Ivanti MDM集成指南
该 GravityZone MTD 可检测恶意活动,并根据平台类型在本地执行预设操作。当应用与MDM集成时,MDM可代为执行操作,从而提供更强大的防护能力。
先决条件
|
项目 |
要求 |
|---|---|
|
已注册Ivanti/MobileIron MDM的设备(非集成状态) |
核心版本:最低v9 云版本(当前SaaS版本) |
|
搭载Ivanti Neurons for MTD的MobileIron核心系统 |
核心版本:v9.6.0.1 iOS Mobile@Work MDM代理:v9.7.0 Android Mobile@Work MDM代理:v9.6.0 (需Core v10.0.0.1及Mobile@Work v10以支持本地应用操作) |
|
搭载Ivanti Neurons for MTD的MobileIron核心系统 |
MobileIron Cloud 第52版发布 iOS版MobileIron Go客户端:v3.2 Android版MobileIron Go客户端:v2018.04.23 |
|
MobileIron管理控制台中的API管理员账户。 |
根据以下章节定义的适当权限进行设置。 |
|
MDM密码 |
不要在MDM访问密码字段中使用冒号(:),或使用`password`作为密码值。 |
MDM与 移动安全 控制台通信
该 移动安全 控制台服务器配置为通过API REST调用与MobileIron控制台共享信息。当 GravityZone MTD 检测到事件时,它会查询设备上当前的威胁策略,如果操作涉及MobileIron,则会在本地执行或通知 移动安全 控制台。 移动安全 控制台会联系相应的MobileIron API服务器,并提供执行配置操作的命令
Ivanti Neurons MTD与MobileIron Core
在此配置中,MobileIron威胁防御功能在MobileIron Core Mobile@Work代理中处于活动状态。 GravityZone MTD 无需推送到设备,因为引擎已集成到Mobile@Work代理中。在此场景下,MobileIron Mobile@Work代理通过激活码配置以启用威胁引擎,并在设备注册到MI Core时与相应的 移动安全 控制台通信。在MI控制台中定义的可采取的威胁响应操作包括:当设备未连接网络时在本地执行;当设备连接网络时从控制台发起。
由于MobileIron威胁防御功能由Mobile@Work代理提供,需要通过激活码更新设备上的代理以启用该功能。iOS和Android的操作方式不同,但两者都需要相同的MobileIron激活码。该激活码将在下一步完成MobileIron Core MDM集成后获取。
在MobileIron Core控制台中设置同步
要创建具有适当API访问权限的MobileIron管理员(同时配置通用平台服务),请按以下步骤操作:
-
登录MobileIron Core控制台后,主 仪表板 窗口将打开。
-
沿顶部多个标签页,点击 管理员 .
-
勾选CPS用户对应的复选框,然后从左上角的下拉操作菜单中选择 编辑角色 .
-
随后 管理员角色 弹出窗口将打开。
注意
若使用MobileIron Core 10.8或更高版本,需在设备管理部分勾选“应用及移除设备标签”复选框(如下图所示)。若使用10.8之前版本,则无需配置此权限。
-
向下滚动至 隐私控制 部分,勾选 查看设备详情中的应用程序与电子书 及“定位设备”复选框。
-
继续滚动到 标签管理 部分,勾选 查看标签 与 管理标签 .
-
完全滚动至页面底部的 其他角色 部分。
注意
若使用MobileIron Core 10.8或更高版本,需勾选“通用平台服务(CPS)”复选框。若使用10.8之前版本,则需额外勾选“API”权限。
-
点击 保存 .
在移动安全控制台中设置用户与设备同步
下一步是选择一个或多个标签,用于包含待保护的设备(若尚未定义现有标签)。移动安全控制台应用通过这些标签同步设备并将用户与移动安全控制台关联。
在移动安全控制台中设置MDM集成:
-
登录 移动安全控制台。
-
前往 管理 页面。
-
选择 集成 .
-
点击 添加MDM 并选择要使用的MDM集成。
-
在表格中输入与UEM集成列表相关的信息,然后点击 下一步 .
