合规策略规则和操作
当设备不符合您的策略时,您可以强制实施规则并执行操作。此列表与平台无关。
要了解适用于特定设备的规则和操作,请导航到设备 > 合规策略 > 列表视图,选择添加按钮,然后选择平台以查看所有规则以及可以针对该平台执行的操作。
规则
| 设置 | 说明 |
|---|---|
| 应用程序列表 | 检测设备上安装的特定拒绝列表应用,或者检测所有未列入允许列表的应用。您可以禁止某些应用(如社交媒体应用)和被供应商列入拒绝列表的应用,或者仅允许您指定的应用。 iOS:由于在 iOS 设备上报告应用程序状态的方式,仅在安装过程完全完成后应用才达到“已安装”状态。因此,如果您要创建一个合规性规则来衡量 iOS 设备的应用程序列表,请考虑强制实施可避免破坏数据的操作。例如,企业擦除或设备擦除。 macOS:对于 macOS 设备,请确保采取以下步骤以使用包含已安装应用列表的本机 MDM 示例。 1.配置隐私设置。导航到设置 > 设备与用户 > 常规 > 隐私,并在“个人应用程序”下为分配的设备选择收集并显示或收集但不显示。 2.在定义策略时,输入正确的“应用程序包 ID”。导航到合规策略 > 列表视图 > 添加。在规则选项卡下(最右侧的文本框),“应用程序标识符”必须包含目标应用程序的本机“应用 ID”,而不是部署应用时使用的 Workspace ONE 生成的包 Id,您可以通过其语法 com.vmw.macos.{Package_Name} 识别该 ID。如果要对 macOS 设备应用应用程序列表合规策略,请不要使用此包 ID。相反,请使用本机应用程序 ID 填充规则选项卡上的此文本框,方法是导航到目标 macOS 设备上的设备详细信息找到该文本框,单击应用,从列表中找到应用名称并单击一次以显示应用信息,然后使用显示的“应用 ID”。您也可以通过在 macOS 设备上检查应用程序来获取此应用 ID。 |
| 防病毒状态 | 检测是否在运行防病毒应用。合规策略引擎会监控设备上的操作中心是否存在防病毒解决方案。Windows 支持所有第三方防病毒解决方案。 |
| 自动更新 | 检测是否使用安装的 Windows 更新配置文件激活了 Windows 自动更新。有关更多信息,请参阅 Windows 更新配置文件。合规策略引擎会监控设备上的操作中心是否存在更新解决方案。如果您的第三方解决方案未显示在操作中心中,该引擎会报告为未予监控。 |
| 蜂窝数据/信息/语音使用量 | 检测最终用户的设备何时超过其指定电信计划的特定阈值。 Workspace ONE UEM 只能提供通知表明使用情况超过预先确定的阈值,UEM 无法限制实际使用情况。 要使此策略规则正常运行,您必须启用高级电信,并将该电信计划分配给设备。 |
| 合规属性 | 比较设备中的属性密钥和第三方端点安全性,这会返回一个表示设备合规性的布尔值。仅适用于 Windows 桌面设备。 |
| 破解状态 | 检测设备是否被破解。禁止使用通过 Workspace ONE UEM 注册的已越狱或已获取根权限的设备。 越狱/根破解破坏了设备的整体安全设置,并会将恶意软件引入您的网络,并极易入侵您的企业资源。在员工拥有各种不同版本的设备和操作系统的 BYOD 环境中,监控破解设备状态尤为重要。 |
| Windows 副本 | 检测设备上当前运行的 Windows 版本是否为正版。 |
| 设备最后上线时间 | 检测设备是否未能在指定的时间窗口内签入。 |
| 设备制造商 | 通过检测设备制造商,您可以标识特定的 Android 设备。您可以明确禁止某些制造商或只允许您指定的制造商。 |
| 设备标记 | 检测设备上是否存在设备标记。您可以使用一个规则检查多个设备标记。 运算符: - 包含所有 - 包含任何 - 不包含任何 |
| 加密 | 检测设备上是否启用了加密。Windows 支持所有第三方加密解决方案。 |
| 防火墙状态 | 检测防火墙应用是否正常运行。合规策略引擎会检查设备上的操作中心是否存在防火墙解决方案。Windows 支持所有第三方防火墙解决方案。 |
| 可用磁盘空间 | 检测设备上可用的硬盘空间。 |
| iBeacon 区域 | 检测您的 iOS 设备是否位于一个 iBeacon 组的区域内。 |
