合规策略规则和操作

当设备不符合您的策略时,您可以强制实施规则并执行操作。此列表与平台无关。

要了解适用于特定设备的规则和操作,请导航到设备 > 合规策略 > 列表视图,选择添加按钮,然后选择平台以查看所有规则以及可以针对该平台执行的操作。

规则

设置 说明
应用程序列表 检测设备上安装的特定拒绝列表应用,或者检测所有未列入允许列表的应用。您可以禁止某些应用(如社交媒体应用)和被供应商列入拒绝列表的应用,或者仅允许您指定的应用。

iOS:由于在 iOS 设备上报告应用程序状态的方式,仅在安装过程完全完成后应用才达到“已安装”状态。因此,如果您要创建一个合规性规则来衡量 iOS 设备的应用程序列表,请考虑强制实施可避免破坏数据的操作。例如,企业擦除或设备擦除。

macOS:对于 macOS 设备,请确保采取以下步骤以使用包含已安装应用列表的本机 MDM 示例。
1.配置隐私设置。导航到设置 > 设备与用户 > 常规 > 隐私,并在“个人应用程序”下为分配的设备选择收集并显示收集但不显示
2.在定义策略时,输入正确的“应用程序包 ID”。导航到合规策略 > 列表视图 > 添加。在规则选项卡下(最右侧的文本框),“应用程序标识符”必须包含目标应用程序的本机“应用 Id”,而不是部署应用时使用的 Workspace ONE 生成的包 Id,您可以通过其语法 com.vmw.macos.{Package_Name} 识别该 ID。如果要对 macOS 设备应用应用程序列表合规策略,请不要使用此包 ID。相反,请使用本机应用程序 ID 填充规则选项卡上的此文本框,方法是导航到目标 macOS 设备上的设备详细信息找到该文本框,单击应用,从列表中找到应用名称并单击一次以显示应用信息,然后使用显示的“应用 ID”。您也可以通过在 macOS 设备上检查应用程序来获取此应用 ID。
防病毒状态 检测是否在运行防病毒应用。合规策略引擎会监控设备上的操作中心是否存在防病毒解决方案。Windows 支持所有第三方防病毒解决方案。
蜂窝数据/信息/语音使用量 检测最终用户的设备何时超过其指定电信计划的特定阈值。

Workspace ONE UEM 只能提供通知表明使用情况超过预先确定的阈值,UEM 无法限制实际使用情况。

要使此策略规则正常运行,您必须启用高级电信,并将该电信计划分配给设备。
合规属性 比较设备中的属性密钥和第三方端点安全性,这会返回一个表示设备合规性的布尔值。仅适用于 Windows 桌面设备。
破解状态 检测设备是否被破解。禁止使用通过 Workspace ONE UEM 注册的已越狱或已获取根权限的设备。

越狱/根破解破坏了设备的整体安全设置,并会将恶意软件引入您的网络,并极易入侵您的企业资源。在员工拥有各种不同版本的设备和操作系统的 BYOD 环境中,监控破解设备状态尤为重要。
设备最后上线时间 检测设备是否未能在指定的时间窗口内签入。
设备制造商 通过检测设备制造商,您可以标识特定的 Android 设备。您可以明确禁止某些制造商或只允许您指定的制造商。
设备标记 检测设备上是否存在设备标记。您可以使用一个规则检查多个设备标记。
运算符:
- 包含所有
- 包含任何
- 不包含任何
加密 检测设备上是否启用了加密。Windows 支持所有第三方加密解决方案。
防火墙状态 检测防火墙应用是否正常运行。合规策略引擎会检查设备上的操作中心是否存在防火墙解决方案。Windows 支持所有第三方防火墙解决方案。
可用磁盘空间 检测设备上可用的硬盘空间。
iBeacon 区域 检测您的 iOS 设备是否位于一个 iBeacon 组的区域内。
交互式证书配置文件到期日期 检测设备上安装的配置文件何时在指定的时限内到期。
上次破解扫描 检测设备是否未在指定的日程内报告其破解状态。
MDM 使用条款接受情况 检测最终用户是否在特定的时间范围内接收了当前的 MDM 使用条款。
型号 检测设备型号。您可以明确禁止某些型号或只允许您指定的型号。
操作系统版本 检测设备操作系统版本。您可以禁用某些操作系统版本,或者仅允许您指定的操作系统和版本。
密码 检测设备上是否设有密码。
正在漫游 检测设备是否在漫游。仅面向电信高级用户。
漫游蜂窝数据使用量 参照以 MB 或 GB 为单位测量的静态数据量,检测漫游蜂窝数据使用量。仅面向电信高级用户。
安全修补程序版本 检测 Google 发布的 Android 设备最新安全补丁程序的日期。仅适用于 Android 版本 6.0 及更高版本。
SIM 卡更换 检测 SIM 卡是否已更换。仅面向电信高级用户。
系统完整性保护 即使由 root 用户或具有 root 权限的用户运行,也可以检测 macOS 对系统拥有的文件和目录的专有保护状态,以防止没有特定“权利”的进程进行修改。
Windows 自动更新状态 检测是否已激活 Windows 自动更新。合规策略引擎会监控设备上的操作中心是否存在更新解决方案。如果您的第三方解决方案未显示在操作中心中,该引擎会报告为未予监控。
Windows 正版验证 检测设备上当前运行的 Windows 版本是否为正版。

