Regras e ações das políticas de conformidade
Você pode impor regras e tomar medidas quando os dispositivos não estiverem em conformidade com suas políticas. Essa lista é independente da plataforma.
Para descobrir quais regras e ações se aplicam a um dispositivo específico, vá para Dispositivos > Políticas de conformidade > Exibição de lista, selecione o botão Adicionar e, depois, selecione a plataforma para ver todas as regras e ações específicas a essa plataforma.
Regras
| Configuração | Descrição |
|---|---|
| Lista de aplicativos | Detecte aplicativos recusados específicos instalados em um dispositivo ou todos os aplicativos recusados. Você pode proibir alguns aplicativos (como aplicativos de redes sociais) e aplicativos recusados pelos fornecedores ou permitir apenas os aplicativos que você especificar. iOS: Devido ao modo como o status do aplicativo é relatado em dispositivos iOS, um aplicativo atinge o status "Instalado" somente após o processo de instalação estar totalmente concluído. Por esse motivo, se você estiver criando uma regra de conformidade que mede a lista de aplicativos de dispositivos iOS, considere aplicar uma ação que evite a destruição de dados. Por exemplo, apagar dados corporativos ou apagar todos os dados do dispositivo. macOS: Para dispositivos macOS, certifique-se de que as etapas a seguir sejam tomadas para usar a amostra nativa do MDM que contém uma lista de aplicativos instalados. 1. Definir configurações de privacidade. Vá para Configurações > Dispositivos e usuários > Geral > Privacidade e em "Aplicativos Pessoais" selecione Coletar e Exibir ou Coletar, Mas Não Exibir para os dispositivos atribuídos. 2. Digite a "ID do pacote de aplicativos" correta ao definir a política. Vá para Políticas de Conformidade > Modo de Exibição de Lista > Adicionar. Na guia Regras, a caixa de texto à direita, "Identificador de Aplicativo", deve conter a "ID do Aplicativo" nativo para o aplicativo de destino, não a ID de pacote gerado por Workspace ONE usado ao implantar o aplicativo, que você pode identificar por sua sintaxe com.vmw.macos.{Package_Name}. Não use esta ID de pacote se quiser aplicar a política de conformidade da Lista de Aplicativos para dispositivos macOS. Em vez disso, preencha essa caixa de texto na guia Regras com a ID do Aplicativo nativo, que você pode encontrar navegando até Detalhes do Dispositivo em um dispositivo de macOS de destino, clique em Aplicativos, localize o nome do aplicativo na lista e clique nele uma vez para exibir as informações do aplicativo e use a "ID do Aplicativo" exibida. Você também pode obter essa ID do Aplicativo inspecionando o aplicativo em um dispositivo macOS. |
| Status de antivírus | Detecta se um aplicativo antivírus está em execução. O mecanismo de política de conformidade monitora na Central de ações no dispositivo uma solução antivírus. O Windows tem suporte a todas as soluções antivírus de terceiros. |
| Atualizações automáticas | Detecta se a Atualização Automática do Windows está ativada com um perfil instalado de Atualizações do Windows. Para obter mais informações, consulte Perfil de Atualizações do Windows. O mecanismo de política de conformidade monitora na Central de Ações no dispositivo uma solução de atualização. Se sua solução terceirizada não aparecer no centro de ações, ela será informada como não monitorada. |
| Uso de dados/mensagens/chamadas de celulares | Detecta quando os dispositivos dos usuários finais excedem o limite determinado pelo plano de telecomunicação atribuído. O Workspace ONE UEM pode apenas fornecer uma notificação para quando o uso exceder um limite predeterminado, ou seja, o UEM não pode limitar o uso real. Para que essa regra de política funcione corretamente, você deve ativar a configuração Avançado de telecomunicação e atribuir o plano de telecomunicação ao dispositivo. |
| Atributo de conformidade | Compara atributos importantes no dispositivo contra a segurança do endpoint de terceiro, que retorna um valor booleano representando a conformidade do dispositivo. Disponível apenas para dispositivos Windows Desktop. |
| Status comprometido | Detecta se o dispositivo está comprometido. Proíbe o uso de dispositivos com jailbreak ou root que estão inscritos no Workspace ONE UEM. Dispositivos com jailbreak e root removem configurações completas de segurança e podem introduzir um malware em sua rede, que poderá acessar seus recursos corporativos. O monitoramento do status de um dispositivo comprometido é especialmente importante em ambientes BYOD, em que os funcionários têm várias versões de dispositivos e sistemas operacionais. |
| Cópia do Windows | Detecta se a cópia do Windows em execução no dispositivo é genuína. |
| Última visualização do dispositivo | Detecta se o dispositivo não fez o check-in dentro do prazo determinado. |
| Fabricante do dispositivo | Detecta o fabricante do dispositivo, o que permite que você identifique dispositivos de determinados fabricantes. Você pode proibir fabricantes específicos ou permitir apenas os que você indicar. |
| Etiquetas do dispositivo | Detecta se uma etiqueta do dispositivo está presente ou ausente no dispositivo. Você pode verificar várias etiquetas de dispositivo com uma regra. Operadores: - Contém Todos – Contém Qualquer Um – Não Contém Nenhum |
| Criptografia | Detecta se a criptografia está ativada no dispositivo. O Windows tem suporte a todas as soluções de criptografia de terceiros. |
| Status do Firewall | Detecta se um aplicativo de firewall está em execução. O mecanismo de política de conformidade verifica na Central de ações no dispositivo uma solução de firewall. O Windows tem suporte a todas as soluções de firewall de terceiros. |
| Espaço disponível no disco | Detecta o espaço disponível no disco rígido do dispositivo. |