| 交互式证书配置文件到期日期 | 检测设备上安装的配置文件何时在指定的时限内到期。 |
| 上次破解扫描 | 检测设备是否未在指定的日程内报告其破解状态。 |
| MDM 使用条款接受情况 | 检测最终用户是否在特定的时间范围内接收了当前的 MDM 使用条款。 |
| 型号 | 检测设备型号。您可以明确禁止某些型号或只允许您指定的型号。 |
| 操作系统版本 | 检测设备操作系统版本。您可以禁用某些操作系统版本,或者仅允许您指定的操作系统和版本。 如果要强制执行最新的操作系统版本,则必须使用每个新操作系统版本更新操作系统版本合规策略,然后将更新的策略推送到相关设备。对现有策略所做的任何编辑都会导致上报计划等选项被重置。 |
| 密码 | 检测设备上是否设有密码。 |
| 正在漫游 | 检测设备是否在漫游。仅面向电信高级用户。 |
| 漫游蜂窝数据使用量 | 参照以 MB 或 GB 为单位测量的静态数据量,检测漫游蜂窝数据使用量。仅面向电信高级用户。 |
| 安全修补程序版本 | 检测 Google 发布的 Android 设备最新安全补丁程序的日期。仅适用于 Android 版本 6.0 及更高版本。 |
| SIM 卡更换 | 检测 SIM 卡是否已更换。仅面向电信高级用户。 |
| 系统完整性保护 | 即使由 root 用户或具有 root 权限的用户运行,也可以检测 macOS 对系统拥有的文件和目录的专有保护状态,以防止没有特定“权利”的进程进行修改。 |
操作
应用程序
- 屏蔽/移除纳管应用程序
-
屏蔽/移除所有纳管应用
对不合规设备应用“屏蔽/移除应用”操作后,Workspace ONE UEM console 会移除指定的应用,并在下一次可能的设备同步前启动 2 小时定时器。每次设备同步运行时,都会计算要添加和移除的应用,并考虑处于活跃状态的合规策略。当设备同步在两小时定时器之后运行,并且发现相同的应用时,将移除该应用。
但是,在这两小时的时间段内,最终用户可以尝试执行合规性操作并重新安装被屏蔽的应用。例如,如果他们旁加载 APK 文件或从 Play 商店安装公共应用,则可能不会触发合规性操作。请考虑创建设备配置文件,以防止最终用户安装应用。
在资源 > 配置文件和基准 > 配置文件中创建设备配置文件时,有两种方法可以执行此操作。
- 仅限 Android - 添加应用控制负载以停用访问被拒绝的应用。为了使此负载正常工作,您必须在资源 > 应用 > 设置 > 应用组中创建拒绝列表应用组,并将其分配给相关设备。
- 添加限制负载,为允许安装应用程序禁用滑块。
命令
- 更改漫游设置
- 企业擦除 - 此操作会阻止提供配置文件,直至设备报告回合规状态。
- 企业重置
- 操作系统更新 - 如果设备受到监督并通过 DEP 注册,则该操作适用于具有 iOS 版本 9 至 10.2.1 的设备。使用 iOS 10.3 及更高版本的设备仅需受到监督。
- 请求设备签入
-
撤销 Azure 令牌 - 此操作将影响给定用户的所有设备,禁用依赖于 Azure 令牌的任何应用。
- 此操作需要启用“Azure AD 集成”和“将 Azure AD 用于身份服务”,两个选项可在服务器标签页下的设置 > 系统 > 企业集成 > 目录服务中找到。
-
为了使 Azure 令牌撤消起作用,用户主体名称是必填的用户帐户字段,因此请使用以下方法之一确保其具有正确的值。
- 导航到帐户 > 用户 > 列表视图,然后使用他们用于登录 Azure 帐户的相同电子邮件地址编辑目标用户帐户的用户主体名称(在高级标签页下)。
或 1.导航到组与设置 > 所有设置 > 系统 > 企业集成 > 目录服务,选择用户标签页,然后选择高级下拉部分。2.向下滚动到用户主体名称,然后输入与他们用于登录 Azure 帐户的电子邮件地址相对应的查找值。
电子邮件
- 阻止电子邮件
通知
- 向用户发送电子邮件 - 包括用于抄送用户管理者的选项。
- 向设备发送短信
- 向设备发送推送通知
- 向管理员发送电子邮件
配置文件
- 安装合规配置文件。
- 屏蔽/移除配置文件
- 屏蔽/移除配置文件类型
- 屏蔽/移除所有配置文件 - 此操作会阻止提供配置文件,直至设备报告回合规状态。
