BlackBerry集成指南
BlackBerry目前有两款产品可与 移动安全 :
-
统一终端管理服务器(原称BES)
-
BlackBerry Dynamics(原称Good Dynamics)
先决条件
要实现MDM设备与UEM的集成,需建立Bitdefender 移动安全 控制台与UEM API服务器之间的连接。通过TCP端口17433和18084的SSL协议在互联网上实现该连接。此外,对于本地部署的UEM管理服务器,移动控制台必须能够通过端口17433或18084连接至API服务器。
|
项目 |
详情 |
|---|---|
|
UEM MDM注册设备 |
UEM V12.4 注意iOS应用配置仅支持UEM V12.6及以上版本。 |
|
UEM管理控制台中的API管理员账户 |
了解如何设置API管理员账户 此处 . |
|
访问UEM服务器上的特定TCP端口 |
TCP 17433和18084 |
|
MDM密码 |
不要在MDM访问密码字段中使用冒号(:),或使用`password`作为密码值。 |
注意
MDM集成不支持UEM云版本(SaaS管理服务器),因其不支持MDM集成所需的API。MDM集成仅支持本地部署的UEM产品。
MDM与 移动安全 控制台通信
该 移动安全 控制台已设置为启用API访问,以便与UEM控制台共享信息。当检测到事件时, GravityZone MTD 会参考设备的现有威胁策略,并将指定的MDM操作传达给 移动安全 控制台服务器。服务器与相应的UEM API服务器建立通信,并传输必要命令以执行指定操作。
控制台集成:BlackBerry UEM与 移动安全 控制台
完整MDM同步
在MDM集成配置期间完成主要完整同步后,同步进程将按照硬编码频率定期运行。
-
新注册:如果用户组中的新用户用于同步,他们及其设备将被添加到 移动安全 控制台。
-
注销用户/设备(通过UEM MDM移除):若用户被注销,则其将从 移动安全 控制台中移除。此操作不会删除与该用户或设备相关的任何事件记录。
按需设备同步
当新注册设备安装应用并尝试在MDM同步前登录时, 移动安全 控制台会执行按需设备同步。控制台从 GravityZone MTD 获取用于身份验证的识别信息,并与对应UEM MDM进行匹配验证。完成后, 移动安全 控制台将从配置的MDM中获取该设备及用户信息,使应用通过认证并继续运行。此类同步会随设备激活逐步添加设备。
先决条件
为确保同步正常运行, GravityZone MTD 需按以下方式部署:
-
iOS :需将包含租户ID和默认通道的应用配置与推送应用关联,以实现按需设备同步。
-
Android :需使用Android企业版实现自动激活。对于原生Android系统,请使用 移动安全 控制台提供的激活URL。
同步设置
请按以下章节步骤完成同步配置:
设置UEM管理员用户
按以下流程创建具有适当角色权限的UEM管理员:
选择“管理员”,然后选择“角色”。-
在导航面板中选择“设置”。
-
选择“管理员”,然后选择“角色”。
-
点击图标添加角色。
-
输入名称和描述。
-
勾选以下选项:
-
群组管理
-
所有群组和用户
-
-
用户与设备
-
查看用户及已激活设备
-
管理设备
-
管理BlackBerry Dynamics应用
-
查看群组设置
-
-
在UEM中设置用户群组
若未预先选择,请创建一个或多个包含待保护设备的用户群组。 移动安全 控制台通过用户群组同步用户与设备。 请确保TCP端口18084已开放,并将用户添加至用户群组。
在Bitdefender中设置用户与设备同步 移动安全 控制台
要在 移动安全 控制台中设置MDM集成:
-
登录 至 移动安全 控制台。
-
进入 管理 页面。
-
选择 集成 .
-
点击 添加MDM 并选择要使用的MDM集成方案。
-
在表格中输入与UEM集成列表相关的信息,然后点击 下一步 .
