Sie können Anwendungsgruppen (App-Gruppen) und Konformitätsrichtlinien verwenden, um Ressourcen in Ihrer Workspace ONE UEM-Umgebung zu schützen. Anwendungsgruppen identifizieren zulässige und eingeschränkte Anwendungen, sodass auf Geräten, die nicht den Schutzstandards entsprechen, Konformitätsrichtlinien zum Tragen kommen können.

Obwohl Anwendungsgruppen für mehrere Plattformen konfiguriert werden können, können diese nicht alle in Konformitätsrichtlinien einbezogen werden. Für die Plattformen, die nicht in Konformitätsrichtlinien einbezogen werden können, wenden Sie ein Anwendungskontrollprofil an.

Anwendungsgruppenplattform Funktioniert mit Konformitätsrichtlinien Funktioniert mit Anwendungskontrollprofilen
Android Ja Ja
Apple iOS Ja Nein
Windows Phone Nein Ja

Sie müssen keine Anwendungsgruppen konfigurieren. Anwendungsgruppen verbessern jedoch die Wirksamkeit und Reichweite Ihrer Konformitätsrichtlinien mit minimalen Konfigurationen.

Beziehungen zwischen Anwendungsgruppen und Konformitätsrichtlinien

Anwendungsgruppe Beschreibung Konformitätsrichtlinie Aktion
Zulässig (Whitelist) Verwaltete Geräte können diese Anwendungen über den AirWatch Catalog installieren.
Wenn eine Anwendung nicht auf der Liste aufgeführt ist, ist sie auf verwalteten Geräten nicht zulässig.
Enthält Nicht-Whitelist-Anwendungen Die Compliance Engine erkennt, dass auf dem Gerät Anwendungen installiert sind, die nicht zur Gruppe der zulässigen Anwendungen gehören, und wendet die in der Konformitätsregel konfigurierten Maßnahmen an.
Nicht zulässig (Blacklist) Verwaltete Geräte installieren diese Anwendungen nicht über den AirWatch Catalog.
Wenn eine Anwendung auf der Liste aufgeführt ist, ist sie auf verwalteten Geräten nicht zulässig.
Enthält nicht zulässige (Blacklist) Anwendungen Die Compliance Engine erkennt, dass auf dem Gerät Anwendungen aus der Gruppe der unzulässigen Anwendungen installiert sind, und wendet die in der Konformitätsregel konfigurierten Maßnahmen an.
Erforderlich Verwaltete Geräte müssen diese Anwendungen über den AirWatch Catalog installieren.
Wenn eine Anwendung auf dieser Liste aufgeführt ist, müssen Geräteanwender sie auf verwalteten Geräten installieren.
Enthält keine erforderlichen Anwendungen Die Compliance Engine erkennt, dass auf dem Gerät Anwendungen fehlen, die zur Gruppe der erforderlichen Anwendungen gehören, und wendet die in der Konformitätsregel konfigurierten Maßnahmen an.

Hinweis: Eine Anwendung, die für den automatischen Bereitstellungsmodus in der UEM-Konsole festgelegt ist, wird unter den folgenden Bedingungen nicht automatisch bereitgestellt:

  • Hinzufügen der Anwendung zur App-Gruppe auf der Negativliste, die dem Gerät zugewiesen ist.
  • Ausschließen der Anwendung in der App-Gruppe auf der Positivliste, die dem Gerät zugewiesen ist.

Auswirkungen der Datenschutzeinstellungen auf die Konformität der Anwendungsliste und das Anwendungssteuerungsprofil

Wenn Sie in der Workspace ONE UEM Console die Datenschutzeinstellungen der persönlichen Anwendung als Nicht erfassen konfigurieren, sammelt das System die persönlichen App-Informationen nicht von den Geräten. Das bedeutet, dass keine Informationen von persönlichen Anwendungen der Endbenutzer von ihren Geräten übertragen werden.