字段/选项
描述
URL
MobileIron API服务器的URL。
用户名
具有API角色访问权限的MobileIron管理员账号。
密码
MobileIron管理员的密码。
MDM名称
移动安全控制台中用于引用此MDM集成的名称。该名称会作为前缀与组名组合形成移动安全控制台组名。
允许列表MDM托管应用
添加或编辑MobileIron MDM时,用户可选择允许(白名单)被标识为始终安全的iOS和Android应用。启用此选项后,当用户在设备上打开允许的应用时,系统不会检查其漏洞。 对于Android,允许列表适用于可疑Android应用、不合规应用和侧载应用威胁。对于iOS,允许列表适用于可疑iOS应用和不合规应用威胁。 在MobileIron MDM中启用此选项后,下一步是在移动安全控制台添加要允许(白名单)的应用。
后台同步
勾选此框以确保用户/设备与下一页选择的MobileIron标签保持同步。
屏蔽导入用户信息
勾选此框以在显示时屏蔽用户的个人身份信息(例如姓名或电子邮件地址)。
通过移动安全控制台向iOS设备发送设备激活邮件
勾选此框以便为每台与MDM同步的iOS设备向用户发送邮件。
通过移动安全控制台向Android设备发送设备激活邮件
勾选此框以便为每台与MDM同步的Android设备向用户发送邮件。
-
点击 下一步 并选择要同步的用户组。可用组将显示在“可用设备组”列表中,点击加号(‘+’)可将其移至“选定的移动安全控制台组”列表。点击减号(‘-’)可撤销此操作。
-
点击 下一步 .
-
指定MDM警报 若需在MDM同步错误时接收通知,请在此填写邮箱地址(多个地址请用逗号分隔)。
-
点击 完成 保存配置,并通过点击 立即同步 .
启用Ivanti Neurons MTD
完成有效的MobileIron MDM集成设置后,需获取MobileIron威胁防御的激活码并应用于设备上的Mobile@Work代理。
在iOS中启用Ivanti Neurons MTD
完成上述流程后,请按以下步骤在iOS设备启用Ivanti Neurons MTD:
-
登录移动安全控制台并导航至 管理 ,然后选择 集成 与 MDM .
-
找到刚配置的MobileIron实例,将MobileIron激活码复制到剪贴板。
-
登录MobileIron控制台。
-
导航至 应用 并选择 应用目录 .
-
找到 iOS Mobile@Work 条目。若不存在,请从App Store添加并关联所需标签。
-
点击Mobile@Work应用并 编辑 .
-
确保以下选项已启用(设置为“是”)。
-
允许将应用从非受管状态转换为受管状态。
-
在设备注册或激活时发送安装请求或将非受管应用转换为受管的请求。
-
向隔离设备发送安装或将非受管应用转换为受管的请求。
-
-
在受管应用配置下,点击 添加+ .
-
为此 应用配置 .
-
点击 展开 .
-
输入 激活码 .
-
启用 激活 .
-
保存 设置。
-
在Android中启用MobileIron威胁防御
-
登录移动安全控制台并导航至 管理 ,然后选择 集成 与 MDM .
-
找到刚配置的MobileIron实例,将MobileIron激活码复制到剪贴板。
-
登录MobileIron控制台。
-
创建包含以下内容的XML文件:
<?xml version="1.0" encoding="UTF-8"?><bitdefender><token>插入激活令牌</token></bitdefender>
-
确保文件保存后没有多余的换行符或回车符。
-
在MobileIron控制台中,导航至 策略与配置 ,选择 配置 并点击 新增
-
导航至 Android ,然后选择 Android XML配置 .
-
输入一个 名称 为此配置输入一个
-
提供描述信息。
-
选择 Bitdefender 作为 配置类型 .
-
浏览并上传之前创建的XML文件。
-
勾选 我同意 复选框,然后点击 保存 .
-
为这个新的Android XML配置分配所需的 标签 。
现在,Ivanti Neurons MTD已同时为iOS和Android启用。当用户注册设备时,激活码会发送至Mobile@Work代理,Ivanti Neurons MTD随即启动。
设备会立即出现在Mobile Security Console的默认组中,待MDM集成自动同步后,将显示在分配的组内。
GravityZone MTD 与MobileIron Core的集成
以下章节描述了MobileIron Core与 GravityZone MTD .
应用程序部署
若用户未使用MobileIron Threat Defense,则可部署 GravityZone MTD 。要通过MobileIron部署应用,需从iOS的公共App Store和Android的Google Play Store下载,并按提供的步骤进行部署。
登录访问MobileIron Core平台。若无合适标签用于应用部署,则需新建标签。开发一个新的内部应用,并上传相应的应用文件(iOS为IPA,Android为APK)至MobileIron。为应用分配标签后继续发布流程。
-
创建需分配给待部署设备的标签 GravityZone MTD .
