Sie können Regeln durchsetzen und Aktionen ergreifen, wenn Geräte Ihre Richtlinien nicht einhalten. Diese Liste ist plattformunabhängig. Navigieren Sie zu Geräte > Konformitätsrichtlinien > Listenansicht, klicken Sie auf die Schaltfläche Hinzufügen und wählen Sie dann die Plattform aus, um alle Regeln und Aktionen anzuzeigen, die Sie für diese Plattform durchführen können.

Regeln

Einstellung Beschreibung
Anwendungsliste Ermöglicht Ihnen, bestimmte, per Negativliste gesperrte Apps, die auf einem Gerät installiert sind, oder alle Apps, die nicht per Positivliste zugelassen sind, zu erkennen. Sie können bestimmte Anwendungen (z. B. Social-Media-Apps) und Anwendungen, die von Anbietern auf die Negativliste gesetzt wurden, verbieten oder nur die von Ihnen angegebenen Anwendungen zulassen.

Aufgrund der Art und Weise, wie der Anwendungsstatus auf iOS-Geräten gemeldet wird, erreicht eine App den Status „Installiert“ erst, wenn der Installationsvorgang vollständig abgeschlossen ist. Wenn Sie aus diesem Grund eine Übereinstimmungsregel erstellen, die die Anwendungsliste der iOS-Geräte misst, sollten Sie eine Aktion erzwingen, die die Vernichtung von Daten vermeidet. Beispiel: Enterprise-Löschung oder Gerätezurücksetzung.
Antivirus-Status Stellen Sie fest, ob eine Antivirus-Anwendung ausgeführt wird. Das Konformitätsrichtlinienmodul überwacht das Aktionszentrum des Geräts auf eine Antivirus-Lösung. Windows unterstützt alle Antivirus-Lösungen von Drittanbietern.
Nutzung von Mobilfunkdaten/Nachrichten/Sprachanrufen Erkennen Sie, wenn Endbenutzergeräte einen bestimmten Schwellenwert ihres zugewiesenen Telekom-Plans überschreiten.

Workspace ONE UEM kann nur eine Benachrichtigung bereitstellen, wenn die Nutzung einen vordefinierten Schwellenwert überschreitet, die tatsächliche Nutzung jedoch nicht begrenzen.

Damit diese Richtlinienregel ordnungsgemäß funktioniert, müssen Sie für die Telekommunikation Erweitert aktivieren und diesen Telekommunikationsplan dem Gerät zuweisen.
Konformitätsattribut Vergleichen Sie Attributschlüssel im Gerät anhand der Endpunkt-Sicherheitskontrolle von Drittanbietern, die einen Booleanschen Wert für die Gerätekonformität zurückgibt. Nur für Windows Desktop-Geräte verfügbar.
Kompromittierungsstatus Stellen Sie fest, ob das Gerät kompromittiert ist. Verhindern Sie die Verwendung von mit Jailbreak manipulierten und gerooteten Geräten, die bei Workspace ONE UEM registriert sind.

Mit Jailbreak manipulierte und gerootete Geräte entfernen integrale Sicherheitseinstellungen und können Malware in Ihr Netzwerk einführen oder Zugriff auf Ihre Unternehmensressourcen gewähren. Die Überwachung des Status von kompromittierten Geräten ist in BYOD-Umgebungen besonders wichtig, bei denen Mitarbeiter über verschiedene Versionen von Geräten und Betriebssystemen verfügen.
Zuletzt angezeigtes Gerät Erkennen Sie, wenn das Gerät innerhalb eines festgelegten Zeitrahmens nicht eingecheckt wird.
Gerätehersteller Erkennen Sie den Gerätehersteller, wodurch Sie die Möglichkeit erhalten, bestimmte Android-Geräte zu identifizieren. Sie können bestimmte Hersteller verbieten oder nur die von Ihnen festgelegten Hersteller zulassen.
Verschlüsselung Erkennen Sie, ob die Verschlüsselung auf dem Gerät aktiviert ist. Windows unterstützt alle Verschlüsselungslösungen von Drittanbietern.
Firewall-Status Erkennen Sie, ob eine Firewall-Anwendung ausgeführt wird. Die Compliance Engine überprüft das Aktionszentrum des Geräts auf eine Firewall-Lösung. Windows unterstützt alle Firewall-Lösungen von Drittanbietern.
Freier Speicherplatz Erkennen Sie den verfügbaren Festplattenspeicher auf dem Gerät.
iBeacon-Bereich Erkennen Sie, ob Ihr Gerät sich im Bereich einer iBeacon-Gruppe befindet.
Ablauf des interaktiven Zertifikatsprofils Erkennen Sie, wenn ein installiertes Profil innerhalb eines festgelegten Zeitraums auf dem Gerät abläuft.
Letzter Kompromittierungsscan Erkennen Sie, wenn ein Gerät seinen Kompromittierungsstatus innerhalb des festgelegten Zeitraums nicht gemeldet hat.
Annahme der MDM-Nutzungsbedingungen Erkennen Sie, wenn ein Endbenutzer die aktuellen MDM-Nutzungsbedingungen innerhalb eines bestimmten Zeitraums nicht akzeptiert hat.
Modell Erkennen Sie das Gerätemodell. Sie können entweder bestimmte Modelle untersagen oder nur die von Ihnen festgelegten Modelle zulassen.
BS-Version Erkennen Sie die BS-Version des Geräts. Sie können entweder bestimmte BS-Versionen untersagen oder nur die von Ihnen festgelegten Betriebssysteme und Versionen zulassen.
Kennung Erkennen Sie, ob eine Kennung auf dem Gerät vorhanden ist.
Roaming Erkennen Sie, wenn sich das Gerät im Roamingbetrieb befindet. Nur für erweiterte Telekommunikationsbenutzer verfügbar.
Mobilfunkdaten-Nutzung im Roamingbetrieb Erkennen Sie Mobilfunkdaten-Nutzung im Roamingbetrieb im Vergleich zu einer statischen Menge an in MB oder GB gemessenen Daten. Nur für erweiterte Telekommunikationsbenutzer verfügbar.
Sicherheitspatchversion Stellen Sie das Datum des neuesten Sicherheitspatches von Google auf dem Android-Gerät fest. Gilt nur für Android-Version 6.0 und höher.
SIM-Karten-Wechsel Erkennen Sie, ob die SIM-Karte gewechselt wurde. Nur für erweiterte Telekommunikationsbenutzer verfügbar.
Systemintegritätsschutz Ermitteln Sie den Status des proprietären Schutzsystems von macOS für systemeigene Dateien und Verzeichnisse vor Änderungen durch Prozesse ohne eine bestimmte „Berechtigung“, selbst wenn Sie vom Root-Benutzer oder einem Benutzer mit Root-Berechtigungen ausgeführt werden.
Status automatischer Windows-Updates Erkennen Sie, ob automatische Windows-Updates aktiviert wurden. Die Compliance Engine überwacht das Aktionszentrum des Geräts auf eine Update-Lösung. Sollte Ihre Drittanbieterlösung nicht im Aktionszentrum angezeigt werden, wird sie als nicht überwacht gemeldet.
Windows Genuine-Validierung von Kopien Erkennen Sie, ob die Windows-Kopie, die momentan auf dem Geräte ausgeführt wird, echt ist.