字段
描述
URL
UEM API服务器的URL。例如,在URL末尾追加':18084/SRP_ID',其中SRP_ID是服务器路由协议标识符(SRP ID)。该SRP ID可在用户BlackBerry账户的“我的账户”标签页下的服务器部分找到。
每个服务器具有不同的SRP ID。也可联系BlackBerry代表获取协助。例如:https://se-lab-uem2.zdtmdc.com:18084/S62887113
用户名
已创建并授予必要角色访问权限的UEM管理员账户。
密码
UEM管理员的密码。
MDM名称
用于在 移动安全 控制台中代表此MDM集成的内部名称。
后台同步
勾选此框可确保用户/设备与下一页选择的UEM用户组保持定期同步窗口。
屏蔽导入的用户信息
勾选此框可屏蔽用户的个人身份信息,例如姓名和电子邮件地址。
通过 移动安全 控制台发送iOS设备激活邮件
勾选此框可为每台与MDM同步的iOS设备向用户发送激活邮件。
通过 移动安全 控制台发送Android设备激活邮件
勾选此框可为每台与MDM同步的Android设备向用户发送电子邮件。
-
点击 下一步 并选择要同步的用户组。可用组将显示在“可用设备组”列表中,可通过点击加号(‘+’)移动到“已选 移动安全 控制台组”列表。点击减号(‘-’)可撤销此操作。
-
点击 下一步 .
-
指定MDM警报 若需在MDM同步出错时接收通知。如需多个邮箱地址,请用逗号分隔。
-
点击 完成 保存配置,并通过点击 立即同步 .
应用程序部署与激活
要通过UEM部署应用程序,可从iOS和Android应用商店下载对应版本。
在公共商店发布应用的步骤:
-
在App Store或Google Play商店新建应用并搜索 GravityZone MTD 应用。
-
将应用添加为公共应用程序,若使用自动激活功能,请根据“iOS企业激活”和“Android企业激活”章节中的指定值配置应用。
-
为用户组分配该应用并发布。
-
应用将自动安装到已分配用户组的设备上
iOS零接触激活 GravityZone MTD
此功能允许管理员在托管设备上启用威胁防护,而无需终端用户与已安装应用交互。下图展示了交互流程概览。
设置概览
以下列出零接触激活与威胁报告需配置的项目:
-
BlackBerry UEM为设备设有用户组。
-
设备已在MDM中注册。
-
VPN配置文件最初会被推送至设备。
-
应用程序被推送至设备。
-
-
该 移动安全 控制台已将MDM定义为集成项。
-
该 移动安全 控制台针对“应用待激活”威胁设置了MDM操作和缓解操作。
以下步骤描述零接触激活配置后的示例流程:
-
该 移动安全 控制台策略页面针对“应用待激活”威胁设置了MDM操作,将设备加入与VPN配置文件关联的用户组,从而安装VPN配置文件。
缓解操作字段设为“移除”,当 GravityZone MTD 激活后,VPN配置文件将从设备中移除。
-
MDM将应用程序和VPN配置文件推送至设备。
-
VPN配置文件会在设备上显示“安装应用”通知,但终端用户尚未激活应用。
-
设备上会生成威胁(如“设备PIN”威胁)。
-
VPN配置文件显示设备上的威胁通知,此时移动安全应用仍未启动。
-
该威胁可见于 移动安全 控制台的威胁日志页面,且:
-
应用名称显示为“VPN扩展”。
-
检测状态显示设备为“活跃”。
-
应用状态显示设备为“待激活”。
注意
此威胁在休眠期(由移动安全 控制台管理页面的“允许不活动时间”设置)后被记录。 控制台。
-
-
用户启动 GravityZone MTD 并激活它。
-
设备的检测状态显示为“活跃”。
-
设备的应用状态显示为“活跃”。
-
设置零接触配置
本组说明描述了设置零接触应用激活及工作流程。此选项可在终端用户设备上无需激活 GravityZone MTD 的情况下检测威胁,该应用由MDM推送。系统会提示用户打开 GravityZone MTD ,但这不是必需操作。VPN配置文件将在设备上运行,直至用户激活该应用。
要配置零接触激活,请执行以下步骤:
-
登录BlackBerry UEM控制台。
-
确保已配置以下内容(具体描述 见此 .
