IBM MaaS360集成指南
与 移动设备管理(MDM) 服务器及 移动安全 控制台 提供以下功能:
-
从MDM同步用户与设备。
-
为用户提供透明访问 GravityZone MTD .
-
定义用于策略及其他配置项的群组。
-
除了内置的 GravityZone MTD .
-
通过MDM的应用配置推送自动激活应用,并验证设备标识符和用户身份。
要将 移动安全 控制台与 IBM MaaS360 集成,必须在 移动安全 控制台与IBM MaaS360 API服务器之间建立连接。
这是通过互联网使用SSL实现的。
先决条件
|
项目 |
具体要求 |
|---|---|
|
IBM MaaS360 MDM注册设备 |
7.2及以上版本 |
|
IBM MaaS360管理控制台中的API管理员账户 |
需定义适当的角色。 |
|
IBM MaaS360 Web服务访问权限 |
必须拥有对IBM MaaS360环境的Web服务访问权限。 |
|
Python访问权限 |
需能访问Python以进行IBM MaaS360的可选初始设置。 |
|
MDM密码 |
不要在MDM访问密码字段中使用冒号(:),或使用`password`作为密码值。 |
MDM与 移动安全 控制台通信
该 移动安全 控制台已设置为启用API访问,以便与IBM MaaS360控制台共享数据。
当检测到事件时, GravityZone MTD 会参考设备上现有的威胁策略。如果指定了特定的移动设备管理(MDM)操作,该操作随后会被传输至 移动安全 控制台。
随后,控制台会与相应的IBM MaaS360 API服务器建立通信,并传输执行指定操作所需的指令。
如果用户被移除,他们也将从控制台中移除。所做的更改不会导致与该用户或设备关联的任何事件被删除。
完整的MDM同步
在MDM集成设置期间完成初始完整同步后,计划同步过程每四小时运行一次。
按需MDM同步
由于MDM同步窗口为四小时,有时新的MDM用户的移动应用已推送至其设备,但在设备尚未从MDM同步时尝试启动应用。
这种情况由 移动安全 控制台处理,当应用尝试启动但尚未获取信息时,控制台会按需建立设备连接。
为进行验证, 移动安全 控制台从应用中获取客户的识别信息,并将其与正确的客户匹配。
匹配成功后, 移动安全 控制台会从为该客户设置的MDM中获取设备和人员信息。
此时设备的移动应用已获授权,可以继续运行。
设置设备应用部署
API访问
MaaS360需要这些详细信息以生成访问其REST API的身份验证令牌。
-
账单ID
-
应用ID
-
应用版本
-
平台ID
-
应用访问密钥
初始配置
可使用可选的Python脚本在IBM MaaS360环境中执行初始配置。该脚本会配置来自公共商店的iOS和Android GravityZone MTD 、自定义属性及若干设备组。
-
从 GravityZone MTD 下载包含脚本和自述文件的 此处 .
-
登录后,此链接允许下载名称类似于以下的ZIP文件: BitdefenderIntegrationScriptForMaaS360_version.zip 其中version表示脚本和ZIP集合的版本号。
-
ZIP文件包含ReadMe_v2.0.pdf文件,该文档详细说明了脚本的运行方法。
注意
在运行
Runner.py脚本前,需确保已安装requestsPython包。使用
pipinstallrequests在您的平台上安装该包以运行脚本。也可使用其他等效命令在Python环境中安装此包。 -
ZIP文件中的脚本用于在IBM MaaS360环境中设置集成,仅需运行一次。
-
要从公共应用商店发布 GravityZone MTD ,需创建新的公共应用并在相应商店搜索该应用。 至此,应用已发布并安装到指定设备,用户可立即激活应用。
MDM配置
要设置设备同步,需创建具有适当访问权限的IBM MaaS360管理员:
-
导航至 设置 > 角色 > 添加角色 .
-
输入新角色的 名称 和 描述 。
-
选择服务管理员角色作为模板。
管理自定义属性
具备添加、修改或删除自定义属性的权限。
选择性擦除
具备选择性擦除设备上企业数据的权限。
设置自定义属性值
具备设置自定义属性的权限。
用户-只读
仅具备用户视图的查看权限。
查看已安装应用
具备查看设备上已安装应用的权限。
查看私有群组
具备查看所有管理员的私有设备群组的权限。
API访问与设备群组
配置API访问并创建设备群组的步骤:
-
联系IBM客户支持获取 REST API密钥 .
-
如需,创建一个或多个 设备群组 包含需保护设备的设备组。若不想使用预定义群组, Mobile Security 控制台可通过设备组同步设备及其关联用户。
在Bitdefender中设置用户与设备同步 Mobile Security 控制台
要在 Mobile Security 控制台中设置MDM集成:
-
登录 Mobile Security 控制台。
-
进入 管理 页面。
-
选择 集成 .
