Reglas y acciones de políticas de conformidad
Puede aplicar reglas e implementar acciones cuando los dispositivos no cumplen con las directivas. Esta lista es independiente de la plataforma.
Para averiguar qué reglas y acciones se aplican a un dispositivo específico, desplácese a Dispositivos > Directivas de conformidad > Vista de lista, seleccione el botón Agregar y, a continuación, seleccione la plataforma para ver todas las reglas y acciones que puede tomar específicas para esa plataforma.
Reglas
| Ajustes | Descripción |
|---|---|
| Lista de aplicaciones | Permite detectar aplicaciones específicas en la lista de no permitidos que se encuentran instaladas en el dispositivo o todas las aplicaciones que no estén en la lista de permitidos. Es posible prohibir ciertas aplicaciones (como las de redes sociales) y las aplicaciones incluidas por los proveedores en la lista de no permitidos, o bien permitir solo las aplicaciones que especifique. iOS: Debido a la forma en que se informa del estado de la aplicación en los dispositivos iOS, una aplicación solo obtiene el estado "Instalada" cuando el proceso de instalación se realiza por completo. Por este motivo, si está aplicando una regla de conformidad que mide la lista de aplicaciones de dispositivos iOS, considere la posibilidad de llevar a cabo una acción que evite la destrucción de datos. Por ejemplo, una eliminación empresarial o una eliminación total del dispositivo. macOS: Para dispositivos macOS, asegúrese de que se realicen los siguientes pasos para utilizar la muestra de MDM nativa que contiene una lista de las aplicaciones instaladas. 1. Configure los ajustes de privacidad. Desplácese a Ajustes > Dispositivos y usuarios > General > Privacidad y, en "Aplicaciones personales", seleccione Recopilar y mostrar o Recopilar sin mostrar para los dispositivos asignados. 2. Introduzca el ID de paquete de aplicaciones correcto al definir la directiva. Desplácese a Directivas de conformidad > Vista de lista > Agregar. En la pestaña Reglas, el cuadro de texto "Identificador de aplicación" del extremo derecho debe contener el ID de aplicación nativo de la aplicación de destino, no el ID de paquete generado por Workspace ONE que se utiliza al implementar la aplicación, que puede identificar por su sintaxis com.vmw.macos.{Package_Name}. No utilice este ID de paquete si desea aplicar la directiva de conformidad de la lista de aplicaciones para dispositivos macOS. En su lugar, rellene este cuadro de texto de la pestaña Reglas con el ID de aplicación nativo; para encontrarlo, desplácese a Detalles del dispositivo en un dispositivo macOS de destino, haga clic en Aplicaciones, busque el nombre de la aplicación en la lista y haga clic en él una vez para ver la información de la aplicación y, a continuación, utilice el ID de aplicación que se muestra. También puede obtener este ID de aplicación inspeccionando la aplicación en un dispositivo macOS. |
| Estado del antivirus | Permite detectar si se está ejecutando una aplicación antivirus. El motor de política de conformidad controla el Centro de acciones del dispositivo para verificar si existe una solución antivirus. Windows es compatible con todas las soluciones antivirus de terceros. |
| Actualizaciones automáticas | Detecta si las actualizaciones automáticas de Windows están activadas con un perfil de Actualizaciones de Windows instalado. Para obtener más información, consulte Perfil de actualizaciones de Windows. El motor de directiva de conformidad controla el Centro de acciones del dispositivo para verificar si existe una solución de actualización. Si no se muestra su solución de terceros en el Centro de acciones, se mostrará el estado Sin supervisión. |
| Uso de datos celulares/mensajes/llamadas | Permite detectar cuando los usuarios finales superan cierto umbral de su plan de Telecom asignado. Workspace ONE UEM solo puede proporcionar una notificación cuando el uso supera un umbral predeterminado; UEM no puede limitar el uso real. Para que esta regla de directiva funcione correctamente, debe habilitar Telecom avanzado y asignar ese plan de Telecom al dispositivo. |
| Atributo de conformidad | Permite comparar las claves de atributo del dispositivo con la seguridad de extremos de terceros, lo que devuelve un valor booleano que representa la conformidad de los dispositivos. Solo disponible para dispositivos de escritorio de Windows. |