-
在BlackBerry UEM控制台中创建共享证书配置文件,导航至该位置并点击加号图标。
策略和配置文件 > 证书 > 共享证书
注意
证书内容可灵活设置,只需存在即可,因此任何.pfx或.p12扩展名的证书均可接受。
-
导航至该位置
策略和配置文件>网络和连接>VPN,点击加号图标并添加VPN配置文件。 -
打开您在初始步骤中创建的用户组。确保您的VPN配置文件与该用户组关联,共享证书与该用户组关联,且已将适当的应用设为必需分配应用。
在 移动安全 控制台上设置零接触激活
要将 移动安全 要与BlackBerry UEM MDM控制台实现零接触激活集成,请执行以下步骤:
-
登录 移动安全 控制台。
-
转到管理页面和集成选项卡,添加BlackBerry UEM MDM。
-
在策略页面的威胁策略选项卡中导航至威胁策略。
-
从“选定组”字段中选择组。该值是设备的原始用户组。
-
使用MDM操作和缓解操作字段值更新“待激活应用”威胁。
-
保存并部署您的更改。
iOS: GravityZone MTD 自动激活配置
当应用被推送到设备时, GravityZone MTD 会利用应用配置。这通过允许用户无需输入密码即可启动 GravityZone MTD iOS版,提供最佳的iOS用户体验。应用配置会将必要信息预加载到iOS应用中。 首先,将 GravityZone MTD iOS版设为公共应用。 此配置在UEM中进行。在添加应用步骤中,有机会定义添加应用配置。
-
如果当前已定义应用,请编辑应用并滚动到底部。
-
点击加号(+)添加带有键和值的应用配置。
-
点击保存。
-
将此应用分配给组时,确保选择要使用的应用配置。
Android: GravityZone MTD 自动激活配置
Android Enterprise(Android for Work)用户可以使用托管应用配置进行激活。管理员必须验证是否为配置参数传递了正确的设备标识符值。
对于原生Android设备,激活需要使用激活URL。这些URL通过 移动安全 控制台或MDM发送给最终用户。点击 GravityZone MTD 若缺少链接则无法激活安卓设备上的应用。当用户通过激活URL链接运行应用时,该应用会被激活并下载相应的威胁策略。这些内容可通过 移动安全 控制台或MDM发送给终端用户。
要获取激活链接,请进入 移动安全 控制台的管理页面,选择集成选项卡。添加MDM后,系统会为设备提供激活链接。该激活链接需与MDM设备标识符拼接使用。 移动安全 控制台页面会显示链接的到期日期和时间,必要时可重新生成链接。
管理员通过电子邮件或短信向用户发送拼接后的激活链接,并附上接受推送应用的说明。
BlackBerry Dynamics(MAM/容器化选项)
UEM中的Dynamics安全移动平台为公司知识产权提供额外保护。BlackBerry用户与 移动安全 控制台保持同步,该控制台会向BlackBerry Dynamics传达在不同情境/威胁下保护设备应采取的措施。这些措施通过威胁策略进行选择。
先决条件要求
|
项目 |
具体要求 |
|---|---|
|
BlackBerry Dynamics或UEM管理控制台中的管理员账户 |
确保管理员账户具有下文定义的角色权限。 |
|
BlackBerry Dynamics服务器上的公共SSL证书 |
该公共证书需获得外部信任(由可信CA颁发)。 |
|
访问BlackBerry Dynamics服务器特定TCP端口 |
TCP/18084 TCP/17433 |
|
获得运行 GravityZone MTD 的许可(适用于BlackBerry Dynamics试用或概念验证阶段)。 |
访问请求URL |
BlackBerry Dynamics与 移动安全 控制台的通信
该 移动安全 控制台配置为通过API访问与BlackBerry Dynamics服务器共享信息。当 GravityZone MTD 检测到事件时,会查询当前威胁策略,若定义了特定合规操作,则会将该操作传达至 移动安全 控制台服务器。
控制台集成
移动安全 控制台与BlackBerry Dynamics控制台
设备通过定时同步流程进行管理,新增用户会被加入 移动安全 控制台移动安全控制台,并从控制台移除。当前所有在BlackBerry Dynamics控制台上活跃的设备均会同步。
设置同步步骤:
-
创建一个具有以下权限角色的BlackBerry Dynamics管理员账户。
-
导航至设置,然后选择管理员。
-
选择角色。
-
点击图标添加角色。
-
此账户将用于同步。
-
确保以下端口在UEM Dynamics服务器入站方向开放:
-
在 移动安全 控制台中,按以下步骤创建MDM集成:
-
在导航菜单点击管理,选择集成标签页。
-
点击添加MDM。
-
选择BlackBerry UEM图标。
-
输入该集成的特定参数值。
-
点击下一步,选择要同步的用户组。可用用户组显示在可用设备组列表中,可通过点击加号(‘+’)移至已选 移动安全 控制台组列表。点击减号(‘-’)可撤销操作。
-
点击下一步。
-
如需在MDM同步出错时接收通知,请指定MDM警报接收邮箱。多个邮箱地址请用逗号分隔。
-
点击完成。
-