VMware Workspace ONE UEM集成指南
与MDM服务器及 移动安全 控制台的集成可实现以下功能:
-
将用户和设备从MDM同步至 移动安全 控制台
-
为用户提供透明访问 GravityZone MTD .
-
定义策略及其他配置项中使用的群组
-
在系统内置防护基础上提供细粒度防护机制 GravityZone MTD .
-
自动激活 GravityZone MTD 通过MDM的应用配置推送,并验证设备标识符和用户。
GravityZone MTD 检测恶意活动并在本地采取行动。
与MDM集成时,MDM能够执行保护操作。Workspace ONE UEM管理员可设置不同工作流以应对不同场景和威胁。
通过智能组、标签和配置文件实现设备保护工作流。
使用 GravityZone MTD 无需MDM集成,但集成可提供额外功能。
先决条件
与VMware Workspace ONE UEM集成需建立 移动安全 控制台与Workspace ONE UEM API服务器之间的连接。
创建仅供Bitdefender使用的API密钥,用于 移动安全 控制台与Workspace ONE UEM间的通信。Workspace ONE UEM会按API密钥监控连接,确保不超过阈值。为Bitdefender流量使用独立API密钥可降低触发阈值的风险。
设置Workspace ONE控制台
在Workspace ONE UEM中启用API服务
启用API服务需执行以下步骤:
-
登录 Workspace ONE UEM。
-
导航至 群组与设置 > 所有设置 > 系统 > 高级 > API > REST API .
-
点击 认证 选项卡,为 API调用 .
-
返回 常规 选项卡下,为Bitdefender创建一个API密钥。该密钥用于移动安全控制台的集成。
-
启用 API访问 (如果尚未启用)。
-
要创建唯一的 REST API密钥 ,请点击 + 添加 按钮。
-
在显示的新条目中,输入新服务名称—— BitdefenderAPI 并将账户类型设置为管理员。
-
-
点击 保存 .
-
复制新的 REST API密钥 用于 移动安全 控制台。
-
创建API管理员角色
通过以下步骤在Workspace ONE UEM控制台中选择或创建具有适当访问权限的管理员账户:
-
在Workspace ONE UEM控制台中,选择 全局 然后选择客户级组织组。
-
导航至 账户 .
-
展开 管理员 并点击 角色 .
-
点击 添加角色 ,在弹出的窗口中填写名称和描述。
-
在 类别 部分,展开 API 并点击 REST ,系统将显示可能的资源列表。
-
点击 详情 查看更多资源,并选择所需资源。
权限
类别
子类别
描述
编辑
API/REST
设备
REST API MDM智能群组
编辑
API/REST
设备
REST API MDM配置文件
编辑
API/REST
设备
REST API MDM设备
编辑
API/REST
设备
REST API设备高级功能
读取
API/REST
设备
REST API设备读取
编辑
API/REST
群组
REST API智能群组写入
编辑
API/REST
群组
REST API智能群组执行
编辑
API/REST
群组
REST API智能群组删除
读取
API/REST
群组
REST API智能群组读取
读取
API/REST
配置文件
更新策略读取权限
读取
API/REST
配置文件
REST API配置文件读取
编辑
API/REST
配置文件
REST API配置文件写入
编辑
API/REST
配置文件
REST API配置文件执行
编辑
API/REST
配置文件
REST API配置文件删除
-
在 分类 区域中,展开 设备管理 并选择 批量管理 .
-
系统将显示可用资源列表。
-
点击 详情 查看更多资源信息,然后选择所需资源。
权限
分类
子分类
描述
编辑
设备管理
批量管理
设备批量管理分配标签
-
在 分类 中,展开 设置 并选择 标签 (如果您的安装版本提供此选项)。系统将显示可用资源列表。
-
点击 详情 并选择所需资源。
权限
类别
子类别
描述
编辑
设置
标签
创建标签
编辑
设置
标签
编辑标签
编辑
设置
标签
删除标签
读取
设置
标签
查看标签
-
点击 保存 .
在Workspace ONE中创建新管理员用户
要在Workspace ONE控制台创建新管理员用户,请按以下步骤操作:
-
登录 Workspace ONE。
-
通过导航至 账户 > 管理员 > 列表视图 > 添加 > 添加管理员 .
