首页 » Check Point MTD 集成
pdf 图标
类别筛选

集成 Check Point Harmony Mobile 威胁防御 (MTD) 与 MDM

MDM 提供一个统一的控制台,用于监督移动设备群中的设备管理和移动威胁防御。管理员可以高效地监控设备安全,查看威胁警报,并生成有关安全事件的综合报告。MDM 可轻松集成 Check Point Harmony Mobile,并能够部署到庞大的设备库存。MDM 与 Check Point MTD 协同工作,以保护设备、检测威胁并执行安全策略,使用户能够无缝地完成任务而不受干扰。本文档介绍了如何将 Check Point Harmony Mobile 威胁防御集成到 MDM。

先决条件

集成 Check Point Harmony Mobile 与 MDM 前,请确保满足以下先决条件:

  1. 如果您的组织尚无账户,请在 Check Point Infinity 门户中创建账户。
  2. 创建一个单独的  用于需要通过 Check Point Harmony MTD 同步和监控的设备。
  3. 如果您希望监控个人设备(BYOD)中的威胁,则可以为 Android 工作配置文件设备创建单独组,Check Point 可通过此组识别个人设备。
  4. Managed Google PlayApple Business Manager 应配置为静默分发 Harmony Protect 应用到设备。

集成 Check Point Harmony Mobile 与 MDM

  1. 在 MDM 控制台,导航至 管理 > 集成 > 移动威胁防御。
  2. 点击 开始。现在点击 生成 凭据 来生成一组凭据,这组凭据将在 Check Point Harmony Mobile 控制台使用。
    注意: 出于安全原因,如果您关闭弹出窗口,则无法再次查看这些凭据。
  3. 登录您的 Check Point Harmony Mobile 控制台,导航至 设置 > 集成 > 添加 > UEM。
    4. checkpoint_mtd_1
  4. 选择 ManageEngine 作为 UEM 提供商,然后点击 下一步.
  5. 服务器 详细信息:
    a. 提供 服务器 地址, 用户名密码, 该信息为之前通过 MDM 生成的凭据。
    checkpoint_mtd_2 b. 点击 验证 ,然后 下一步.
  6. 同步:
    a. 从“组”下拉菜单中选择您希望从 MDM 同步的组。
    b. 在 Android 企业组下,选择包含 Android 工作配置文件(BYOD)设备的组。此字段可选。
    checkpoint_mtd_3 c. 点击 验证下一步.
  7. 标记:
    a. 应启用“标记设备状态”和“标记设备风险”,以便 MDM 能够传达 Harmony Mobile Protect 应用的部署状态以及设备风险等级。
    checkpoint_mtd_4 b. 点击 验证下一步。
  8. 部署:
    a. 勾选 "允许设备同步前自动添加设备" 选项。如果未勾选此选项,设备将无法同步到 Harmony Mobile 仪表板。
    b. 系统将生成一个唯一令牌,需在 MDM 应用配置中使用此令牌,告知设备应注册到哪个仪表板。
    checkpoint_mtd_5 c. 点击 完成。

现在返回 MDM 控制台并点击 同步。

checkpoint_mtd_6

Check Point Harmony MTD 将成功集成到 MDM。

MTD 组

集成后,Check Point MTD 负责分析威胁并将设备分类到不同的组。MDM 会自动创建这些组。您可以通过导航到 MDM 控制台 > 设备管理 > 组与设备 > 组检查这些组。以下是 Check Point Harmony Mobile 创建的组:

  1. CHKP_Status_Provisioned: 已配置并与 Harmony Mobile 仪表板同步的设备。必须向该组部署 Harmony Mobile Protect 应用。
  2. CHKP_Status_Active: 已安装并注册 Harmony Mobile Protect 应用到 Harmony Mobile 仪表板的设备将被移至此组。
  3. CHKP_Status_Inactive: 如果设备未与 Harmony Mobile 仪表板通信,则移动至该组。
  4. CHKP_Risk_High: 高风险级别的设备将被移至此组。
  5. CHKP_Risk_Medium: 中风险级别的设备将被移至此组。
  6. CHKP_Risk_Low: 低风险级别的设备将被移至此组。
  7. CHKP_Risk_None: 无风险的设备将被移至此组。

部署 Harmony Mobile Protect 应用

集成 Check Point 与 MDM 后,您需要向设备部署 Harmony Mobile Protect 应用,以便使用 Check Point MTD 监控威胁。