Es sind jedoch die folgenden Aspekte der Datenschutzeinstellungen zu beachten, die sich auf die Konformität der Anwendungsliste und die Einstellungen des Anwendungssteuerungsprofils auswirken:

  • Die Konformitätsrichtlinie für die Anwendungsliste prüft, ob ein Gerät die entsprechenden (auf der Negativliste bzw. Positivliste aufgeführten oder erforderlichen) Anwendungen aufweist. Wenn das System die Anwendungsliste nicht abfragt, findet diese Anwendungsprüfung möglicherweise nicht statt. Infolgedessen werden die Geräte, auf denen bestimmte Anwendungen auf der Negativliste vorhanden sind, nicht als „nicht konform“ markiert. Analog dazu werden Geräte, auf denen bestimmte „erforderliche“ (persönliche) Anwendungen fehlen, nicht als „nicht konform“ markiert.
  • Das Anwendungssteuerungsprofil mit der Aktion für Apps auf der Negativliste wird nicht auf die Geräte angewendet, für die der Datenschutz der persönlichen App auf Nicht erfassen festgelegt ist. Es wird nur auf diejenigen Geräte angewendet, auf denen Informationen aus persönlichen Apps erfasst werden.

Wenn Sie an der Liste der persönlichen Anwendungen Ihrer Endbenutzer Aktionen ausführen möchten, überwachen Sie die Datenschutzkonfiguration der persönlichen App für den betreffenden Gerätebesitzertyp in allen Organisationsgruppen, und überprüfen Sie Folgendes:

  • Stellen Sie sicher, dass die Konfiguration nicht auf Nicht erfassen festgelegt ist. Wenn Sie den Datenschutz Ihrer Endbenutzer sicherstellen und schädliche Anwendungen erkennen möchten, setzen Sie die Datenschutzkonfiguration auf Erfassen, aber nicht anzeigen.
  • Stellen Sie sicher, dass die Geräte Ihrer Endbenutzer die Berechtigungen für den Empfang der Anwendungen von Workspace ONE UEM besitzen, für die Sie Aktionen ausführen möchten.

Konfigurieren Ihrer Anwendungsgruppe

Konfigurieren Sie Anwendungsgruppen, sodass Sie die Gruppen in Ihren Konformitätsrichtlinien verwenden können. Führen Sie festgelegte Aktionen auf Geräten aus, die nichts mit Installation, Aktualisierung oder Entfernung von Anwendungen zu tun haben. Sie weisen Anwendungsgruppen Organisationsgruppen zu. Wenn Sie die Anwendungsgruppe einer übergeordneten Organisationsgruppe zuweisen, erben die untergeordneten Organisationsgruppen die Anwendungsgruppenkonfigurationen.

  1. Navigieren Sie zu Ressourcen > Anwendungen > Einstellungen > Anwendungsgruppen.

  2. Wählen Sie Gruppe hinzufügen.

  3. Bearbeiten Sie die Optionen unter dem Tab Liste.

    Einstellungen Beschreibung
    Typ Wählen Sie je nach gewünschtem Ergebnis den Typ der Anwendungsgruppe aus, die Sie erstellen möchten: Anwendungen zulassen, Anwendungen blockieren oder Anwendungsinstallationen erfordern.
    Falls Sie benutzerdefinierte MDM-Anwendungen gruppen möchten, wählen Sie MDM-Anwendung. Sie müssen diese Option aktivieren, damit sie im Menü angezeigt wird.
    Plattform Wählen Sie die Plattform für die Anwendungsgruppe.
    Name Geben Sie einen Anzeigenamen für die Anwendungsgruppe in die Workspace ONE UEM-Konsole ein.
    Anwendung hinzuzufügen Rufen Sie Textfelder auf, mit denen Sie nach Anwendungen suchen können, um sie dann zur Anwendungsgruppe hinzuzufügen.
    Name der Anwendung Geben Sie den Namen einer Anwendung ein, um danach im entsprechenden App Store zu suchen.
    Anwendungs-ID Prüfen Sie die Zeichenfolge, die automatisch vervollständigt wird, wenn Sie die Suchfunktion verwenden, um die Anwendung von einem App Store zu suchen.
    Herausgeber hinzufügen – Windows Phone Legen Sie für Windows Phone fest, dass den Anwendungsgruppen mehrere Herausgeber hinzugefügt werden. Herausgeber sind Organisationen, die Anwendungen erstellen.
    Kombinieren Sie diese Option mit „Anwendungen hinzufügen“ Einträgen, um Ausnahmen für die Herausgeber-Einträge für detaillierte Whitelists und Blacklists auf Windows Phone zu erstellen.
  4. Wählen Sie Weiter, um zu einem Anwendungskontrollprofil zu navigieren. Sie müssen ein Anwendungskontrollprofil für Windows Phone bearbeiten und anwenden. Sie können ein Anwendungskontrollprofile für Android-Geräte verwenden.

