开按钮以选择要加入白名单的应用。
点击部署 .

移除应用请按以下步骤操作：

勾选应用左侧的复选框。
点击操作栏的下拉菜单。
选择 从白名单移除 .

若要应用添加或移除操作，请确保点击部署以将所有更改推送至设备。

访问控制

管理员可设置自定义分类列表（亦称访问控制列表）。此列表允许管理员覆盖默认分类及类别操作，并可添加更多网站至列表、分配类别并定义所需操作。一个或多个群组可引用自定义分类列表。

管理访问控制列表

要管理这些列表，请点击管理页面中的访问控制选项卡。在此选项卡中，您可以：

输入URL并检查其分类。
查看哪些群组正在使用自定义分类列表。
下载示例CSV文件以导入自定义分类列表。
以CSV格式导入或导出自定义分类列表。
导航至钓鱼和内容过滤策略设置。
创建、重命名、修改或删除自定义分类列表。

注意

CSV文件大小上限为1MB或1000条条目。描述域名或URL的最大字符数为256。若导入请求报错，请下载示例CSV文件。

要描述一个站点，请输入完整的URL或域名。站点URL或域名值中不能使用通配符或特殊字符。若使用通配符或特殊字符，该值将被忽略。

要检测使用HTTPS/TLS的站点，站点必须仅包含域名。完整URL仅适用于HTTPS/非TLS站点。

在页面右侧的 站点类别检查器 框中输入URL或域名并点击检查按钮。显示将更新并展示该站点的类别，同时显示该URL被引用的其他列表。 “使用此列表的群组”部分显示引用此列表的群组。 前往钓鱼防护和内容过滤功能 将返回 策略页面 及 钓鱼与内容过滤 标签页以管理群组详情。

仅当 访问控制列表 未被任何群组引用时方可删除。 使用此列表的群组 部分显示引用此列表的群组。删除前必须将该列表与所有群组解除关联。

本节内容 :

管理