-
为该管理员用户分配您先前设置的角色和权限。
点击 角色 > 选择一个或多个 智能组 (用于包含受管设备)> 选择 API角色 (上文创建的)> 将角色应用到一个或多个 智能组 (如需要)。
-
点击 API 选项卡 > 启用证书并创建证书密码。
在此过程中您需要两次输入证书密码:导出证书时,以及将证书导入 移动安全 控制台时。完成此过程的步骤如下:
-
点击 保存
-
保存管理员账户后,重新打开该账户
-
输入为证书创建的密码,并导出。
-
识别或创建用于初始同步的分配组
在 移动安全 控制台与Workspace ONE UEM之间的同步需要选择一个或多个特定的分配组。可通过导航至Workspace ONE UEM控制台完成此操作: 组与设置 > 组 > 分配组 .
在 移动安全 控制台中设置用户与设备同步
要在 移动安全 控制台中设置MDM集成:
-
登录 到 移动安全 控制台。
-
进入 管理 页面。
-
选择 集成 .
-
点击 添加MDM 并选择要使用的MDM集成。
-
点击 下一步 ,将打开一个窗口,其中包含用于输入Workspace ONE API URL、管理员账户和UEM系统名称的字段,以及其他用于集成两个系统的配置字段。
-
在表格中输入与UEM集成列表相关的信息,并点击 下一步 .
项目
具体内容
URL
Workspace ONE UEM API服务器的URL。
选择认证方式
选择证书或用户名/密码作为认证方式。
用户名
具有API角色访问权限的Workspace ONE UEM管理员账号。
密码
Workspace ONE UEM管理员的密码。
证书
若选择证书认证方式,请上传授权证书。
密码短语
若选择证书认证方式,请提供证书的密码短语。
MDM名称
在 移动安全 控制台中用于引用此MDM集成的名称。该名称会作为前缀与组名共同组成 移动安全 控制台组名。
后台同步
勾选此框可确保设备与下一页选择的Workspace ONE UEM智能组保持同步。
设置同步用户的密码
勾选此框可在用户同步时覆盖默认密码。若不勾选,则所有同步用户的默认密码将按以下规则生成:以Bitdefender环境名称开头,将所有大写字母转为小写,空格转为连字符,最后追加'1234!'。
同步用户的密码
覆盖同步时每个用户使用的密码值。
隐藏导入用户信息
勾选此框可隐藏显示时的用户个人身份信息(如姓名和电子邮件地址)。
API密钥
API密钥用于对API服务器进行安全认证。
通过 移动安全 控制台发送iOS设备激活邮件
勾选此选项,将为每台与MDM同步的iOS设备向用户发送激活邮件。
通过 移动安全 控制台发送Android设备激活邮件
勾选此选项,将为每台与MDM同步的Android设备向用户发送激活邮件。
-
点击 下一步 并选择要同步的用户组。可用组将显示在可用设备组列表中,可通过点击加号(‘+’)移动到已选 移动安全 控制台组列表。点击减号(‘-’)可撤销操作。
-
点击 下一步 .
-
指定MDM警报 若需在MDM同步出错时接收通知。如需多个邮箱地址,请用逗号分隔。
-
点击 完成 保存配置,并通过点击 立即同步 .
用户与设备同步
定时同步流程按设定间隔运行,将新增设备记录和用户(仅同步用户的邮箱地址及姓名)添加到系统。
-
新注册设备 :若新增用户或设备加入任何用于同步的组,其设备将被一并添加至 移动安全 控制台。
-
注销设备或用户 :若用户或设备显示为已移除或注销状态,则它们将从 移动安全 控制台中删除。此操作不会移除与该用户或设备关联的任何事件。
GravityZone MTD 配置与部署
应用程序部署
您可为iOS和企业级Android设备配置两种使用自动登录方法的应用程序类型。建议尽可能采用自动激活方式。
公共应用程序推荐方法
要通过Workspace ONE UEM部署应用程序,请从App Store获取 iOS版本 ,并从Google Play商店获取 Android版本 。
创建新的公共应用程序并在对应商店搜索 GravityZone MTD .