1. Lacoon 服务器地址:
美国 - gw.locsec.net
爱尔兰(欧盟区域)- eu-gw.locsec.net
澳大利亚(亚洲区域)- au-gw.locsec.net
加拿大 - ca-gw.locsec.net
英国 - uk-gw.locsec.net
印度 - in-gw.locsec.net
2. 令牌 - 可从 Check Point 门户 -> 设置 -> 集成 -> 编辑 -> 部署 获取。
3. Infinity 门户账户 ID: 可从 Check Point 门户 -> 全局设置 -> 账户设置 -> 账户 ID 获取。

对于 iOS 设备:

  1. 添加 Harmony Mobile Protect 应用应用库。
  2. 转到应用配置,使用以下详细信息配置 XML 文件并上传。
    <?xml version="1.0" encoding="UTF-8"?>
         <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
         <plist version="1.0">
         <dict>
         <key>Lacoon Server Address</key>
         <string>gw(enter lacoon server address)</string>
         <key>Device Serial Number</key>
         <string>%serialnumber%</string>
         <key>token</key>
         <string>(enter token)</string>
         </dict>
         </plist>
    3. checkpoint_mtd_7
  3. 点击 保存 并点击 分发。
  4. 选择与 Check Point Harmony 仪表板同步的组。
  5. 确保 静默安装 已启用,以便在设备上无用户干预地静默分发应用。
  6. 应用将被静默安装到所选的 iOS 设备上。

对于 Android 设备:

  1. 添加 Harmony Mobile Protect 应用应用库。
  2. 确保以下 应用权限 已启用:
    a. 位置
    b. 相机
    c. 电话
    d. 存储
  3. 转到 应用配置 并使用以下详细信息配置应用。
    GW 地址:Lacoon 服务器地址
    MDM UUID:%udid%
    IMEI:%imei%
    令牌:填写从 Check Point 门户 -> 设置 -> 集成 -> 编辑 -> 部署 获取的令牌。
    MDM 名称:ME MDM
    Infinity 门户账户 ID:填写从 Check Point 门户 -> 全局设置 -> 账户设置 -> 账户 ID 获取的 ID。
    4. checkpoint_mtd_8
  4. 点击 保存 并点击 分发。
  5. 选择 组或设备 以分发此应用。
  6. 确保 静默安装 已启用,以便在设备上无用户干预地静默分发应用。
  7. 应用将被静默安装至选定的 Android 设备。 

安装后,用户需手动启动应用以完成注册。您可以通过以下步骤自动化此激活过程。

在设备上自动部署应用(零接触激活)

对于 Android 设备:

使用 MDM,管理员可以通过自定义配置自动激活 Android 设备上的应用。如果已配置并将 Harmony Mobile Protect 应用添加到应用库, VPN 始终开启 将自动启用。应用安装完成后,MDM 将自动激活该应用并将设备注册到 Check Point Harmony 仪表板。

对于 iOS 设备:

按以下步骤自动部署应用:

  1. 在 MDM 控制台,导航至 设备管理 > 配置文件 > iOS/iPadOS。
  2. 创建一个 自定义配置 配置文件。
  3. 上传以下 XML 文件以配置该配置文件。
    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
    <dict>
    	<key>PayloadContent</key>
    	<array>
    		<dict>
    			<key>IPv4</key>
    			<dict>
    				<key>OverridePrimary</key>
    				<integer>0</integer>
    			</dict>
    			<key>PayloadDescription</key>
    			<string>Configures VPN settings</string>
    			<key>PayloadDisplayName</key>
    			<string>VPN</string>
    			<key>PayloadIdentifier</key>
    			<string>com.mdm.checkpoint</string>
    			<key>PayloadType</key>
    			<string>com.apple.vpn.managed</string>
    			<key>PayloadUUID</key>
    			<string>com.mdm.checkpoint</string>
    			<key>PayloadVersion</key>
    			<integer>1</integer>
    			<key>UserDefinedName</key>
    			<string>Check Point Local Tunnel</string>
    			<key>VPN</key>
    			<dict>
    				<key>AuthName</key>
    				<string>%username%</string>
    				<key>AuthenticationMethod</key>
    				<string>Certificate</string>
    				<key>DisconnectOnIdle</key>
    				<integer>0</integer>
    				<key>IncludeAllNetworks</key>
    				<integer>0</integer>
    				<key>OnDemandEnabled</key>
    				<integer>1</integer>
    				<key>ProviderBundleIdentifier</key>
    				<string>com.checkpoint.capsuleprotect</string>
    				<key>RemoteAddress</key>
    				<string>www.checkpoint.com</string>
    				<key>OnDemandRules</key>
    				<array>
    					<dict>
    						<key>Action</key>
    						<string>Connect</string>
    						<key>InterfaceTypeMatch</key>
    						<string>WiFi</string>
    					</dict>
    					<dict>
    						<key>Action</key>
    						<string>Connect</string>
    						<key>InterfaceTypeMatch</key>
    						<string>Cellular</string>
    					</dict>
    				</array>
    			</dict>
    			<key>VPNSubType</key>
    			<string>com.checkpoint.capsuleprotect</string>
    			<key>VPNType</key>
    			<string>VPN</string>
    			<key>VendorConfig</key>
    			<dict>
    				<key>zero_touch</key>
    				<string>true</string>
    			</dict>
    		</dict>
    	</array>
    	<key>PayloadDisplayName</key>
    	<string>Checkpoint Local VPN</string>
    	<key>PayloadIdentifier</key>
    	<string>mdm.86265160-CCF7-446C-AF66-586F388DA8E4</string>
    	<key>PayloadRemovalDisallowed</key>
    	<false/>
    	<key>PayloadType</key>
    	<string>Configuration</string>
    	<key>PayloadUUID</key>
    	<string>40FCC72A-0B56-4F8C-8074-11068CBFECF8</string>
    	<key>PayloadVersion</key>
    	<integer>1</integer>
    </dict>
    </plist>
  4. 点击保存并发布配置文件。

