Regeln und Aktionen für Konformitätsrichtlinien
Sie können Regeln durchsetzen und Aktionen ergreifen, wenn Geräte Ihre Richtlinien nicht einhalten. Diese Liste ist plattformunabhängig.
Um herauszufinden, welche Regeln und Aktionen für ein bestimmtes Gerät gelten, navigieren Sie zu Geräte > Konformitätsrichtlinien > Listenansicht, wählen Sie die Schaltfläche Hinzufügen und dann die Plattform aus, um alle Regeln und Aktionen anzuzeigen, die Sie spezifisch für diese Plattform durchführen können.
Regeln
| Einstellung | Beschreibung |
|---|---|
| Anwendungsliste | Ermöglicht Ihnen, bestimmte, per Negativliste gesperrte Apps, die auf einem Gerät installiert sind, oder alle Apps, die nicht per Positivliste zugelassen sind, zu erkennen. Sie können entweder bestimmte Apps (z. B. Social Media-Anwendungen) und von Anbietern auf die Negativliste gesetzte Apps verbieten oder nur die von Ihnen angegebenen Apps zulassen. iOS: Aufgrund der Art, wie der Applikationsstatus auf iOS-Geräten gemeldet wird, bekommt eine App den Status ‚Installiert’ erst dann, wenn der Installationsvorgang vollständig abgeschlossen wurde. Wenn Sie aus diesem Grund eine Übereinstimmungsregel erstellen, die die Anwendungsliste der iOS-Geräte misst, sollten Sie eine Aktion erzwingen, die die Vernichtung von Daten vermeidet. Beispiel: „Unternehmensdaten löschen“ oder „Gerät zurücksetzen“. macOS: Stellen Sie für macOS-Geräte sicher, dass die folgenden Schritte ausgeführt werden, um das systemeigene MDM-Beispiel zu verwenden, das eine Liste der installierten Anwendungen enthält. 1. Konfigurieren Sie die Datenschutzeinstellungen . Navigieren Sie zu Einstellungen > Geräte & Benutzer > Allgemein > Datenschutz und wählen Sie unter „Persönliche Applikationen” für die zugewiesenen Geräte entweder Sammeln und anzeigen oder Sammeln, aber nicht anzeigen. 2. Geben Sie beim Definieren der Richtlinie die korrekte „Applikations-Bundle-ID” ein. Navigieren Sie zu Kompatibilitätsrichtlinien > Listenansicht > Hinzufügen . Im Tab Regeln muss das Textfeld ganz rechts, „Applikationsbezeichner“, die native „App-ID“ für die Zielapplikation enthalten und nicht die beim Bereitstellen der App verwendete, durch Workspace ONE erzeugte Bundle-ID, die Sie anhand ihrer Syntax com.vmw.macos.{Package_Name} identifizieren können. Verwenden Sie diese Paket-ID nicht, wenn Sie die Konformitätsrichtlinie „Anwendungsliste“ für macOS-Geräte anwenden möchten. Befüllen Sie stattdessen das Textfeld im Tab Regeln mit der nativen App-ID, die Sie finden, indem Sie auf dem macOS-Zielgerät zu Gerätedetails navigieren, auf Apps klicken, den App-Namen aus der Liste heraussuchen und diesen einmal anklicken, um App-Informationen anzuzeigen. Verwenden Sie dann die angezeigte „App-ID”. Sie können diese App-ID auch abrufen, indem Sie die Anwendung auf einem macOS Gerät überprüfen. |
| Antivirus-Status | Stellen Sie fest, ob eine Antivirus-Anwendung ausgeführt wird. Das Konformitätsrichtlinienmodul überwacht das Aktionszentrum des Geräts auf eine Antivirus-Lösung. Windows unterstützt alle Antivirus-Lösungen von Drittanbietern. |
| Automatische Updates | Erkennt, ob Windows Automatische Updates mit einem installierten Windows Updates-Profil aktiviert ist. Weitere Informationen finden Sie unter Windows Updates-Profil. Die Compliance Engine überwacht das Aktionszentrum des Geräts auf eine Update-Lösung. Sollte Ihre Drittanbieterlösung nicht im Aktionszentrum angezeigt werden, wird sie als nicht überwacht gemeldet. |
| Nutzung von Mobilfunkdaten/Nachrichten/Sprachanrufen | Stellen Sie fest, wenn Endbenutzergeräte einen bestimmten Schwellenwert ihres Telekommunikationstarifplans überschreiten. Workspace ONE UEM kann nur per Benachrichtigung darüber informieren, wann die Nutzung einen vordefinierten Grenzwert überschreitet, UEM kann die tatsächliche Nutzung nicht begrenzen. Damit diese Richtlinienregel ordnungsgemäß funktioniert, müssen Sie Advanced-Telekommunikation aktivieren und dem Gerät diesen Telekommunikationsplan zuweisen. |
| Konformitätsattribut | Vergleichen Sie Attributschlüssel im Gerät anhand der Endpunkt-Sicherheitskontrolle von Drittanbietern, die einen Booleanschen Wert für die Gerätekonformität zurückgibt. Nur für Windows Desktop-Geräte verfügbar. |