对于Workspace ONE UEM,Google Play商店链接可配合推荐人属性用于应用激活。
iOS配置与激活
iOS应用程序利用托管应用程序配置功能来提供最佳用户体验。提供多种激活选项以满足不同需求。
-
零接触激活
-
自动激活VPN
该 GravityZone MTD 托管应用程序配置
托管应用程序配置会预先为iOS应用程序加载必要信息。托管应用的配置在Workspace ONE UEM平台内完成。配置移动应用程序时,可在分配智能组时指定应用程序配置功能。
按以下步骤配置应用程序:
-
在此页面点击“发送应用程序配置”。
-
根据配置需求使用以下配置键和值。
配置键
值类型
配置值
附加说明
MDM设备ID
字符串
{设备唯一标识}
必填
租户ID
字符串
从 移动安全 控制台获取
必填 从 移动安全 控制台管理页面通用标签页下的租户ID字段复制该值
默认通道
字符串
从 移动安全 控制台获取
必填 从 移动安全 控制台管理页面通用标签页下的默认通道字段复制该值
跟踪ID_1
字符串
使用所需标识符
(可选)此为跟踪标识符
跟踪ID_2
字符串
使用所需的标识符
(可选)这是一个跟踪标识符。
display_eula
字符串
否
(可选)
若不使用此键,默认会显示最终用户许可协议(EULA),除非
zero_touch_activation被设置为true。assume_vpn_permission_granted
字符串
True
(可选)值为true或false。设为true以授予此权限。使用时请确保该键存在于MDM应用配置键列表中。仅适用于iOS。
-
点击发布并保存,将其推送至智能组中的设备。
零接触激活
此功能允许管理员在受管理设备上激活应用保护,无需终端用户点击已安装的应用程序。下图展示了交互流程概览。
配置零接触激活的步骤如下:
-
登录 VMware Workspace ONE控制台。
-
导航至 组与设置 > 组 > 分配组 并添加新的智能组。
注意
确保与VPN配置文件关联的智能组和设备组不相同。
-
在左侧导航菜单中,跳转至 资源 > 配置文件与基线 > 配置文件 并添加新配置文件。
-
点击 添加 > 添加配置文件 .
-
选择 Apple iOS 平台,然后选择 设备配置文件 .
-
输入配置文件名称。
-
点击 添加 在 自定义设置 行,并立即将 启用客户查找值 开关向右滑动。这将使“{DeviceUID}”宏生效。
-
粘贴编辑后的XML。由于只需少量修改,您也可在此表单中直接编辑。
-
点击 下一步
-
将配置文件分配至目标分配组,其他字段保留默认值,并点击 保存并发布 .
要完成零接触激活配置,请执行以下步骤:
-
登录 到 移动安全 控制台。
-
导航至 管理 > 集成 ,并添加VMware Workspace ONE MDM。
-
在 策略 页面和 威胁策略 选项卡中导航至威胁策略。
-
从 所选群组 字段中选择群组。该值为设备的原始智能群组。
-
使用MDM操作和缓解操作字段值更新 待激活应用 威胁。
-
保存并部署 您的更改。
Android配置与激活
使用Android时,有以下设置选项:
云基础设施的原生Android设置
要为原生Android设备激活应用,您可以使用激活URL。这些URL可通过 移动安全 控制台或MDM发送给最终用户。要访问激活链接,请使用 管理 页面并选择 集成 标签和MDM标签。添加MDM后,系统将为设备提供激活链接。
该激活链接需与MDM设备标识符结合使用,并可重新生成。管理员通过电子邮件或短信向用户发送拼接后的激活链接,并附上接受推送应用的说明。
本地化安卓环境配置
推荐使用公开版Google Play商店构建来部署Android Enterprise。若用户未配置使用Android Enterprise,则可通过 移动安全 控制台获取激活链接或联系客户支持。
Android Enterprise配置密钥
Android Enterprise用户可继续使用托管应用配置进行激活。请确保为配置参数传递正确的设备标识符值。
|
配置键 |
值类型 |
配置值 |
补充说明 |
|---|---|---|---|
|
MDM设备ID |
字符串 |
{设备唯一标识} |
必填 |
|
通用唯一标识符 |
字符串 |
{设备唯一标识} |
选填 |
|
租户ID |
字符串 |
从 租户ID 字段复制该值,字段位于 移动安全 控制台 管理 页面的 常规 标签页。 |
必填 |
|
defaultchannel |
字符串 |
从 默认渠道 字段复制该值,该字段位于 移动安全 控制台 管理 页面下的 常规 标签页。 |
必填 |
|
tracking_id_1 |
字符串 |
任意字符串标识符 |
