您可以使用应用程序组(应用组)和合规策略来保护您的 Workspace ONE UEM 环境中的资源。应用程序组可以识别准许和受限的应用程序,以便合规策略对不遵循保护标准的设备采取行动。

您可以为多个平台配置应用组,但却不能使用合规策略将它们全部组合在一起。对于无法使用合规策略加以组合的平台,可应用一个应用程序控制配置文件。

应用组平台 与合规策略配合使用 与应用程序控制配置文件配合使用
Android
Apple iOS
Windows Phone

您无需对应用程序组进行配置。但是,应用程序组可以增强功效并以最小配置满足合规策略的要求。

应用程序组与合规策略之间的关系

应用程序组 说明 合规策略 操作
白名单 受管设备可以安装 AirWatch Catalog 中的这些应用程序。
如果某一应用程序不在该名单上,则不允许在受管设备上安装。
包含非白名单应用 合规引擎标识设备上安装的不属于允许列表应用组的应用程序,并应用合规规则中所配置的相应操作。
黑名单 受管设备不会安装 AirWatch Catalog 中的这些应用程序。
如果某一应用程序在该名单上,则不允许在受管设备上安装。
包含黑名单应用 合规引擎标识设备上属于拒绝列表应用组的应用程序,并应用合规规则中所配置的相应操作。
必需 要求受管设备安装 AirWatch Catalog 中的这些应用程序。
如果某一应用程序在该名单上,则设备用户必须在受管设备上加以安装。
不包含必要应用 合规引擎标识设备上缺少的所需应用组的应用程序,并应用合规规则中所配置的相应操作。

**注:**在 UEM Console 中为自动部署模式设置的应用程序在以下情况下不会自动部署:

  • 将应用程序添加到分配给设备的拒绝列表应用组中。
  • 排除分配给设备的允许列表应用组中的应用程序。

隐私设置对应用程序列表合规性和应用程序控制配置文件的影响

在 Workspace ONE UEM Console 中,如果您将个人应用程序的隐私设置配置为不收集,则系统不会从设备收集个人应用信息。也就是说,最终用户的个人应用程序信息不会从其设备进行传输。

但是,隐私设置有以下注意事项,它们会影响应用程序列表合规性和应用程序控制配置文件设置:

  • 应用程序列表的合规策略将进行检查以验证设备是否具有相应的应用程序(列入拒绝列表、允许列表或必需)。如果系统未查询应用程序列表,则可能不会检查这些应用程序。因此,包含某些列入拒绝列表的应用程序的设备不会标记为“不合规”。同样,包含某些“必需”(个人)应用程序的设备会被标记为“不合规”。
  • 对“列入拒绝列表”的应用执行操作的应用程序控制配置文件不适用于个人应用隐私设置为不收集的设备,仅适用于我们为其收集个人应用信息的设备。

如果要对最终用户的个人应用程序列表执行操作,请在所有 OG 中跟踪相关设备所有权类型的个人应用隐私配置,并验证以下内容:

  • 确保配置未设置为不收集。如果要确保最终用户的隐私并检测任何恶意应用程序,请将隐私配置设置为收集但不显示
  • 确保您的最终用户设备有权从 Workspace ONE UEM 接收要对其执行操作的应用程序。

配置应用程序组

配置应用程序组或应用组,您可以在合规策略中使用这些组群。对不符合安装、更新或移除应用程序要求的设备执行一套操作。将应用程序组分配给组织组。将应用程序组分配给父组织组时,子组织组会继承应用程序组的配置。