| Kompromittierungsstatus | Stellen Sie fest, ob das Gerät kompromittiert ist. Verhindern Sie die Verwendung von Geräten mit Jailbreak oder Root-Zugriff, die bei Workspace ONE UEM registriert sind. Geräte mit Jailbreak oder Root-Zugriff bauen wesentliche Sicherheitseinstellungen ab und können Malware in Ihr Netzwerk einschleusen sowie Zugriff auf Ihre Unternehmensressourcen ermöglichen. Die Überwachung des Status von kompromittierten Geräten ist in BYOD-Umgebungen besonders wichtig, bei denen Mitarbeiter über verschiedene Versionen von Geräten und Betriebssystemen verfügen. |
| Windows-Kopie | Erkennen Sie, ob die Windows-Kopie, die momentan auf dem Geräte ausgeführt wird, echt ist. |
| Zuletzt angezeigtes Gerät | Erkennen Sie, wenn das Gerät innerhalb eines festgelegten Zeitrahmens nicht eingecheckt wird. |
| Gerätehersteller | Erkennen Sie den Gerätehersteller, wodurch Sie die Möglichkeit erhalten, bestimmte Android-Geräte zu identifizieren. Sie können bestimmte Hersteller verbieten oder nur die von Ihnen festgelegten Hersteller zulassen. |
| Gerätetags | Erkennen Sie, ob ein Gerätetag auf dem Gerät vorhanden ist oder nicht. Sie können mit einer Regel nach mehreren Gerätetags suchen. Operatoren: - Enthält alle - Enthält beliebige - Enthält keine |
| Verschlüsselung | Erkennen Sie, ob die Verschlüsselung auf dem Gerät aktiviert ist. Windows unterstützt alle Verschlüsselungslösungen von Drittanbietern. |
| Firewall-Status | Erkennen Sie, ob eine Firewall-App ausgeführt wird. Die Compliance Engine überprüft das Aktionszentrum des Geräts auf eine Firewall-Lösung. Windows unterstützt alle Firewall-Lösungen von Drittanbietern. |
| Freier Speicherplatz | Erkennen Sie den verfügbaren Festplattenspeicher auf dem Gerät. |
| iBeacon-Bereich | Erkennen Sie, ob Ihr Gerät sich im Bereich einer iBeacon-Gruppe befindet. |
| Ablauf des interaktiven Zertifikatsprofils | Erkennen Sie, wenn ein installiertes Profil innerhalb eines festgelegten Zeitraums auf dem Gerät abläuft. |
| Letzter Kompromittierungsscan | Erkennen Sie, wenn ein Gerät seinen Kompromittierungsstatus innerhalb des festgelegten Zeitraums nicht gemeldet hat. |
| Annahme der MDM-Nutzungsbedingungen | Erkennen Sie, wenn ein Endbenutzer die aktuellen MDM-Nutzungsbedingungen innerhalb eines bestimmten Zeitraums nicht akzeptiert hat. |
| Modell | Erkennen Sie das Gerätemodell. Sie können entweder bestimmte Modelle untersagen oder nur die von Ihnen festgelegten Modelle zulassen. |
| BS-Version | Erkennen Sie die BS-Version des Geräts. Sie können entweder bestimmte BS-Versionen untersagen oder nur die von Ihnen festgelegten Betriebssysteme und Versionen zulassen. Wenn Sie die neueste BS-Version erzwingen möchten, müssen Sie Ihre Konformitätsrichtlinie für die Betriebssystemversion mit jeder neuen Betriebssystemversion aktualisieren und dann die aktualisierte Richtlinie an die relevanten Geräte weitergeben. Alle Änderungen, die Sie an einer vorhandenen Richtlinie vornehmen, führen dazu, dass Optionen wie Eskalationszeitpläne zurückgesetzt werden. |
| Kennung | Erkennen Sie, ob eine Kennung auf dem Gerät vorhanden ist. |
| Roaming | Erkennen Sie, wenn sich das Gerät im Roamingbetrieb befindet. Nur für erweiterte Telekommunikationsbenutzer verfügbar. |
| Mobilfunkdaten-Nutzung im Roamingbetrieb | Erkennen Sie Mobilfunkdaten-Nutzung im Roamingbetrieb im Vergleich zu einer statischen Menge an in MB oder GB gemessenen Daten. Nur für erweiterte Telekommunikationsbenutzer verfügbar. |
| Sicherheitspatchversion | Erkennen des Erscheinungsdatums des neuesten auf dem Android-Gerät installierten Google-Sicherheitspatches. Gilt nur für Android-Version 6.0 und höher. |
| SIM-Karten-Wechsel | Erkennen Sie, ob die SIM-Karte gewechselt wurde. Nur für erweiterte Telekommunikationsbenutzer verfügbar. |
| Systemintegritätsschutz | Erkennen des Status des macOS-eigenen Systemdateien- und -verzeichnisschutzes gegen Manipulationen durch Prozesse ohne bestimmtes „Entitlement”, selbst, wenn diese im Root-Kontext laufen. |
Aktionen
Anwendung
- Verwaltete Anwendung blockieren/entfernen
-
Alle verwalteten Apps blockieren/entfernen
Wenn die Aktion „Anwendung blockieren/entfernen“ auf ein nicht konformes Gerät angewendet wird, entfernt die Workspace ONE UEM console die angegebenen Apps und startet einen Timer von 2 Stunden vor der nächsten möglichen Gerätesynchronisierung. Bei jeder Ausführung der Gerätesynchronisierung wird berechnet, welche Anwendungen unter Berücksichtigung der aktiven Konformitätsrichtlinien hinzugefügt und entfernt werden sollen. Wenn die Gerätesynchronisierung nach Ablauf des Timers von zwei Stunden ausgeführt wird und dieselbe App erkannt wird, wird die App entfernt.
