Regler og handlinger for compliance-politikker
Du kan håndhæve regler og træffe foranstaltninger, når enheder ikke overholder dine politikker. Denne liste er platformagnostisk.
Du kan finde ud af, hvilke regler og handlinger der gælder for en bestemt enhed, ved at gå til Enheder > Compliance-politikker > Listevisning vælge Tilføj knappen og derefter vælge platformen for at se alle de regler og handlinger, du kan foretage specifikt for den pågældende platform.
Regler
| Indstilling | Beskrivelse |
|---|---|
| App-liste | Registrer specifikke sortlistede apps, der er installeret på en enhed, eller alle apps der ikke er hvidlistede. Du kan forbyde bestemte apps (såsom apps til sociale medier) og apps, der er sortlistet af leverandører, eller kun tillade apps, som du selv specificerer. iOS: På grund af måden hvorpå appstatus rapporteres på iOS-enheder, så vil en app kun opnå status ’Installeret’ når installationsprocessen er fuldført. Af denne årsag, hvis du opretter en compliance-regel, der måler app-listen over iOS-enheder, bør du overveje at gennemtvinge en handling, der undgår at tilintetgøre data. For eksempel enterprise slet eller sletning af enhed. macOS: For macOS enheder skal du sørge for, at følgende trin udføres for at anvende det indbyggede MDM-eksempel, der indeholder en liste over installerede apps. 1. Konfigurer indstillinger for privatliv Gå til Indstillinger > Enheder og brugere > Generelt > Privatlivspolitik og under ”Personlige programmer” skal du vælge enten Indsaml og vis eller Indsaml og vis ikke for de tildelte enheder. 2. Indtast den korrekte ”App-bundt-id”, når du definerer politikken. Gå til Compliance-politikker > Listevisning > Tilføj. Under fanen Regler skal tekstfeltet yderst til højre, ”App-id”, indeholde det indbyggede ”App-id” for mål-appen, ikke det Workspace ONE-genererede bundt-id, der bruges til udrulning af appen, som du kan identificere ved hjælp af dens syntaks com.vmw.macos.{Package_Name}. Anvend ikke dette bundt-id hvis du ønsker at anvende app liste compliance-politikken for macOS enheder. Udfyld i stedet dette tekstfelt under fanen Regler med det native app-id, som du kan finde ved at navigere til Enhedsoplysninger på en målrettet macOS enhed, klikke på Apps finde appnavnet på listen og klikke på det en gang for at få vist app-oplysninger. Brug derefter det viste ”App-id”. Du kan også få dette app-id ved at inspicere appen på en macOS enhed. |
| Antivirusstatus | Registrer, om der kører en antivirus-app. Compliance-politik engine tjekker handlingscenteret på enheden for en antivirusløsning. Windows understøtter alle tredjeparts antivirusløsninger. |
| Automatiske opdateringer | Registrerer, om Automatisk opdatering i Windows er aktiveret med en installeret opdateringsprofil til Windows. Få flere oplysninger i Opdateringsprofil til Windows. Compliance politik engine overvåger enhedens handlingscenter for at se, om der er en opdateringsløsning. Hvis din tredjepartsløsning ikke vises i handlingscenteret, rapporteres den som ikke-overvåget. |
| Forbrug af mobildata/sms/tale | Registrer, når slutbrugerenheder overskrider en bestemt grænse i deres tildelte Telekom-abonnement. Workspace ONE UEM kan kun give besked, når forbrug overskrider en forud fastlagt grænse. UEM kan ikke begrænse det faktiske forbrug. For at denne politikregel kan fungere korrekt, skal du Avanceret Telekom og tildele det pågældende Telekom-abonnement til enheden. |
| Compliance-attribut | Sammenlign attributnøgler i enheden med slutpunktssikkerhed fra tredjepart, hvilket returnerer en boolesk værdi, der repræsenterer enheds-compliance. Kun tilgængelig for Windows Desktop-enheder. |
| Kompromitteret status | Registrer om enheden er kompromitteret. Forbyd brug af enheder, der er "jailbroken" eller "rooted", der er tilmeldt med Workspace ONE UEM. Enheder, som er "jailbroken" og rootet, fjerner centrale sikkerhedsfunktioner og kan introducere skadelig software i dit netværk samt give adgang til dine virksomhedsressourcer. Overvågning af kompromitteret enhedsstatus er især vigtigt i BYOD miljøer hvor ansatte har forskellige versioner af enheder og operativsystemer. |
| Kopi af Windows | Registrer hvorvidt kopien af Windows aktuelt på enheden er ægte. |
| Enhed sidst set | Register, om enheden mangler at tjekke ind i en tildelt tidsramme. |
| Enhedsproducent | Register enhedsproducenten for at identificere bestemte Android enheder. Du kan specifikt forbyde bestemte producenter eller kun tillade bestemte producenter efter valg. |
| Enhedsmærker | Registrer, hvorvidt et enhedslabel er til stede eller fraværende på enheden. Du kan søge efter flere enhedslabels med én regel. Operatører: - Indeholder alle - Indeholder enhver - Indeholder ingen |
| Kryptering | Registrer, om kryptering er aktiveret på enheden. Windows understøtter alle tredjeparts krypteringsløsninger. |
| Firewallstatus | Registrer, om der kører en firewall-app. Compliance-politik engine tjekke handlingscenteret på enheden for en firewall-løsning. Windows understøtter alle tredjeparts firewall-løsninger. |
| Fri diskplads | Registrer tilgængelig harddiskplads på enheden. |