操作

应用程序

  • 屏蔽/移除纳管应用程序

  • 屏蔽/移除所有纳管应用

    对不合规设备应用“屏蔽/移除应用”操作后,Workspace ONE UEM console 会移除指定的应用,并在下一次可能的设备同步前启动 2 小时定时器。每次设备同步运行时,都会计算要添加和移除的应用,并考虑处于活跃状态的合规策略。当设备同步在两小时定时器之后运行,并且发现相同的应用时,将移除该应用。

    但是,在这两小时的时间段内,最终用户可以尝试执行合规性操作并重新安装被屏蔽的应用。例如,如果他们旁加载 APK 文件或从 Play 商店安装公共应用,则可能不会触发合规性操作。请考虑创建设备配置文件,以防止最终用户安装应用。

    资源 > 配置文件和基准 > 配置文件中创建设备配置文件时,有两种方法可以执行此操作。

    • 仅限 Android - 添加应用控制负载以停用访问被拒绝的应用。为了使此负载正常工作,您必须在资源 > 应用 > 设置 > 应用组中创建拒绝列表应用组,并将其分配给相关设备。
    • 添加限制负载,为允许安装应用程序禁用滑块。

命令

  • 更改漫游设置
  • 企业擦除 - 此操作会阻止提供配置文件,直至设备报告回合规状态。
  • 企业重置
  • 操作系统更新 - 如果设备受到监督并通过 DEP 注册,则该操作适用于具有 iOS 版本 9 至 10.2.1 的设备。使用 iOS 10.3 及更高版本的设备仅需受到监督。
  • 请求设备签入
  • 撤销 Azure 令牌 - 此操作将影响给定用户的所有设备,禁用依赖于 Azure 令牌的任何应用。
    • 此操作需要启用“Azure AD 集成”和“将 Azure AD 用于身份服务”,两个选项可在服务器标签页下的设置 > 系统 > 企业集成 > 目录服务中找到。

    • 为了使 Azure 令牌撤消起作用,用户主体名称是必填的用户帐户字段,因此请使用以下方法之一确保其具有正确的值。

      1. 导航到帐户 > 用户 > 列表视图,然后使用他们用于登录 Azure 帐户的相同电子邮件地址编辑目标用户帐户的用户主体名称(在高级标签页下)。

      1. 导航到组与设置 > 所有设置 > 系统 > 企业集成 > 目录服务,选择用户标签页,然后选择高级下拉部分。
      2. 向下滚动到用户主体名称,然后输入与他们用于登录 Azure 帐户的电子邮件地址相对应的查找值。

电子邮件

  • 阻止电子邮件

通知

  • 向用户发送电子邮件 - 包括用于抄送用户管理者的选项。
  • 向设备发送短信
  • 向设备发送推送通知
  • 向管理员发送电子邮件

配置文件

  • 安装合规配置文件。
  • 屏蔽/移除配置文件
  • 屏蔽/移除配置文件类型
  • 屏蔽/移除所有配置文件 - 此操作会阻止提供配置文件,直至设备报告回合规状态。
check-circle-line exclamation-circle-line close-line
Scroll to top icon