-
进入设备页面,点击用户,然后选择标签并点击添加标签。
-
输入标签名称及简短描述。
-
点击保存。
-
-
上传 GravityZone MTD .
-
进入应用页面,选择添加+。
-
点击下一步,在随后两个界面中按需添加/更新信息,最后点击完成。
-
此时应用已准备就绪可进行部署。
-
-
将步骤1中创建的标签分配给该应用。
-
勾选刚导入应用前的单选按钮,点击操作并选择应用到标签。
-
选择步骤1中创建的标签并点击应用。
-
-
将该标签分配至所有需要受 GravityZone MTD .
-
导航至设备与用户页面并选择设备。
-
勾选所有待保护设备旁的单选按钮。
-
点击操作后选择应用到标签。
-
选择需应用的标签并点击应用。
-
同步
完整MDM同步
MDM集成设置期间的初始完整同步后,计划同步进程每四小时运行一次。
按需设备同步
由于MDM同步存在四小时窗口期,可能出现新MDM用户已在其设备上安装 GravityZone MTD 却尝试在设备实际完成MDM同步前启动的情况。移动安全控制台通过以下方式处理:当 GravityZone MTD 尝试激活但尚未存在相关信息时,执行按需设备同步。
移动安全控制台应用程序从用于身份验证的应用程序接收识别信息,并将其与相应的客户进行匹配以完成认证。匹配成功后,移动安全控制台会从为该客户配置的MDM中检索设备及用户信息。此时该设备上的应用程序已完成认证并获准继续运行。为实现此功能,应用程序必须按以下方式部署:
iOS
将PLIST文件与 GravityZone MTD 关联,该文件会推送用于按需设备同步的字段。具体说明请参阅自动激活/高级应用程序部署章节。
Android
此功能需使用Android企业版实现自动激活。对于原生Android系统,请使用移动安全控制台的激活URL。如需了解更多信息,请联系客户支持团队。
设置同步
-
创建具有适当API访问权限的MobileIron管理员
-
导航至设备与用户,选择用户,点击添加,然后选择添加本地用户
-
接着选择管理员标签页,此时将打开如图所示的窗口
-
勾选API管理员用户复选框,点击左上角操作按钮,从下拉菜单中选择编辑角色
-
此时将打开管理员角色弹窗。若使用MobileIron Core 10.8或更高版本,请在设备管理部分勾选应用和移除设备标签权限(如下图所示);10.8之前版本则无需此权限
-
向下滚动至隐私控制部分,勾选查看设备详情中的应用程序和电子书以及定位设备复选框
-
滚动至标签管理部分,勾选查看标签和管理标签复选框
-
向下滚动至其他角色部分。若使用MobileIron Core 10.8或更高版本,请勾选通用平台服务(CPS)复选框;若使用10.8之前版本,则需额外权限,请在其他角色部分勾选API复选框
-
点击弹窗底部的蓝色保存按钮
-
若不存在包含受保护设备的标签,请创建一个或多个。移动安全控制台将使用这些标签来同步设备及其关联用户
iOS零接触激活 GravityZone MTD 用于MobileIron Core
此功能允许管理员在管理设备上激活应用程序保护,而无需终端用户点击已安装的应用程序
设置概览
-
MobileIron Core控制台为设备配置有标签和VPN配置文件(简称VPN)
-
设备已在MDM中注册
-
应用程序被推送至设备
-
VPN配置文件最初会被推送至设备
-
-
移动安全控制台已将MDM定义为集成项
配置完成后的示例流程
以下步骤描述了零接触激活配置完成后的示例流程:
-
MDM将应用和VPN配置文件推送至设备。
-
设备上会显示来自VPN配置文件的“启动应用”通知,但终端用户尚未激活应用。
-
设备上生成威胁(例如“设备PIN”威胁)。
-
VPN配置文件显示设备上的威胁通知,此时应用仍未启动。
-
威胁会显示在移动安全控制台的威胁日志页面,且:
-
应用名称显示为“VPN扩展”。
-
检测状态显示该设备为“活跃”。
-
应用状态显示该设备为“待激活”。
-
-
用户启动并激活应用。
为iOS设置零接触激活
更新配置文件
以下是更新VPN配置文件的步骤。
-
联系客户成功团队并获取以下内容:
-
MobileIron Core零接触激活的默认XML配置文件
-
零接触激活的默认通道值。该字符串末尾必须包含“/json”。
-
零接触激活的租户ID值。
-
-
使用客户成功团队提供的defaultchannel和tenantid更新配置文件。
-
确保值遵循以下规范,且键名需严格匹配(区分大小写)。
键名
可选/必填
键描述
示例值/备注
defaultchannel