| Estado comprometido | Permite detectar si el dispositivo está comprometido. Además, puede prohibir el uso de dispositivos con acceso root o con modificaciones no autorizadas (jailbroken) inscritos con Workspace ONE UEM. Los dispositivos con acceso root o con modificaciones no autorizadas (jailbroken) eliminan los ajustes integrales de seguridad y pueden introducir malware en la red y proporcionar acceso a los recursos empresariales. Es muy importante supervisar el estado comprometido del dispositivo, sobre todo en los entornos de BYOD donde los empleados tienen distintas versiones de dispositivos y sistemas operativos. |
| Copia de Windows | Permite detectar si la copia de Windows que se está ejecutando en el dispositivo es original. |
| Última detección del dispositivo | Permite detectar si el dispositivo no realiza una verificación de estado durante el intervalo de tiempo asignado. |
| Fabricante de dispositivos | Permite detectar el fabricante del dispositivo e identificar así ciertos dispositivos Android. Puede prohibir ciertos fabricantes o solo permitir ciertos fabricantes especificados. |
| Etiquetas de dispositivos | Permite detectar si hay una etiqueta de dispositivo presente o ausente en el dispositivo. Puede comprobar si hay varias etiquetas de dispositivo con una regla. Operadores: - Contiene todos - Contiene alguno - No contiene ninguno |
| Cifrado | Permite detectar si el cifrado está habilitado en el dispositivo. Windows es compatible con todas las soluciones de cifrado de terceros. |
| Estado del firewall | Permite detectar si se está ejecutando una aplicación de firewall. El motor de política de conformidad revisa el Centro de acciones del dispositivo para verificar si existe una solución de firewall. Windows es compatible con todas las soluciones de Firewall de terceros. |
| Espacio libre en disco | Permite detectar el espacio de disco duro disponible en el dispositivo. |
| Área de iBeacon | Permite detectar si el dispositivo iOS está dentro del área de un grupo de iBeacon. |
| Vigencia del perfil de certificado interactivo | Permite detectar cuándo caduca un perfil instalado en el dispositivo dentro de la duración especificada. |
| Último análisis de estado comprometido | Permite detectar si el dispositivo no ha notificado el estado comprometido dentro del horario especificado. |
| Aceptación de los Términos de uso de MDM | Permite detectar si el usuario final no ha aceptado los Términos de uso de MDM actuales dentro de un período determinado. |
| Modelo | Permite detectar el modelo del dispositivo. Puede prohibir ciertos modelos o permitir solo los modelos que especifique. |
| Versión de SO | Permite detectar la versión del SO del dispositivo. Puede prohibir ciertas versiones de SO o permitir solamente los sistemas operativos y versiones que especifique. Si desea aplicar la versión más reciente del SO, debe actualizar la directiva de conformidad de la versión del SO con cada nueva versión del SO y, a continuación, enviar la directiva actualizada a los dispositivos correspondientes. Cualquier edición que realice en una directiva existente provocará que se restablezcan las opciones, como las programaciones de escalación. |
| Contraseña | Permite detectar si el dispositivo tiene un código de acceso. |
| En roaming | Permite detectar si el dispositivo está en roaming. Solo disponible para usuarios de Telecom avanzado. |
| Uso de datos móviles en itinerancia | Permite detectar el uso de datos celulares en roaming en comparación con una cantidad fija de datos expresada en MB o GB. Solo disponible para usuarios de Telecom avanzado. |
| Versión de revisión de seguridad | Permite detectar la fecha de la versión de revisión de seguridad más reciente del dispositivo Android en Google. Solo se aplica a la versión 6.0 y posteriores de Android. |
| Cambio de tarjeta SIM | Permite detectar si la tarjeta SIM se ha reemplazado. Solo disponible para usuarios de Telecom avanzado. |
| Protección de la integridad del sistema | Permite detectar el estado de la protección de propiedad exclusiva de macOS de los archivos y directorios que sean propiedad del sistema frente a las modificaciones realizadas por procesos sin una "autorización" específica, incluso cuando lo ejecuta el usuario raíz o un usuario con privilegios raíz. |
Acciones
Aplicación
- Bloquear/eliminar la aplicación administrada
-
Bloquear/eliminar todas las aplicaciones administradas
Cuando la acción Bloquear/Eliminar aplicación se aplica a un dispositivo no conforme, la Workspace ONE UEM Console elimina las aplicaciones indicadas e inicia un temporizador de 2 horas antes de la próxima sincronización posible del dispositivo. Cada vez que se ejecuta la sincronización del dispositivo, calcula qué aplicaciones agregar y cuáles eliminar, teniendo en cuenta las políticas de conformidad activas. Cuando la sincronización del dispositivo se ejecuta después del temporizador de dos horas y se detecta la misma aplicación, esta se elimina.