  5. Vervollständigen Sie die Einstellungen auf der Registerkarte Zuweisung.

    Einstellungen Beschreibung
    Beschreibung Geben Sie den Zweck der Anwendungsgruppe und gegebenenfalls weitere Informationen ein.
    Gerätezuständigkeit Wählen Sie die Gerätetypen, für die die Anwendungsgruppe zutrifft.
    Modell Wählen Sie Gerätemodelle, für die die Anwendungsgruppe zutrifft.
    Betriebssystem Wählen Sie Betriebssysteme, für die die Anwendungsgruppe zutrifft.
    Verwaltet von Prüfen oder bearbeiten Sie die Organisationsgruppe, die die Anwendungsgruppe verwaltet.
    Organisationsgruppe Fügen Sie weitere Organisationsgruppen hinzu, für die die Anwendungsgruppe zutrifft.
    Benutzergruppe Fügen Sie Benutzergruppen hinzu, für die die Anwendungsgruppe zutrifft.
  6. Wählen Sie Fertigstellen, um die Konfigurationen abzuschließen.

Bearbeiten Ihrer Anwendungsgruppen und Ihres Anwendungssteuerprofils

Sie können Ihre Anwendungsgruppen und Ihr Anwendungssteuerprofil bearbeiten. Wenn Sie Anwendungsgruppen für Android und Windows Phone bearbeiten, bearbeiten Sie zuerst die Anwendungsgruppe und dann das Anwendungsprofil.

  1. Bearbeiten Sie zuerst die Anwendungsgruppe.
  2. Bearbeiten Sie das Anwendungsprofil, um eine neue Version davon zu erstellen.
  3. Speichern und veröffentlichen Sie die neue Version des Anwendungsprofils auf Geräten. Die Änderungen an der Anwendungsgruppe werden nur dann übernommen, wenn die neue Version des Anwendungskontrollprofils auf Geräten eingesetzt wird.

Erstellen von Listen erforderlicher Anwendungen für AirWatch Catalog

Sie können Anwendungsgruppen verwenden, um Anwendungsbenachrichtigungen, die auf Geräten installiert werden müssen, per Push auf App-Kataloge zu übertragen.

  1. Navigieren Sie zu Ressourcen > Anwendungen > Einstellungen > Anwendungsgruppen.
  2. Fügen Sie eine Anwendungsgruppe hinzu oder bearbeiten Sie diese.
  3. Unter dem Tab Liste stellen Sie den Typ auf Erforderlich.
  4. Wählen Sie unter dem Tab Zuweisung die entsprechenden Organisations- und Benutzergruppen, die die Geräte enthalten, auf die Sie die erforderlichen Anwendungen schieben möchten.

Aktivieren von benutzerdefinierten MDM-Anwendungen für Ihre Anwendungsgruppen

Bei benutzerdefinierten MDM-Anwendungen handelt es sich um einen Typ von Anwendungsgruppe, der speziell zur Nachverfolgung von Geräteinformationen, wie Standort- oder Jailbreak-Status, erstellt wurde. Ermöglichen Sie Workspace ONE UEM, benutzerdefinierte MDM-Anwendungen zu erkennen, damit Sie diese speziellen Anwendungsgruppen zur Erfassung von Informationen, Fehlerbehandlungen und Nachverfolgung von Inventar zuweisen können. Workspace ONE UEM unterstützt benutzerdefinierte MDM-Anwendungen, die für Android- und Apple iOS-Plattformen erstellt wurden. Laden Sie sie als interne Anwendungen hoch.

Aktivieren Sie „Benutzerdefinierte MDM-Anwendungen verwenden“, damit diese Option im Anwendungsgruppenmenü von Workspace ONE UEM zur Auswahl steht. Workspace ONE UEM entfernt keine benutzerdefinierten MDM-Anwendungen, wenn die Compliance Engine diese auf Geräten erkennt. Diese Anwendungen sind zur Überprüfung, Nachverfolgung und Fehlerbehebung bestimmt.

  1. Navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Registrierung.
  2. Wählen Sie Anpassung.
  3. Aktivieren Sie Benutzerdefinierte MDM-Anwendungen verwenden.

Konformitätsrichtlinien für Ihre Anwendung

Durch Konformitätsrichtlinien sind Sie in der Lage, auf Geräten zu agieren, die sich nicht an die vorgegebenen Standards halten. Sie können beispielsweise Konformitätsrichtlinien erstellen, die erkennen, wenn Benutzer nicht zulässige Anwendungen installieren. Konfigurieren Sie dann das System, automatisch Maßnahmen auf Geräten mit nicht konformem Status zu ergreifen.