必填
将defaultchannel设置为JSON端点值。该值可从移动安全控制台的“管理”页面和“常规”选项卡获取,且必须在末尾添加“/json”字符串。
欧盟:https://gz2-acceptor.ms.gravityzone.bitdefender.com/srx/json
美国:https://gz1-acceptor.ms.gravityzone.bitdefender.com/srx/json
tenantid
必填
根据从客户成功团队成员处获取的租户ID值进行设置。
####-####-#### 或 1234-ABCD-5678
MDM设备ID
必填
这是该MDM系统中设备的唯一标识符。
$DEVICE_UUID$
启用认证重定向
可选
可选值为true或false。设置此值以控制并启用该功能,用于将HTTP网址重定向至定制化页面(要求用户启动应用程序)。 若使用其他重定向配置参数,则此键为必填项。
false
启用认证通知
必填
可选值为true或false。用于控制是否显示要求用户启动应用程序的本地通知消息。
true
自定义认证通知标题
必填
默认值设为“启动应用”。可根据需要将通知标题修改为自定义标题。
“启动应用”
运行级别
可选
用于指定检测的运行级别,可选值为“QA”、“Beta”和“Production”,默认设置为Production。
“启动应用”
Base64编码自定义HTML页面
可选
管理员可设置访问HTTP站点时显示的自定义HTML页面。需先进行Base64编码再填入此字段。
VPN子类型
可选
指定需要激活的应用程序。
在MobileIron Core控制台内配置
-
登录至 MobileIron Core 使用管理员ID和密码登录。
-
导航至 设备与用户 > 添加并创建 一个类型为手动的新标签。
-
导航至 策略与配置 并创建新的配置配置文件。
-
随后 策略与配置 窗口将打开。点击左上角“新增”旁边的下拉菜单。
-
选择 新增 ,然后选择 iOS/macOS/tvOS .
-
点击 配置配置文件 .
-
在此窗口中,输入零接触配置文件的名称和描述。
-
浏览至您在上文部分创建的配置文件,并将其与您创建的新标签关联。
-
确保将配置分配给您在步骤2中创建的标签。
在Mobile Security控制台中配置
-
登录Mobile Security控制台。
-
导航至管理页面和集成选项卡,添加MobileIron Core MDM。
-
在策略页面的威胁策略选项卡中导航至威胁策略。
-
使用MDM操作和缓解操作字段值更新待激活应用的威胁。
-
保存并部署您的更改
自动激活/高级应用程序部署
该 GravityZone MTD 在iOS和Android Enterprise中均可实现自动激活。各平台流程有所不同,具体说明如下。
iOS激活
添加应用程序后,在MobileIron中配置所需密钥。 为该应用创建包含以下表格所列变量的PLIST配置文件。
|
配置键 |
值类型 |
配置值 |
|---|---|---|
|
MDMDeviceID |
字符串 |
$UDID |
|
tenantid |
字符串 |
从Mobile Security Console管理页面General选项卡下的Tenant ID字段复制该值。 从Mobile Security Console获取 |
|
defaultchannel |
字符串 |
从Mobile Security Console管理页面General选项卡下的Default Channel字段复制该值。 从Mobile Security Console获取 |
|
tracking_id_1 |
字符串 |
(可选)使用指定标识符 |
|
tracking_id_2 |
字符串 |
(可选)使用指定标识符 |
|
display_eula |
字符串 |
no(可选)若不使用此键,默认显示最终用户许可协议(EULA)。 |
|
assume_vpn_permission_granted |
字符串 |
(可选)true 取值为true或false。将此值设为true以授予该权限。若使用此选项,请确保其位于MDM应用配置键列表中。此选项仅适用于iOS。 |
通过控制台将PLIST文件添加至MobileIron,步骤如下:
-
进入“策略与配置”并选择“配置”。
-
选择“新增”,然后选择“iOS与OS X”。
-
选择“托管应用配置”。
-
选择先前创建的文件进行上传。
-
输入iOS应用的Bundle ID。
-