Sin embargo, durante este periodo de dos horas, el usuario final puede intentar evitar la acción de conformidad y reinstalar las aplicaciones bloqueadas. Por ejemplo, si transfiere el archivo APK o instala una aplicación pública desde la Play Store, es posible que la acción de conformidad no se active. Considere la posibilidad de crear un perfil de dispositivo para evitar que el usuario final instale aplicaciones.
Existen dos formas de hacerlo cuando cree un perfil de dispositivo en Recursos > Perfiles y líneas base > Perfiles.
- Solo Android: agregue una carga útil de Control de aplicaciones para desactivar el acceso a las aplicaciones denegadas. Para que esta carga útil funcione, debe crear un grupo de aplicaciones en la lista de no permitidos en Recursos > Aplicaciones > Ajustes > Grupos de aplicaciones y asignarlo al dispositivo en cuestión.
- Agregue una carga útil de Restricciones, deshabilitando el control deslizante de Permitir la instalación de aplicaciones.
Comando
- Cambiar los ajustes de roaming
- Eliminación empresarial: impide la entrega de perfiles hasta que el dispositivo notifica la vuelta al estado de conformidad.
- Restablecimiento empresarial
- Actualizaciones de SO: disponible solamente para los dispositivos con las versiones de iOS 9 a 10.2.1 si están supervisados e inscritos en DEP. Los dispositivos con iOS 10.3 y versiones posteriores solo deben ser supervisados.
- Solicitar verificación de estado del dispositivo
-
Revocar token de Azure: esta acción afecta a todos los dispositivos de un usuario determinado y deshabilita todas las aplicaciones que dependan del token de Azure.
- Esta acción requiere que estén habilitadas las opciones "Integración de Azure AD" y "Usar Azure AD para los servicios de identidad", que se encuentran en Ajustes > Sistema > Integración empresarial > Servicios de directorio, en la pestaña Servidor.
-
Para que la revocación del token de Azure funcione, Nombre principal del usuario es un campo de cuenta de usuario obligatorio, por lo que debe utilizar uno de los siguientes métodos para asegurarse de que tenga el valor correcto.
- Desplácese a Cuentas > Usuarios > Vista de lista y, en Nombre principal de usuario de la cuenta de usuario objetivo (en la pestaña Avanzado), introduzca la misma dirección de correo electrónico que el usuario utiliza para iniciar sesión en su cuenta de Azure.
O BIEN 1. Desplácese a Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial > Servicios de directorio y seleccione la pestaña Usuario y, a continuación, la sección desplegable Avanzado. 2. Desplácese hacia abajo hasta Nombre principal del usuario e introduzca el valor de búsqueda que corresponda a la dirección de correo electrónico que el usuario utiliza para iniciar sesión en su cuenta de Azure.
Correo electrónico
- Bloquear correo electrónico
Notificar
- Enviar correo electrónico al usuario: incluye la opción de incluir en copia al administrador del usuario.
- Enviar SMS al dispositivo
- Enviar notificación push al dispositivo
- Enviar correo electrónico al administrador
Perfil
- Instalar Perfil de conformidad.
- Bloquear/eliminar perfil
- Bloquear/eliminar tipo perfil
- Bloquear/Eliminar todos los perfiles: esto evita la entrega de perfiles hasta que el dispositivo vuelve a notificar un estado de conformidad.
