您可以使用应用程序组(应用组)和合规策略保护 Workspace ONE UEM 环境中的资源。应用程序组可以识别准许和受限的应用程序,以便合规策略对不遵循保护标准的设备采取行动。
您可以为多个平台配置应用组,但却不能使用合规策略将它们全部组合在一起。对于无法使用合规策略加以组合的平台,可应用一个应用程序控制配置文件。
| 应用组平台 | 与合规策略配合使用 | 与应用程序控制配置文件配合使用 |
|---|---|---|
| Android | 是 | 是 |
| Apple iOS | 是 | 否 |
| Windows Phone | 否 | 是 |
您无需对应用程序组进行配置。但是,应用程序组可以增强功效并以最小配置满足合规策略的要求。
应用程序组与合规策略之间的关系
| 应用程序组 | 说明 | 合规策略 | 操作 |
|---|---|---|---|
| 允许列表 | 受管设备可以安装 AirWatch Catalog 中的这些应用程序。 如果某一应用程序不在该名单上,则不允许在受管设备上安装。 |
包含未列入允许列表的应用 | 合规引擎标识设备上安装的不属于允许列表应用组的应用程序,并应用合规规则中所配置的相应操作。 |
| 拒绝列表 | 受管设备不会安装 AirWatch Catalog 中的这些应用程序。 如果某一应用程序在该名单上,则不允许在受管设备上安装。 |
包含列入拒绝列表的应用 | 合规引擎标识设备上属于拒绝列表应用组的应用程序,并应用合规规则中所配置的相应操作。 |
| 必需 | 要求受管设备安装 AirWatch Catalog 中的这些应用程序。 如果某一应用程序在该名单上,则设备用户必须在受管设备上加以安装。 |
不包含必要应用 | 合规引擎标识设备上缺少的所需应用组的应用程序,并应用合规规则中所配置的相应操作。 |
注意:在 UEM Console 中为自动部署模式设置的应用程序在以下情况下不会自动部署:
在 Workspace ONE UEM Console 中,如果您将个人应用程序的隐私设置配置为不收集,则系统不会从设备收集个人应用信息。也就是说,最终用户的个人应用程序信息不会从其设备进行传输。
但是,隐私设置有以下注意事项,它们会影响应用程序列表合规性和应用程序控制配置文件设置:
如果要对最终用户的个人应用程序列表执行操作,请在所有 OG 中跟踪相关设备所有权类型的个人应用隐私配置,并验证以下内容:
配置应用程序组或应用组,您可以在合规策略中使用这些组群。对不符合安装、更新或移除应用程序要求的设备执行一套操作。将应用程序组分配给组织组。将应用程序组分配给父组织组时,子组织组会继承应用程序组的配置。
填写列表标签页中的选项。
| 设置 | 说明 |
|---|---|
| 类型 | 根据期望的结果,选择要创建的应用程序组的类型:允许应用程序、屏蔽应用程序或要求安装应用程序。 如果您的目标是对自定义 MDM 应用程序进行分组,请选择“MDM 应用程序”。您必须启用此选项才能在应用组菜单中显示该类型。 |
| 平台 | 选择应用程序组的平台。 |
| 名称 | 输入应用组在 Workspace ONE UEM Console 上的显示名称。 |
| 添加应用程序 | 显示让您能够搜索应用程序的文本框,以便将应用程序添加到应用程序组。 |
| 应用程序名称 | 输入应用程序的名称,用来在相关应用商店内进行搜索。 |
| 应用程序 ID | 在您使用搜索功能搜索应用商店中的应用程序时,查看自动完成的字符串。 |
| 添加发布者 - Windows Phone | 对于 Windows Phone,选择此选项可将多个发布者添加到应用程序组中。发布者是创建应用程序的组织。 结合此选项与“添加应用程序”条目来创建发布者条目的例外项,从而为 Windows Phone 制定内容详尽的允许列表和拒绝列表。 |
选择下一步导航到应用程序控制配置文件。您必须完成并应用一份 Windows Phone 应用程序控制配置文件。您可以使用 Android 设备的应用程序控制配置文件。
完成分配标签页上的设置。
| 设置 | 说明 |
|---|---|
| 说明 | 输入应用程序组的用途或其他相关信息。 |
| 设备所有权 | 选择适用于应用程序组的设备类型。 |
| 型号 | 选择适用于应用程序组的设备型号。 |
| 操作系统 | 选择适用于应用程序组的操作系统。 |
| 管理者 | 查看或编辑管理应用程序组的组织组。 |
| 组织组 | 添加适用于应用程序组的更多组织组。 |
| 用户组 | 添加适用于应用程序组的用户组。 |
选择完成结束配置。
您可以编辑应用组和应用程序控制配置文件。在编辑适用于 Android 和 Windows 手机的应用组时,请先编辑应用组,然后再编辑应用程序配置文件。