Unter Verwendung der Listenansicht für Konformität können Sie Konformitätsrichtlinien für einzelne Anwendungen erstellen bzw. für ganze Listen von Anwendungen unter Verwendung von Anwendungsgruppen. Obwohl Sie Anwendungsgruppen nicht unbedingt verwenden müssen, ermöglichen Ihnen diese Gruppen, vorbeugende Maßnahmen für eine große Menge nicht konformer Geräte zu ergreifen.

Beispiel einer Konformitätsrichtlinienaktion: Die Compliance Engine erkennt einen Benutzer mit einer Art Game-Anwendung, die zu einer Anwendungsgruppe gehört, welche per Blacklist nicht zugelassen ist. Sie können festlegen, dass die Compliance Engine dabei verschiedene Aktionen ausführt.

  • Dem Benutzer eine Benachrichtigung per „Push“ senden, um ihn aufzufordern, die Anwendung zu entfernen
  • Bestimmte Funktionen, wie WLAN-, VPN- oder E-Mail-Profile, vom Gerät entfernen
  • Bestimmte verwaltete Anwendungen und Profile entfernen
  • Dem Benutzer eine endgültige E-Mail-Benachrichtigung senden, mit einer Kopie die IT-Sicherheits- und die Personalabteilung

Konfigurieren Sie eine Anwendungslisten-Konformitätsrichtlinie für mehrere Plattformen, die Aktionen auf nicht konformen Geräten ausführt.

  • Android
  • Apple iOS
  • macOS

Erstellen einer Konformitätsrichtlinie für Anwendungen

Fügen Sie Konformitätsrichtlinien hinzu, die mit Anwendungsgruppen zusammenwirken, um so dem Mobilnetzwerk eine Sicherheitsschutzschicht beizufügen. Richtlinienkonfigurationen ermöglichen der Workspace ONE UEM Compliance Engine, festgelegte Maßnahmen auf nicht konformen Geräten zu ergreifen.

  1. Navigieren Sie zu Geräte > Konformitätsrichtlinien > Listenansicht. Wählen Sie Hinzufügen.

  2. Wählen Sie eine Plattform – Android, Apple iOS oder Apple macOS.

  3. Wählen Sie Anwendungsliste unter der Registerkarte Regeln.

  4. Wählen Sie die Optionen, die Ihre gewünschten Ziele hinsichtlich Konformität widerspiegeln.

    Einstellung Beschreibung
    Enthält Fügen Sie den Anwendungsbezeichner hinzu, um die Compliance Engine so zu konfigurieren, dass sie sene Präsenz auf Geräten überwacht.
    Erkennt die Compliance-Engine, dass die Anwendung auf den der Konformitätsregel zugewiesenen Geräten installiert ist, führt sie die in der Regel konfigurierten Aktionen aus.
    Enthält nicht Fügen Sie den Anwendungsbezeichner hinzu, um die Compliance Engine so zu konfigurieren, dass sie seine Präsenz auf Geräten überwacht.
    Erkennt die Compliance-Engine, dass die Anwendung nicht auf den der Konformitätsregel zugewiesenen Geräten installiert ist, führt sie die in der Regel konfigurierten Aktionen aus.
    Enthält nicht zulässige (Blacklist) Anwendungen Erkennt die Compliance-Engine Anwendungen aus Blacklist-Anwendungsgruppen auf den der Konformitätsregel zugewiesenen Geräten, führt die Compliance-Engine die in der Regel konfigurierten Maßnahmen aus.
    Enthält Blacklist-Anwendungen von Drittanbietern Fügen Sie Anwendungen aus Ihrem App-Reputation-Scansystem hinzu, um die Compliance-Engine so zu konfigurieren, dass sie deren Präsenz auf Geräten überwacht.
    Erkennt die Engine auf Geräten, die der Compliance-Regel zugewiesen sind, Anwendungen, die in diesen eindeutigen App-Gruppen auf der Blacklist aufgeführt sind, führt die Engine die in der Regel konfigurierten Aktionen aus.
    Verwenden Sie diese Option, wenn Sie Ihren App-Scanning-Dienst in Workspace ONE UEM integrieren. Sie müssen diese Option aktivieren, um sie im Menü zu sehen. Dies ist eine erweiterte Anwendungsverwaltungsfunktion, die zur Nutzung die korrekte SKU erfordert.
    Enthält Nicht-Whitelist-Anwendungen Erkennt die Compliance Engine Anwendungen keiner Whitelist-Anwendungsgruppen auf den der Konformitätsregel zugewiesenen Geräten, führt sie die in der Regel konfigurierten Maßnahmen aus.
    Enthält keine erforderlichen Anwendungen Erkennt die Compliance Engine, dass auf den der Konformitätsregel zugewiesenen Geräten Anwendungen der Gruppe der erforderlichen Anwendungen fehlen, führt sie die in er Regel konfigurierten Maßnahmen aus.
    Enthält nicht Version Fügen Sie den Anwendungsbezeichner und die Anwendungsversion hinzu, die die Compliance Engine überwacht, um sicherzustellen, dass die richtige Version der Anwendung auf den Geräten installiert ist.
    Erkennt die Compliance-Engine, dass die falsche Version der Anwendung auf den der Konformitätsregel zugewiesenen Geräten installiert ist, führt sie die in der Regel konfigurierten Aktionen aus.