Aktionen

Anwendung

  • Verwaltete Anwendung blockieren/entfernen

  • Alle verwalteten Apps blockieren/entfernen

    Wenn die Aktion „Anwendung blockieren/entfernen“ auf ein nicht konformes Gerät angewendet wird, entfernt die Workspace ONE UEM console die angegebenen Apps und startet einen Timer von 2 Stunden vor der nächsten möglichen Gerätesynchronisierung. Bei jeder Ausführung der Gerätesynchronisierung wird berechnet, welche Anwendungen unter Berücksichtigung der aktiven Konformitätsrichtlinien hinzugefügt und entfernt werden sollen. Wenn die Gerätesynchronisierung nach Ablauf des Timers von 2 Stunden ausgeführt wird und dieselbe App erkannt wird, wird die App entfernt.

    Während dieses Zeitraums von 2 Stunden kann der Endbenutzer jedoch versuchen, die Konformitätsaktion zu umgehen und die blockierten Anwendungen neu zu installieren. Wenn der Endbenutzer beispielsweise die APK-Datei per Sideloading überträgt oder eine öffentliche App aus dem Play Store installiert, wird die Konformitätsaktion möglicherweise nicht ausgelöst. Sie sollten ein Geräteprofil erstellen, um zu verhindern, dass der Endbenutzer Apps installiert.

    Es gibt zwei Möglichkeiten, dies zu tun, wenn Sie ein Geräteprofil unter Ressourcen > Profile und Baselines > Profile erstellen.

    • Nur Android – Fügen Sie eine Nutzlast vom Typ Anwendungskontrolle hinzu, um den Zugriff auf verbotene Apps zu deaktivieren. Damit diese Nutzlast funktioniert, müssen Sie unter Ressourcen > Apps > Einstellungen > App-Gruppen eine App-Gruppe „Negativliste“ erstellen und sie dem betreffenden Gerät zuweisen.
    • Fügen Sie eine Nutzlast vom Typ Restriktionen hinzu und deaktivieren Sie den Schieberegler für Installation von Apps erlauben.

Befehl

  • Roamingeinstellungen ändern
  • Enterprise Wipe – Verhindert die Bereitstellung von Profilen, bis das Gerät einen übereinstimmenden Status zurückmeldet.
  • Enterprise-Zurücksetzung
  • Betriebssystem-Updates – Für Geräte mit iOS 9 bis 10.2.1 verfügbar, sofern sie überwacht und DEP-registriert sind. Geräte mit iOS 10.3 und höher müssen nur überwacht werden.
  • Geräte-Check-in anfordern
  • Azure-Token deaktivieren – Erfordert die Aktivierung von der Option „Azure AD als Identitätsdienst verwenden“ unter Einstellungen > System > Enterprise Integration > Verzeichnisdienste > Erweitert. Wirkt sich auf alle Geräte für einen bestimmten Benutzer aus und deaktiviert jede Anwendung, die auf dem Azure-Token beruht.

E-Mail

  • E-Mail blockieren

Benachrichtigen

  • E-Mail an Benutzer senden – Umfasst die Option, den Manager des Benutzers auf CC zu setzen.
  • SMS an Gerät senden
  • Push-Benachrichtigung an Gerät senden
  • E-Mail an Administrator senden

Profil

  • Konformitätsprofil installieren.
  • Profil blockieren/entfernen
  • Profiltyp blockieren/entfernen
  • Alle Profile blockieren/entfernen – Verhindert die Bereitstellung von Profilen, bis das Gerät einen übereinstimmenden Status zurückmeldet.

Übergeordnetes Thema: Regeln und Aktionen für Konformitätsrichtlinien

check-circle-line exclamation-circle-line close-line
Scroll to top icon