-
点击 添加MDM 并选择要使用的MDM集成。
-
在表格中输入与UEM集成列表相关的信息,并点击 下一步 .
项目
详情
URL
IBM MaaS360 API服务器的URL。
用户名
具有API角色访问权限的IBM MaaS360管理员账号。
密码
IBM MaaS360管理员账号的密码。
MDM名称
本文档规定了 移动安全 控制台中用于表示MDM集成的命名规则。"名称"一词将作为前缀与组名连接,从而形成 移动安全 控制台组名称。
后台同步
勾选此项可确保用户/设备与IBM MaaS360设备组保持同步。您可在下一页选择同步群组。
隐藏导入用户
信息
勾选此项可在显示时隐藏用户的个人身份信息(如姓名或电子邮件地址)。
应用访问密钥
来自该MDM提供商的应用访问密钥值。启用Web服务后可从IBM获取API密钥值。
计费ID
来自该MDM提供商的应用访问密钥值。
应用ID
来自该MDM提供商的应用标识符。
应用版本
来自该MDM提供商的应用版本号。
平台ID
来自该MDM提供商的平台标识符。
通过 移动安全 控制台发送iOS设备激活邮件
勾选此项将为每台与MDM同步的iOS设备向用户发送激活邮件。
通过 移动安全 控制台(适用于安卓设备)
勾选此框可为每台与MDM同步的安卓设备向用户发送电子邮件。
-
点击 下一步 并选择要同步的用户组。可用组将显示在“可用设备组”列表中,可通过点击加号(‘+’)移动到“已选 移动安全 控制台组”列表。点击减号(‘-’)可撤销此操作。
-
点击 下一步 .
-
指定MDM警报 若希望在MDM同步错误时接收通知。如需多个邮箱地址,请用逗号分隔。
-
点击 完成 保存配置,并通过点击 立即同步 .
配置设备应用自动激活
iOS
iOS版 GravityZone MTD 在应用推送至设备时采用托管应用配置。这能提供最佳用户体验,用户无需输入凭据即可启动iOS版 GravityZone MTD 。托管应用配置会预先将必要信息写入iOS GravityZone MTD。
-
配置PLIST值并确保PLIST XML中使用相同值。
配置键
值类型
配置值
附加说明
MDM设备ID
字符串
%csn%
租户ID
字符串
从 移动安全 控制台获取
从 移动安全 控制台管理页面“常规”选项卡下的“租户ID”字段复制该值。
默认渠道
字符串
从 移动安全 控制台获取
从 移动安全 控制台管理页面“常规”选项卡下的“默认渠道”字段复制该值。
跟踪ID_1
字符串
使用所需标识符
(可选)此为跟踪标识符。
跟踪ID_2
字符串
使用所需标识符
(可选)此为跟踪标识符。
显示最终用户许可协议
字符串
否
(可选)若未使用此键,默认将显示最终用户许可协议(EULA)。
-
选择配置XML文件(手动)或键/值对作为应用配置源。
-
若选择XML文件选项,该XML文件需包含以下示例内容(适用于 GravityZone MTD .
-
若选择键值对选项,可直接输入数值而无需创建文件。
Android
Android企业用户可继续使用托管应用配置进行激活。需确保为配置参数传递正确的设备ID值。
原生Android设备需通过激活URL进行激活。可通过 移动安全 控制台或MDM发送给终端用户。
点击 GravityZone MTD (无链接)不会激活 GravityZone MTD 的Android设备功能。用户通过带激活URL链接运行应用时,将激活并下载正确的威胁策略。
获取激活链接需访问 移动安全 控制台的MDM管理与集成页面。
添加MDM后,系统会为设备提供激活链接。该链接需附加MDM设备标识符使用。 移动安全 控制台页面会显示过期日期时间,必要时可重新生成链接。
管理员通过邮件或短信向用户发送拼接后的激活链接,并附 GravityZone MTD 推送的接受指引。
配置时请使用下表中的数值:
|
配置键 |
值类型 |
配置值 |
补充说明 |
|---|---|---|---|
|
MDM设备ID |
字符串 |
%设备ID% |
|
|
租户ID |
字符串 |
从 移动安全 控制台获取 |
从 移动安全 控制台管理页面常规选项卡中的租户ID字段复制该值。 |
|
默认渠道 |
字符串 |
从 移动安全 控制台获取 |
从 移动安全 控制台管理页面常规选项卡中的默认渠道字段复制该值。 |
|
跟踪ID_1 |
字符串 |
使用所需标识符 |
(可选)此为跟踪标识符。 |
|
跟踪ID_2 |
字符串 |
使用所需标识符 |
(可选)此为跟踪标识符。 |
|
显示最终用户许可协议 |
字符串 |
否 |
(可选)若不使用此键,默认将显示最终用户许可协议(EULA)。 |