Während dieses Zeitraums von zwei Stunden kann der Endbenutzer jedoch versuchen, die Konformitätsaktion zu umgehen und die blockierten Anwendungen neu zu installieren. Wenn der Endbenutzer beispielsweise die APK-Datei per Sideloading überträgt oder eine öffentliche App aus dem Play Store installiert, wird die Konformitätsaktion möglicherweise nicht ausgelöst. Sie sollten ein Geräteprofil erstellen, um zu verhindern, dass der Endbenutzer Apps installiert.
Es gibt zwei Möglichkeiten, dies zu tun, wenn Sie ein Geräteprofil unter Ressourcen > Profile und Baselines > Profile erstellen.
- Nur Android – Fügen Sie eine Nutzlast vom Typ Anwendungskontrolle hinzu, um den Zugriff auf verbotene Apps zu deaktivieren. Damit diese Nutzlast funktioniert, müssen Sie unter Ressourcen > Apps > Einstellungen > App-Gruppen eine App-Gruppe „Negativliste“ erstellen und sie dem betreffenden Gerät zuweisen.
- Fügen Sie eine Nutzlast vom Typ Restriktionen hinzu und deaktivieren Sie den Schieberegler für Installation von Apps erlauben.
Befehl
- Roamingeinstellungen ändern
- Unternehmensdaten löschen – Verhindert die Bereitstellung von Profilen, bis das Gerät einen übereinstimmenden Status zurückmeldet.
- Enterprise-Zurücksetzung
- Betriebssystem-Updates – Für Geräte mit iOS 9 bis 10.2.1 verfügbar, sofern sie überwacht und DEP-registriert sind. Geräte mit iOS 10.3 und höher müssen nur überwacht werden.
- Geräte-Check-in anfordern
-
Azure-Token widerrufen – Diese Aktion wirkt sich auf alle Geräte für einen bestimmten Benutzer aus und deaktiviert jede Anwendung, die auf dem Azure-Token beruht.
- Diese Aktion erfordert, dass ‚Azure-AD-Integration’ sowie ‚Azure-AD für Identitätsdienste verwenden’ aktiviert sind. Beide befinden sich im Server-Tab unter Einstellungen > System > Enterprise-Integration > Verzeichnisdienste.
-
Damit der Widerruf des Azure-Tokens funktioniert, ist Benutzerprinzipalname ein zwingendes Feld für das Benutzerkonto. Verwenden Sie daher eine der folgenden Methoden, um sicherzustellen, dass der Wert korrekt ist.
- Navigieren Sie zu Konten > Benutzer > Listenansicht und bearbeiten Sie den Benutzer-Prinzipalnamen des gewünschten Benutzerkontos (im Tab Erweitert) mit der selben E-Mail-Adresse, mit der der Benutzer sich in sein Azure-Account einloggt.
ODER 1. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > System > Enterprise-Integration > Verzeichnisdienste und wählen Sie die Registerkarte Benutzer und dann den Dropdown-Abschnitt Erweitert aus. 2. Scrollen Sie nach unten zu Benutzerprinzipalname und geben Sie den Nachschlagewert ein, der der E-Mail-Adresse entspricht, die die Benutzer für die Anmeldung bei ihrem Azure-Konto verwenden.
- E-Mail blockieren
Benachrichtigen
- E-Mail an Benutzer senden - Beinhaltet die Option, den Vorgesetzten des Benutzers in CC zu setzen.
- SMS an Gerät senden
- Push-Benachrichtigung an Gerät senden
- E-Mail an Administrator senden
Profil
- Konformitätsprofil installieren.
- Profil blockieren/entfernen
- Profiltyp blockieren/entfernen
- Alle Profile blockieren/entfernen – Verhindert die Bereitstellung von Profilen, bis das Gerät einen übereinstimmenden Status zurückmeldet.