您可以使用应用组向应用目录推送关于您需要设备安装的应用程序的通知。
自定义 MDM 应用程序属于应用组的一个类型,专门定制以跟踪定位和越狱状态等设备信息。启用 Workspace ONE UEM 对自定义 MDM 应用程序进行识别,让您可以将其分配给特殊应用组,以收集信息、故障排除以及跟踪资产。Workspace ONE UEM 支持为 Android 和 Apple iOS 平台打造的自定义 MDM 应用程序。将它们作为内部应用上载。
启用“使用自定义 MDM 应用程序”功能,以便在 Workspace ONE UEM 的应用程序组菜单中选择此选项。合规引擎在设备上检测到自定义 MDM 应用程序后,Workspace ONE UEM 不会将其删除。这些应用程序是用于审核、跟踪和故障排查目的。
合规策略让您能够针对不符合设置标准的设备采取操作。例如,您可以创建合规策略,用以侦测用户安装禁用应用程序的时间。届时配置系统自动对违规状态设备执行操作。
您可以通过使用合规列表视图创建单一应用程序的合规策略,或通过使用应用程序组来创建应用程序列表的合规策略。虽然并不要求您使用应用程序组,但此类群组使您能够采取预防措施,以免出现大量不合规设备。
合规策略操作示例:合规引擎会检测具有游戏类型应用程序的用户,该应用程序为黑名单应用组列表中的一个应用程序。您可以配置合规引擎来采取多个操作。
您可以配置一份多种平台合规策略的应用程序列表,这些平台将被用来对违规设备采取操作。
支持合规策略与应用程序的平台:
添加适用于应用组的合规策略,以此来为移动网络添加一道安全保护层。策略配置可启用 Workspace ONE UEM 合规引擎,以便对违规设备采取设定的操作。
选择反映您所需合规目标的选项。
| 设置 | 说明 |
|---|---|
| 包含 | 添加应用程序标识符,可配置合规引擎对该应用是否在设备上出现进行监控。 如果引擎检测到被分配了合规规则的设备已安装此应用程序,引擎则会执行规则中所配置的相应操作。 |
| 不包含 | 添加应用程序标识符以配置合规引擎,以监控其是否存在于设备上。 如果引擎检测到被分配了合规规则的设备未安装此应用程序,引擎则会执行规则中所配置的相应操作。 |
| 包含被拒绝的应用 | 如果引擎检测到设备(分配了合规规则)上拒绝列表应用组中列出的应用程序,引擎则会执行规则中所配置的相应操作。 |
| 包含非允许的应用 | 如果引擎检测到在设备(分配了合规规则)上允许列表应用组中未列出的应用程序,引擎则会执行规则中所配置的相应操作。 |
| 不包含必要应用 | 如果引擎检测到分配了合规规则的设备缺少属于必要应用组中的应用程序,引擎则会执行规则中所配置的相应操作。 |
| 未包含版本 | 添加应用程序标识符和应用程序版本,以便合规引擎对设备进行监控,确保设备上安装了正确的应用程序版本。 如果引擎检测到分配了合规规则的设备上安装了应用程序的错误版本,则引擎会执行规则中所配置的相应操作。 |
您可以从应用商店或 Workspace ONE UEM Console 的相关记录中获取应用程序标识符。导航到资源 > 应用 > 列表视图 > 内部或公共。从相关应用程序的操作菜单中选取查看,然后查找应用程序 ID 信息。
选择操作标签页,设置用户违反基于应用程序的规则后要执行的升级操作。第一个操作会立即执行,但并非必须配置。可用亦可删去。您可以通过添加升级操作功能以进一步推迟操作来升格或替换立即执行的操作。
| 设置 | 说明 |
|---|---|
| 标为不合规 | 选择复选框以标记违反此规则的设备,而一旦设备被标记为不合规,系统可能会根据升级操作阻止设备访问资源,而且可能阻止管理员对此设备执行操作。 当您不愿意立即隔离设备时,请取消选择此选项。 |
| 应用程序 | 选择以移除受管应用。 |
| 命令 | 选择此项以配置系统向设备发送签入控制台、执行企业擦除或更改漫游设置等命令。 |
| 电子邮件 | 选择此选项可屏蔽不合规设备的电子邮件。 |
| 通知 | 选择此项以使用默认模板通过电子邮件、短信或推送通知向不合规设备发送通知。 您还可以向管理员发送有关违规的注释。 |
| 配置文件 | 选择此项以使用 Workspace ONE UEM 配置文件限制设备上的功能。 |
选择分配标签页将合规规则分配给智能组。
| 设置 | 说明 |
|---|---|
| 管理者 | 查看或编辑管理和强制规则的组织组。 |
| 分配的组 | 键入以添加要应用该规则的智能组。 |
| 排除项 | 选择是以从该规则排除组。 |
| 查看设备分配 | 选择以查看受该规则影响的设备。 |
选择摘要标签页给规则命名并提供一个简短描述。