点击新托管应用配置项旁的单选按钮。
-
进入“更多操作”并选择“添加至标签”。
-
选择与iOS应用关联的标签。
-
点击“应用”
Android激活
Android企业用户可使用托管应用配置进行激活。对于原生Android设备,激活需使用可通过移动安全控制台或MDM发送给终端用户的激活URL。移动安全控制台页面会显示过期日期和时间,且可重新生成链接。管理员通过邮件或短信向用户发送拼接后的激活链接及接受推送应用的说明。
GravityZone MTD 与MobileIron Cloud的集成
同步
完整MDM同步
在MDM集成设置期间的初始完整同步后,计划同步流程每四小时运行一次。
按需设备同步
由于MDM同步存在四小时窗口期,可能出现新MDM用户的应用被推送至设备后,在设备完成MDM同步前尝试启动应用的情况。移动安全控制台通过以下方式处理:当 GravityZone MTD 尝试激活但尚未存在相关信息时,执行按需设备同步。 移动安全控制台应用从用于身份验证的应用中获取识别信息,并将其与相应用户匹配以完成认证。完成后,移动安全控制台从为该客户配置的MDM中检索设备及用户信息。该设备上的 GravityZone MTD 即通过认证并允许继续操作。为实现此功能,应用需按以下方式部署:
-
iOS:将应用配置与推送字段的应用关联,以实现按需设备同步。
-
Android:需使用Android企业版实现自动激活。原生Android需使用移动安全控制台激活URL。
设置同步
下一步是创建一个或多个设备组(若尚未存在用于此目的的组),其中包含受保护的设备。移动安全控制台通过这些设备组同步设备及其关联用户。在MobileIron控制台中设置设备组后,于移动安全控制台按以下步骤继续同步设置。
零接触激活适用于 GravityZone MTD 用于MobileIron Cloud
该功能允许管理员在受管理设备上激活应用保护,而无需终端用户点击已安装的应用程序。
设置概述
-
MobileIron Cloud控制台为设备配置了设备组和VPN配置文件(VPN)
-
移动安全控制台已将MDM定义为集成项。
设置iOS应用的零接触激活
本指令集描述如何配置零接触 GravityZone MTD 的iOS激活流程。该选项可在终端用户设备未激活应用的情况下检测威胁,此时 GravityZone MTD 会从MDM推送至设备。系统将提示用户打开应用,但这不是强制操作。VPN配置文件会在设备上持续运行,直至用户激活应用。
为iOS配置MobileIron Cloud
-
使用管理员ID和密码登录MobileIron Cloud。
-
创建新设备组。
-
转至配置页面。
-
点击添加->选择自定义配置。
-
在此窗口中输入零接触配置文件的名称,例如命名为
VPN. -
浏览至上一节创建的配置文件,并将其上传至配置中。
-
确保将该配置分配至步骤2中创建的设备组。
在移动安全控制台中配置零接触激活
要完成零接触激活配置,请执行以下步骤:
-
登录移动安全控制台。
-
转至管理页面和集成选项卡,添加MobileIron Cloud MDM。
-
在策略页面的威胁策略选项卡中导航至威胁策略。
-
在选定组字段中选择适当的组。
-
使用MDM操作和缓解操作字段值更新待激活应用威胁。
-
保存并部署更改。
设置Android零接触激活 GravityZone MTD
MobileIron Cloud可通过Android Enterprise和配置启动并激活设备上的应用。该选项可在不激活终端用户设备上的 GravityZone MTD 情况下检测威胁(应用由MDM推送)。系统会提示用户打开应用,但非强制操作。在用户激活应用前,VPN配置文件将持续在设备上运行。 需在移动安全控制台和MobileIron Cloud两端完成设置。
为Android配置MobileIron Cloud
为设备创建以下两项附加配置并分发给用户组。
始终开启VPN配置
-
使用管理员ID和密码登录MobileIron Cloud。
-
选择配置并点击+添加。
-
搜索始终开启VPN并选中。
-
输入名称并选择Android。
-
选择GravityZone移动安全应用作为"始终开启"应用,并选定需要此配置的设备。
-
将此配置分发给用户组。
自动运行时权限授予配置
-
使用管理员ID和密码登录MobileIron Cloud。
-
选择配置并点击+添加。
-
搜索默认应用运行时权限并选中。
-
输入名称并选择自动授予。
-
点击下一步并选定需要此配置的设备。
-
将此配置分发给用户组。