| iBeacon område | Registrer hvorvidt din iOS enheder er inde i et område for en iBeacon-gruppe. |
| Interaktiv certifikatprofil udløb | Registrer, når en installeret profil på enheden udløber inden for det angivne tidsrum. |
| Sidste kompromitteret skanning | Registrer, om enheden ikke har rapporteret sin kompromitteret status inden for det angivne tidsrum. |
| MDM - Vedtagelse af vilkår for anvendelse | Registrer, om slutbruger har accepteret aktuelle Vilkår for anvendelse inden for et angivet tidsrum. |
| Model | Registrer enhedsmodel. Du kan specifikt forbyde bestemte producenter eller kun tillade bestemte producenter, du angiver. |
| OS-version | Registrer enhedens OS-version. Du kan forbyde bestemte OS-versioner eller kun tillade bestemte OS-versioner, du angiver. Hvis du ønsker at gennemtvinge den seneste OS-version, skal du opdatere din OS-versions compliance-politik med hver ny OS-udgivelse og derefter sende den opdaterede politik ud til de relevante enheder. Redigeringer, du foretager af en eksisterende politik, medfører, at indstillinger såsom eskaleringstidsplaner nulstilles. |
| Adgangskode | Registrer om en adgangskode er tilstede på enheden. |
| Roaming | Registrer om enheden er i roaming tilstand. Kun tilgængelig for Telekom for avancerede brugere. |
| Mobildataforbrug under roaming | Registrer dataforbrug under roaming mod en statisk mængde data målt i MB eller GB. Kun tilgængelig for Telekom for avancerede brugere. |
| Sikkerheds-patchversion | Registrer dato for Android enhedens seneste sikkerhedspatch fra Google. Gælder kun for Android version 6.0 og nyere. |
| SIM-kort skift | Registrer om SIM-kort er blevet skiftet ud. Kun tilgængelig for Telekom for avancerede brugere. |
| Beskyttelse af systemintegritet | Registrer status for macOS's ophavsretlige beskyttelse af systemejede filer og mapper i modsætning til ændringer af processer uden en bestemt ”berettigelse”, selv når de køres af rodbrugeren eller en bruger med rodrettigheder. |
Handlinger
App
- Bloker/fjern styret app
-
Bloker/Slet alle styrede apps
Når Handlingen Bloker/fjern app anvendes på en ikke-compliant enhed, fjerner Workspace ONE UEM-konsollen indikerede apps og begynder en 2-timers timer før den næste mulige enhedssynkronisering. Hver gang enhedssynkroniseringen kører, beregner den, hvilke apps der skal tilføjes og fjernes, når der tages højde for aktive compliance-politikker. Når enhedssynkroniseringen kører efter de to timer, og den samme app bliver fundet, fjernes appen.
I løbet af denne to timers periode kan slutbrugeren dog forsøge at omgå compliance-handlingen’ og geninstallere de blokerede apps. Hvis de f.eks. sideloader APK-filen eller installerer en offentlig app fra Play Store, udløses compliance-handlingen måske ikke. Overvej at oprette en enhedsprofil for at forhindre slutbrugeren i at installere apps.
Du kan gøre dette på to måder, når du opretter en enhedsprofil i Ressourcer > Profiler og grundlinjer > Profiler.
- Kun Android – Føj en nyttelast til App-styring for at deaktivere adgang til forbudte apps. For at denne nyttelast kan fungere, skal du oprette en app-gruppe på forbudt-listen i Ressourcer > Apps > Indstillinger > App-grupper og tildele den til den pågældende enhed.
- Tilføj en nyttelast Begrænsninger, der deaktiverer skyderen for Tillad installation af apps.
Kommando
- Skift roaming-indstillinger
- Enterprise-slet - Dette forhindrer levering af profiler, indtil enheden rapporterer en kompatibel status.
- Enterprise nulstil
- OS-opdateringer - Tilgængelige for enheder med iOS-versioner 9 til 10.2.1, hvis de er overvåget og DEP-tilmeldt. Enheder med iOS 10.3 og nyere behøver kun overvåges.
- Anmod om enheds tjek ind
-
Tilbagekald Azure-tokens – Denne handling påvirker alle enheder for en given bruger og deaktiverer enhver app, der er afhængig af Azure-tokenet.
- Denne handling kræver, at ”Azure AD-integration” er aktiveret, og at ”Anvend Azure AD til identitetstjenester” er aktiveret, og at begge kan findes under Indstillinger > System > Enterprise Integration > Directory Services under fanen Server.
-
For at Azure token kan fungere, så er Brugers hovednavn et obligatorisk brugerkontofelt, så anvend en af følgende metoder for at sikre, at det har den korrekte værdi.
- Gå til Konti > Brugere > Listevisning og rediger den målrettede brugerkontos Brugers hovednavn (under fanen Avanceret) med den samme e-mailadresse, de bruger til at logge på deres Azure-konto.
ELLER 1. Gå til Grupper og indstillinger > Alle indstillinger > System > Enterprise Integration > Directory Services, vælg Bruger fanen og vælg fanen Avanceret-rullemenuen. 2. Rul ned til Brugers hovednavn og indtast den søgeværdi, der svarer til den e-mailadresse, de bruger til at logge på deres Azure-konto.
- Bloker e-mail
Giv besked
- Send e-mail til bruger – Omfatter muligheden for at sætte brugerens chef på CC.
- Send sms til enhed
- Send push notifikation til enhed
- Send e-mail til administrator
Profil
- Installer compliance-profil.
- Bloker/Fjern profil
- Bloker/Fjern profiltype
- Bloker/fjern alle profiler - Dette forhindrer levering af profiler, indtil enheden rapporterer en kompatibel status.