| Área do iBeacon | Detecta se o seu dispositivo iOS está dentro da área de um grupo de iBeacon. |
| Vencimento do perfil de certificado interativo | Detecta quando um perfil instalado no dispositivo vence em um período específico. |
| Última digitalização comprometida | Detecta se o dispositivo não informou seu status comprometido no prazo determinado. |
| Aceitação dos termos de uso de MDM | Detecta se os Termos de uso do MDM atuais não foram aceitos pelo usuário em um prazo determinado. |
| Modelo | Detecta o modelo do dispositivo. Você pode proibir modelos específicos ou permitir apenas os que você indicar. |
| Versão do S.O. | Detecta a versão do sistema operacional do dispositivo. Você pode proibir certas versões do SO ou permitir apenas os sistemas operacionais e versões que especificar. Se você quiser impor a versão mais recente do Sistema Operacional, deverá atualizar a política de conformidade da Versão do Sistema Operacional a cada nova versão dele e, em seguida, enviar a política atualizada para os dispositivos relevantes. Todas as edições que você fizer em uma política existente farão com que as opções, como agendamentos de encaminhamento, sejam redefinidas. |
| Código de acesso | Detecta se um código de acesso está ou não presente no dispositivo. |
| Roaming | Detecta se o dispositivo está em roaming. Disponível apenas para usuários de Telecom Advanced. |
| Uso de dados celulares em roaming | Detecta o uso de dados de celular em roaming em relação a uma quantidade de dados estabelecida em MB ou GB. Disponível apenas para usuários de Telecom Advanced. |
| Versão do patch de segurança | Detecta a data do patch de segurança mais recente do dispositivo Android no Google. Aplicável apenas à versão Android 6.0 e posterior. |
| Mudança do cartão SIM | Detecta se o cartão SIM foi substituído. Disponível apenas para usuários de Telecom Advanced. |
| Proteção da integridade do sistema | Detectar o status da proteção proprietária do macOS de arquivos e diretórios de propriedade do sistema contra modificações por processos sem um "direito" específico, mesmo quando executado pelo usuário root ou por um usuário com privilégios de root. |
Ações
Aplicativo
- Bloquear/remover aplicativo gerenciado
-
Bloquear ou remover todos os aplicativos gerenciados
Quando a ação Bloquear/remover aplicativo é aplicada a um dispositivo fora de conformidade, o console do Workspace ONE UEM remove os aplicativos indicados e inicia um contador de 2 horas antes da próxima sincronização do dispositivo disponível. Sempre que a sincronização do dispositivo é executada, ele calcula quais aplicativos adicionar e remover, considerando as políticas de conformidade ativas. Quando a sincronização do dispositivo é executada após o cronômetro de duas horas, e o mesmo aplicativo é descoberto, o aplicativo é removido.
Porém, durante esse período de duas horas, o usuário pode tentar contornar a ação de conformidade e reinstalar os aplicativos bloqueados. Por exemplo, se eles fizerem o sideload do arquivo APK ou instalarem um aplicativo público da Play Store, a ação de conformidade poderá não ser acionada. Considere criar um perfil de dispositivo para evitar que o usuário instale aplicativos.
Há duas maneiras de fazer isso ao criar um perfil de dispositivo em Recursos > Perfis e linhas de base > Perfis.
- Somente Android – adiciona um payload de Controle de aplicativos para desativar o acesso aos aplicativos bloqueados. Para que este payload funcione, você deve criar um grupo de aplicativos na lista de bloqueios em Recursos > Aplicativos > Configurações > Grupos de aplicativos e atribuí-lo ao dispositivo em questão.
- Adicione um payload de Restrições, desativando o controle deslizante para Permitir a instalação de aplicativos.
Comando
- Alterar configurações de roaming
- Apagar dados corporativos – ações impedem a entrega de perfis até que o dispositivo relate um status de conformidade.
- Redefinição empresarial
- Atualizações do SO – disponível para dispositivos com versões do iOS 9 a 10.2.1, se eles forem supervisionados e registrados para DEP. Os dispositivos com iOS 10.3 e posteriores só precisam ser supervisionados.
- Solicitar check-in do dispositivo
-
Revogar tokens do Azure – essa ação afeta todos os dispositivos de um usuário específico, desativando todos os aplicativos que dependem do token do Azure.
- Essa ação exige a ativação das opções "Integração com Azure AD" e "Usar o Azure AD para serviços de identidade", ambas encontradas em Configurações > Sistema > Integração empresarial > Serviços de diretório, na guia Servidor.
-
Para que a revogação do token do Azure funcione, o campo Nome principal do usuário da conta de usuário é obrigatório. Portanto, use um dos métodos a seguir para garantir que ele tenha o valor correto.
- Vá até Contas > Usuários > Exibição de lista e edite o Nome principal do usuário da conta de usuário pretendida (na guia Avançado) com o mesmo endereço de e-mail usado para fazer login na conta do Azure.
OU 1. Vá até Grupos e configurações > Todas as configurações > Sistema > Integração empresarial > Serviços de diretório, selecione a guia Usuário e, então, a seção suspensa Avançado. 2. Role a tela para baixo até localizar Nome do usuário principal e insira o valor de pesquisa que corresponde ao endereço de e-mail usado para fazer login na conta do Azure.
- Bloquear e-mail
Notificar
- Enviar e-mail para o usuário – inclui opção de CC o gerente do usuário.
- Enviar SMS para o dispositivo
- Enviar notificação por push para o dispositivo
- Enviar e-mail ao administrador
Perfil
- Instalar o perfil de conformidade.
- Bloquear/remover perfil
- Bloquear/remover tipo de perfil
- Bloquear/remover todos os perfis – isso impede a entrega de perfis até que o dispositivo relate um status de conformidade.
