当设备不符合您的策略时,您可以强制实施规则并执行操作。此列表与平台无关。导航到设备 > 合规策略 > 列表视图,选择添加按钮,然后选择平台以查看您可以对该平台执行的所有规则和操作。

规则

设置 说明
应用程序列表 检测设备上安装的特定拒绝列表应用,或者检测所有未列入允许列表的应用。您可以禁止某些应用(如社交媒体应用)和供应商列入拒绝列表的应用,或者仅允许您指定的应用。

由于 iOS 设备上报告应用程序状态的方式,只有在安装过程完全完成后,应用才会达到“已安装”状态。因此,如果您要创建一个合规性规则来衡量 iOS 设备的应用程序列表,请考虑强制实施可避免破坏数据的操作。例如,企业擦除或设备擦除。
防病毒状态 检测是否在运行防病毒应用。合规策略引擎会监控设备上的操作中心是否存在防病毒解决方案。Windows 支持所有第三方防病毒解决方案。
蜂窝数据/信息/语音使用量 检测最终用户的设备何时超过其指定电信计划的特定阈值。

Workspace ONE UEM 只能提供通知表明使用情况超过预先确定的阈值,UEM 无法限制实际使用情况。

要使此策略规则正常运行,您必须启用高级电信,并将该电信计划分配给设备。
合规属性 比较设备中的属性密钥和第三方端点安全性,这会返回一个表示设备合规性的布尔值。仅适用于 Windows 桌面设备。
破解状态 检测设备是否被破解。禁止使用通过 Workspace ONE UEM 注册的已越狱或已获取 root 权限的设备。

已越狱和已获取 root 权限的设备破坏了整体安全设置,并会将恶意软件引入您的网络,并极易入侵您的企业资源。在员工拥有各种不同版本的设备和操作系统的 BYOD 环境中,监控破解设备状态尤为重要。
设备最后上线时间 检测设备是否未能在指定的时间窗口内签入。
设备制造商 通过检测设备制造商,您可以标识特定的 Android 设备。您可以明确禁止某些制造商或只允许您指定的制造商。
加密 检测设备是否启用加密。Windows 支持所有第三方加密解决方案。
防火墙状态 检测防火墙应用是否正常运行。合规策略引擎会检查设备上的操作中心是否存在防火墙解决方案。Windows 支持所有第三方防火墙解决方案。
可用磁盘空间 检测设备上可用的硬盘空间。
iBeacon 区域 检测您的 iOS 设备是否位于一个 iBeacon 组的区域内。
交互式证书配置文件到期日期 检测设备上安装的配置文件何时在指定的时限内到期。
上次破解扫描 检测设备是否未在指定的日程内报告其破解状态。
MDM 使用条款接受情况 检测最终用户是否在特定的时间范围内接收了当前的 MDM 使用条款。
型号 检测设备型号。您可以明确禁止某些型号或只允许您指定的型号。
操作系统版本 检测设备操作系统版本。您可以禁用某些操作系统版本,或者仅允许您指定的操作系统和版本。
密码 检测设备上是否设有密码。
正在漫游 检测设备是否在漫游。仅面向电信高级用户。
漫游蜂窝数据使用量 参照以 MB 或 GB 为单位测量的静态数据量,检测漫游蜂窝数据使用量。仅面向电信高级用户。
安全修补程序版本 检测 Google 发布的 Android 设备最新安全补丁程序的日期。仅适用于 Android 版本 6.0 及更高版本。
SIM 卡更换 检测 SIM 卡是否已更换。仅面向电信高级用户。
系统完整性保护 即使由 root 用户或具有 root 权限的用户运行,也可以检测 macOS 对系统拥有的文件和目录的专有保护状态,以防止没有特定“权利”的进程进行修改。
Windows 自动更新状态 检测是否已激活 Windows 自动更新。合规策略引擎会监控设备上的操作中心是否存在更新解决方案。如果您的第三方解决方案未显示在操作中心中,该引擎会报告为未予监控。
Windows 正版验证 检测设备上当前运行的 Windows 版本是否为正版。

操作

应用程序

  • 屏蔽/移除纳管应用程序

  • 屏蔽/移除所有纳管应用

    对不合规设备应用“屏蔽/移除应用”操作后,Workspace ONE UEM console 会移除指定的应用,并在下一次可能的设备同步前启动 2 小时定时器。每次设备同步运行时,都会计算要添加和移除的应用,并考虑处于活跃状态的合规策略。当设备同步在 2 小时定时器之后运行,并且发现相同的应用时,将移除该应用。

    但是,在这 2 小时的时间段内,最终用户可以尝试执行合规性操作并重新安装被屏蔽的应用。例如,如果他们旁加载 APK 文件或从 Play 商店安装公共应用,则可能不会触发合规性操作。请考虑创建设备配置文件,以防止最终用户安装应用。

    资源 > 配置文件和基准 > 配置文件中创建设备配置文件时,有两种方法可以执行此操作。

    • 仅限 Android - 添加应用控制负载以禁止访问被拒绝的应用。为了使此负载正常工作,您必须在资源 > 应用 > 设置 > 应用组中创建拒绝列表应用组,并将其分配给相关设备。
    • 添加限制负载,为允许安装应用程序禁用滑块。

命令

  • 更改漫游设置
  • 企业擦除 - 此操作会阻止提供配置文件,直至设备报告回合规状态。
  • 企业重置
  • 操作系统更新 - 如果设备受到监督并通过 DEP 注册,则该操作适用于具有 iOS 版本 9 至 10.2.1 的设备。使用 iOS 10.3 及更高版本的设备仅需受到监督。
  • 请求设备签入
  • 吊销 Azure 令牌 - 需要在设置 > 系统 > 企业集成 > 目录服务 > 高级中启用“使用 Azure AD 用于身份服务”。将影响给定用户的所有设备,禁用依赖于 Azure 令牌的任何应用程序。

电子邮件

  • 阻止电子邮件

通知

  • 向用户发送电子邮件 - 包括用于抄送用户管理者的选项。
  • 向设备发送短信
  • 向设备发送推送通知
  • 向管理员发送电子邮件

配置文件

  • 安装合规配置文件。
  • 屏蔽/移除配置文件
  • 屏蔽/移除配置文件类型
  • 屏蔽/移除所有配置文件 - 此操作会阻止提供配置文件,直至设备报告回合规状态。

父主题:合规策略规则和操作

check-circle-line exclamation-circle-line close-line
Scroll to top icon