(可选) 使用所需的标识符。 |
|
tracking_id_2 |
字符串 |
任意字符串标识符 |
(可选) 使用所需的标识符。 |
|
display_eula |
字符串 |
否 |
(可选) 如果不使用此键,默认会显示最终用户许可协议(EULA),除非zero_touch_activation设置为true。 |
Android企业配置中用于个人资料自动激活和报告的附加配置键与值。
|
配置键 |
值类型 |
配置值 |
附加说明 |
|---|---|---|---|
|
share_activation_data |
字符串 |
true或false |
若用户需自动激活个人资料应用则必须配置此项。默认值为
|
|
activation_package |
字符串 |
用于查询激活信息的应用Bundle Id。 |
(可选)仅在share_activation_data为true时需配置。 |
|
check_activation_status |
布尔值 |
|
(可选)若需让工作资料中的 GravityZone MTD 上报个人资料应用未安装或未激活状态时使用。默认为false。 |
|
check_activation_status_seconds |
整数 |
|
(若
|
Android企业版- GravityZone MTD 静默安装与激活
Workspace ONE UEM可通过Android Enterprise和配置功能在设备上启动或激活应用。该Android应用支持前台或后台模式启动。但Workspace ONE UEM的配置功能不支持企业拥有个人启用(COPE)模式,因此设备上仅会创建工作配置文件,不会创建个人配置文件。
Workspace ONE UEM控制台的应用设置
在Workspace ONE UEM控制台设置应用的步骤如下:
-
将公开的Android应用添加至 Workspace ONE UEM .
-
添加 Android企业配置密钥 章节中描述的应用配置参数。
-
分配应用时,通过导航至 应用 > 图书 并选择 原生 .
-
点击 公开 .
-
选择环境中已配置的Android版 GravityZone MTD 。
-
点击 分配 并找到对应的智能组。
-
修改设置,确保应用交付方式条目设为
自动后点击 添加 . -
选择 保存并发布 > 发布 .
在Workspace ONE UEM控制台上进行配置设置
要在Workspace ONE UEM控制台上配置自动启动功能,请执行以下步骤:
-
导航至 设备 并选择 配置 .
-
点击 组件 并选择 文件/操作 .
-
点击 添加文件/操作 并选择 Android .
-
填写 常规信息 。输入名称和描述。
-
点击 清单 选项卡。
-
在 安装清单 下,点击 添加操作 并选择 运行意图 .
-
在命令行信息中输入以下选项之一:
-
前台启动 MTD 。此选项下用户可见启动过程。
com.bitdefender.gravityzone.securityformobile.MainActivity -
后台启动 MTD 。此选项下用户不可见启动过程。
com.bitdefender.gravityzone.securityformobile.ui.DormancyStartActivity
-
-
选择超时值为 1 并点击 保存 .
-
再次点击 保存 ,该操作将显示在列表中。
-
导航至 设备 并选择 配置 .
-
点击 产品列表视图 并选择 添加产品 .
-
选择 Android 并提供一个名称值。
-
选择相同的关联智能组。
-
点击 清单 然后选择 添加 .
-
选择 安装文件/操作 .
-
在 文件/操作 输入框中,选择上面创建的操作并点击 保存 .
-
点击 激活 然后点击 保存 .
-
产品列表视图显示带有MTD操作的设备当前状态。
设置静默安装
设置静默安装是可选的。当MTD应用首次启动时,Android会强制要求提供存储、位置和其他功能的访问权限。
对于静默安装,请提前通过Workspace ONE UEM控制台使用配置文件回答这些问题,并执行以下步骤:
-
导航至 设备 并选择 配置文件与资源 然后点击 配置文件 .
-
点击 添加 ,接着点击 添加配置文件 并选择 Android .
-
填写基本信息,并选择与需保护设备关联的智能群组。
-
在左侧栏中选择 权限 然后点击 配置 .
-
在权限策略选项中,选择 提示用户 请求权限
-
在 例外 .
-
点击 配置 以选择用于安装问题的预设答案。
-
选择 授予 所有设置为预答问题的权限。
注意
通常,为所有选项选择“授予”。其他任何选择都可能在应用程序中提示用户响应,并可根据需要进行调整。
-
点击 保存 然后点击 发布 .