    Sie können die Anwendungs-ID aus einem App Store oder dem zugehörigen Eintrag in der Workspace ONE UEM-Konsole abrufen. Navigieren Sie zu Ressourcen > Apps > Listenansicht > Intern oder Öffentlich. Wählen Sie Anzeigen vom Aktionsmenü für die Anwendung und suchen Sie dann die Informationen zur Anwendungs-ID

  5. Gehen Sie dann zum Tab Aktionen und legen Sie dort die Eskalationsmaßnahmen fest, die auszuführen sind, sollte ein Benutzer die anwendungsbasierte Regel nicht befolgen. Die erste Aktion ist unmittelbar. Die Konfiguration dieser Aktion ist aber nicht obligatorisch. Verwenden oder löschen Sie diese. Sie können die unmittelbare Aktion mit weiteren, verzögerten Aktionen über die Funktion Eskalationen hinzufügen erweitern oder ersetzen.

    Einstellungen Beschreibung
    Als nicht konform markieren Aktivieren Sie das Kontrollkästchen, um Geräte zu markieren, die gegen diese Regel verstoßen. Sobald das Gerät jedoch als nicht konform gekennzeichnet ist, und je nach Eskalationsaktionen kann das System das Gerät am Zugriff auf Ressourcen hindern und Administratoren Aktionen auf dem Gerät verweigern.
    Deaktivieren Sie diese Option, wenn Sie das Gerät nicht sofort unter Quarantäne stellen möchten.
    Anwendung Wählen Sie diese Option, um die verwaltete Anwendung zu entfernen.
    Befehl Wählen Sie diese Option, um das System so zu konfigurieren, dass dem Gerät der Befehl erteilt wird, bei der Konsole einzuchecken, ein Enterprise Wipe auszuführen oder Roamingeinstellungen zu ändern.
    E-Mail Wählen Sie diese Option, um E-Mails auf nicht konformen Geräten zu blockieren.
    Benachrichtigen Wählen Sie diese Option, um das nicht konforme Gerät mithilfe Ihrer Standardvorlage mit einer E-Mail-, SMS- oder Push-Benachrichtigung zu benachrichtigen.
    Sie können dem Administrator auch einen Hinweis bezüglich des Regelverstoßes senden.
    Profil Wählen Sie diese Option, um mit Workspace ONE UEM-Profilen die Funktionalität auf dem Gerät zu begrenzen.
  6. Wählen Sie den Tab Zuweisung, um die Konformitätsregel den Smartgroups zuzuweisen.

    Einstellung Beschreibung
    Verwaltet von Sehen Sie die Organisationsgruppe ein, die die Regel verwaltet und durchsetzt, bzw. bearbeiten Sie diese.
    Zugewiesene Gruppen Beginnen Sie zu tippen, um Smartgroups hinzuzufügen, auf die diese Regel zutrifft.
    Ausschlüsse Wählen Sie „Ja“, um Gruppen von der Regel auszuschließen.
    Gerätezuweisung anzeigen Wählen Sie diese Option, um die von der Regel betroffenen Geräte einzusehen.
  7. Wählen Sie den Tab Übersicht, um die Regel zu benennen und eine kurze Beschreibung hinzuzufügen.

  8. Wählen Sie Fertigstellen und aktivieren, um die neu erstellte Regel durchzusetzen.

check-circle-line exclamation-circle-line close-line
Scroll to top icon