  1. 导航到资源 > 应用 > 设置 > 应用组

  2. 选择添加组

  3. 填写列表标签页中的选项。

    设置 说明
    类型 根据期望的结果,选择要创建的应用程序组的类型:允许应用程序、屏蔽应用程序或要求安装应用程序。
    如果您的目标是对自定义 MDM 应用程序进行分组,请选择“MDM 应用程序”。您必须启用此选项才能在应用组菜单中显示该类型。
    平台 选择应用程序组的平台。
    名称 输入应用组在 Workspace ONE UEM Console 上的显示名称。
    添加应用程序 显示让您能够搜索应用程序的文本框,以便将应用程序添加到应用程序组。
    应用程序名称 输入应用程序的名称,用来在相关应用商店内进行搜索。
    应用程序 ID 在您使用搜索功能搜索应用商店中的应用程序时,查看自动完成的字符串。
    添加发布者 - Windows Phone 对于 Windows Phone,选择此选项可将多个发布者添加到应用程序组中。发布者是创建应用程序的组织。
    结合此选项与“添加应用程序”条目来创建发布者条目的例外项,从而为 Windows Phone 制定内容详尽的允许列表和拒绝列表。
  4. 选择下一步导航到应用程序控制配置文件。您必须完成并应用一份 Windows Phone 应用程序控制配置文件。您可以使用 Android 设备的应用程序控制配置文件。

  5. 完成分配标签页上的设置。

    设置 说明
    说明 输入应用程序组的用途或其他相关信息。
    设备所有权 选择适用于应用程序组的设备类型。
    型号 选择适用于应用程序组的设备型号。
    操作系统 选择适用于应用程序组的操作系统。
    管理者 查看或编辑管理应用程序组的组织组。
    组织组 添加适用于应用程序组的更多组织组。
    用户组 添加适用于应用程序组的用户组。
  6. 选择完成结束配置。

编辑应用组和应用程序控制配置文件

您可以编辑应用组和应用程序控制配置文件。在编辑适用于 Android 和 Windows 手机的应用组时,请先编辑应用组,然后再编辑应用程序配置文件。

  1. 首先编辑应用组。
  2. 编辑应用程序配置文件以创建其新版本。
  3. 将新版本应用程序配置文件保存并发布到设备。除非新版本应用程序控制配置文件部署到设备,系统才会反映应用组中的变更。

创建 AirWatch Catalog 的所需列表

您可以使用应用组向应用目录推送关于您需要设备安装的应用程序的通知。

  1. 导航到资源 > 应用 > 设置 > 应用组
  2. 添加或编辑应用组。
  3. 列表标签页,将类型选为必要
  4. 分配标签页,选择其中包括了您要向其推送必要应用程序的设备的适用组织组和用户组。

为应用程序组启用自定义 MDM 应用程序

自定义 MDM 应用程序属于应用组的一个类型,专门定制以跟踪定位和越狱状态等设备信息。启用 Workspace ONE UEM 对自定义 MDM 应用程序进行识别,让您可以将其分配给特殊应用组,以收集信息、故障排除以及跟踪资产。Workspace ONE UEM 支持为 Android 和 Apple iOS 平台打造的自定义 MDM 应用程序。将它们作为内部应用上载。

启用“使用自定义 MDM 应用程序”功能,以便在 Workspace ONE UEM 的应用程序组菜单中选择此选项。合规引擎在设备上检测到自定义 MDM 应用程序后,Workspace ONE UEM 不会将其删除。这些应用程序是用于审核、跟踪和故障排查目的。

  1. 导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 注册
  2. 选择自定义
  3. 启用使用自定义 MDM 应用程序

应用程序的合规策略

合规策略让您能够针对不符合设置标准的设备采取操作。例如,您可以创建合规策略,用以侦测用户安装禁用应用程序的时间。届时配置系统自动对违规状态设备执行操作。

您可以通过使用合规列表视图创建单一应用程序的合规策略,或通过使用应用程序组来创建应用程序列表的合规策略。虽然并不要求您使用应用程序组,但此类群组使您能够采取预防措施,以免出现大量不合规设备。

合规策略操作示例:合规引擎会检测具有游戏类型应用程序的用户,该应用程序为黑名单应用组列表中的一个黑名单应用程序。您可以配置合规引擎来采取多个操作。

  • 向用户发送推送通知,提示用户删除该应用程序。
  • 从设备中移除某些功能,如 Wi-Fi、VPN 或电子邮件配置文件。
  • 删除特定的受管应用程序和配置文件。
  • 通过电子邮件向用户发送最后通知,并抄送 IT 安全部门和人力资源部门。

您可以配置一份多种平台合规策略的应用程序列表,这些平台将被用来对违规设备采取操作。

支持合规策略与应用程序的平台:

  • Android
  • Apple iOS
  • macOS

制定应用程序合规策略

添加适用于应用组的合规策略,以此来为移动网络添加一道安全保护层。策略配置可启用 Workspace ONE UEM 合规引擎,以便对违规设备采取设定的操作。

  1. 导航到设备 > 合规策略 > 列表视图。选择添加

  2. 选择一个平台,即 AndroidApple iOS 或者 Apple macOS

  3. 规则标签页选择应用程序列表

  4. 选择反映您所需合规目标的选项。

    设置 说明
    包含 添加应用程序标识符,可配置合规引擎对该应用是否在设备上出现进行监控。
    如果引擎检测到被分配了合规规则的设备已安装此应用程序,引擎则会执行规则中所配置的相应操作。
    不包含 添加应用程序标识符以配置合规引擎,以监控其是否存在于设备上。
    如果引擎检测到被分配了合规规则的设备未安装此应用程序,引擎则会执行规则中所配置的相应操作。
    包含黑名单应用 如果引擎检测到设备(分配了合规规则)上拒绝列表应用组中列出的应用程序,引擎则会执行规则中所配置的相应操作。
    包含供应商的拒绝列表应用 从您的应用程序信誉扫描系统添加应用程序,以配置合规引擎对其是否在设备上出现进行监控。
    如果引擎检测到设备(分配了合规规则)上这些唯一拒绝列表应用组中列出的应用程序,引擎则会执行规则中所配置的相应操作。
    如果您已将“应用扫描”服务与 Workspace ONE UEM 集成,则可使用此选项。您必须启用此选项才能在菜单中查看。这是一种需要正确的 SKU 才能使用的高级应用程序管理功能。
    包含非白名单应用 如果引擎检测到在设备(分配了合规规则)上允许列表应用组中未列出的应用程序,引擎则会执行规则中所配置的相应操作。
    不包含必要应用 如果引擎检测到分配了合规规则的设备缺少属于必要应用组中的应用程序,引擎则会执行规则中所配置的相应操作。
    未包含版本 添加应用程序标识符和应用程序版本,以便合规引擎对设备进行监控,确保设备上安装了正确的应用程序版本。
    如果引擎检测到分配了合规规则的设备上安装了应用程序的错误版本,则引擎会执行规则中所配置的相应操作。

    您可以从应用商店或 Workspace ONE UEM Console 的相关记录中获取应用程序标识符。导航到资源 > 应用 > 列表视图 > 内部公共。从相关应用程序的操作菜单中选取查看,然后查找应用程序 ID 信息。

  5. 选择操作标签页,设置用户违反基于应用程序的规则后要执行的升级操作。第一个操作会立即执行,但并非必须配置。可用亦可删去。您可以通过添加升级操作功能以进一步推迟操作来升格或替换立即执行的操作。

    设置 说明
    标为不合规 启用该复选框以标记违反此规则的设备,而一旦设备被标记为不合规,系统可能会根据升级操作阻止设备访问资源,而且可能阻止管理员对此设备执行操作。
    当您不愿意立即隔离设备时,请禁用此选项。
    应用程序 选择以移除受管应用。
    命令 选择此项以配置系统向设备发送签入控制台、执行企业擦除或更改漫游设置等命令。
    电子邮件 选择此选项可屏蔽不合规设备的电子邮件。
    通知 选择此项以使用默认模板通过电子邮件、短信或推送通知向不合规设备发送通知。
    您还可以向管理员发送有关违规的注释。
    配置文件 选择此项以使用 Workspace ONE UEM 配置文件限制设备上的功能。
  6. 选择分配标签页将合规规则分配给智能组。

    设置 说明
    管理者 查看或编辑管理和强制规则的组织组。
    分配的组 键入以添加要应用该规则的智能组。
    排除项 选择是以从该规则排除组。
    查看设备分配 选择以查看受该规则影响的设备。
  7. 选择摘要标签页给规则命名并提供一个简短描述。

  8. 选择完成并激活以强制执行新创建的规则。

check-circle-line exclamation-circle-line close-line
Scroll to top icon