一旦您将该配置文件分发到设备,Check Point Harmony 应用将在设备上成功激活,无需任何用户干预。

设备上网络检测的 SSL 信任证书

如果您使用设备上网络保护 (ONP) 功能并开启了 https 检查选项,您需要在 Harmony Mobile 仪表板创建 SSL 证书,然后在 MDM 服务器上设置该配置以推送到设备。此证书用于 ONP 的 SSL 检查。

  1. 在 Harmony Mobile 仪表板,转到 策略 > 网络保护。
  2. 在 HTTPs 设置下,选择 HTTPS 检查 复选框。
  3. Inspection CA,选择 Central CA 用于 UEM 部署。
  4. 点击 生成 CA 证书 并下载它。
  5. 返回 MDM 控制台,导航至 设备管理 > 证书 > +添加证书。
  6. 现在上传您从 Check Point 仪表盘下载的证书文件。
  7. 为 iOS 和 Android 创建证书配置文件。选择已上传的证书。
  8. 保存并发布配置文件,然后将其分发到设备。

监控威胁并预配置策略

Check Point MTD 将密切监控潜在的移动威胁,如恶意软件、恶意应用、网络攻击和设备漏洞。设备会根据识别的威胁自动分类为不同组别。这些组别包括高、中和低风险类别。使用 MDM,您可以预配置 安全策略和限制 以保护您的移动设备及其上的敏感数据。您可以 阻止关键业务应用 针对具有高威胁风险设备的组别。您还可以根据不同的威胁级别将设备锁定在 亭模式 中。通过根据风险级别预配置安全策略给组别,管理员可以降低安全风险并保护设备上的关键数据。

测试高风险活动检测和策略执行

如果用户的设备存在风险,可能是由于有害应用或活动,Harmony Mobile 会通过应用内通知提醒用户,并将该设备的风险级别更新到 Mobile Device Manager Plus 服务器。例如,如果管理员阻止了 WhatsApp 等应用,该设备将被标记为高风险并移至 CHKP_Risk_High 组别 在 MDM 中。

阻止测试应用:

  1. 登录到 Harmony Mobile 仪表盘。
  2. 转到 取证 > 应用 并点击您想阻止的应用。
  3. 选择 编辑应用例外 并点击您想修改的策略。
  4. 应用策略中的应用例外部分将显示。
  5. 从操作下拉列表中选择 阻止。
  6. 点击 添加 保存.

现在,所选应用将被标记为高风险,安装了该应用的设备将被移至 CHKP_High_Risk 组。所有预配置策略将应用于设备,以保护设备和数据免受高风险威胁。

移除 Check Point Harmony Mobile 集成

您可以随时移除 Check Point MTD 集成。要移除此集成,请按照以下步骤操作。

  1. 在 MDM 控制台,导航至 设备管理 > 管理员 > 集成 > 移动威胁防御。
  2. 点击 移除集成。
  3. 移除集成后,所有由 Check Point 创建的组将从 MDM 中删除。

注意:
要彻底移除 Check Point MTD 集成,您应从 Check Point Harmony Mobile 控制台 > 设置 > 集成中删除集成。

 

 

跳转到

< Previous

下一步 >