Vous pouvez appliquer des règles et prendre des mesures lorsque les terminaux ne sont pas conformes à vos stratégies. Cette liste est indépendante de la plateforme.
Pour savoir quelles règles et actions s’appliquent à un terminal spécifique, accédez à Terminaux > Stratégies de conformité > Affichage en liste, cliquez sur le bouton Ajouter, puis sélectionnez la plateforme pour afficher toutes les règles et actions que vous pouvez entreprendre sur cette plateforme.
Paramètre | Description |
---|---|
Liste d'applications | Repérez les applications sur liste bloquée installées sur un terminal ou celles qui ne sont pas sur liste autorisée. Vous pouvez interdire certaines applications (telles que les applications de médias sociaux) et celles ayant été mises sur liste bloquée par des fournisseurs, ou autoriser seulement les applications que vous spécifiez. iOS : En raison de la manière dont l'état des applications est signalé sur les terminaux iOS, une application n'obtient l'état « Installée » qu'une fois le processus d'installation entièrement terminé. Par conséquent, si vous créez une règle de conformité qui mesure la liste d'applications des terminaux iOS, envisagez d'appliquer une action qui évite la destruction des données. Par exemple, effacement des données d'entreprise ou effacement du contenu du terminal. macOS : Pour les terminaux macOS, assurez-vous que les étapes suivantes sont prises pour utiliser l'échantillon MDM natif qui contient une liste d'applications installées. 1. Configurer les paramètres de confidentialité. Accédez à Paramètres > Terminaux et utilisateurs > Général > Confidentialité et, sous « Applications personnelles », sélectionnez Collecter et afficher ou Ne pas afficher pour les terminaux attribués . 2. Entrez l’« ID de bundle d'application » approprié lors de la définition de la stratégie. Accédez à Stratégies de conformité > Affichage en liste > Ajouter. Sous l'onglet Règles, la zone de texte située à l'extrême droite, « Identifiant de l'application », doit contenir l'« ID d'application » natif de l'application cible, et non l'ID de bundle généré par Workspace ONE utilisé lors du déploiement de l'application, que vous pouvez identifier par sa syntaxe com.vmw.macos.{Package_Name} . N'utilisez pas cet ID de bundle si vous souhaitez appliquer la stratégie de conformité de la liste d'applications pour les terminaux macOS. Au lieu de cela, remplissez cette zone de texte dans l'onglet Règles avec l'ID d'application natif que vous pouvez trouver en accédant à Détails du terminal sur un terminal macOS ciblé, cliquez sur Apps, localisez le nom de l'application dans la liste et cliquez dessus une fois pour afficher les informations de l'application, puis utilisez l'« ID d'application » affiché. Vous pouvez également obtenir cet ID d'application en inspectant l'application sur un terminal macOS. |
État de l'antivirus | Détectez si une application antivirus est en cours d'exécution. Le moteur de stratégie de conformité surveille le centre de maintenance sur le terminal pour rechercher une solution antivirus. Windows prend en charge toutes les solutions antivirus tierces. |
Mises à jour automatiques | Détecte si les mises à jour automatiques Windows sont activées dans un profil de mises à jour Windows installé. Pour plus d'informations, consultez la section Profil de mises à jour Windows. Le moteur de stratégie de conformité surveille le centre de maintenance sur le terminal pour rechercher une solution de mise à jour. Si votre solution tierce ne s'affiche pas dans le centre de maintenance, elle est signalée comme non surveillée. |
Utilisation des données mobiles/des SMS/des appels | Détectez les utilisateurs qui dépassent le seuil du forfait Télécom qui leur a été attribué. Workspace ONE UEM peut uniquement fournir une notification lorsque l'utilisation dépasse un seuil prédéterminé, UEM ne peut pas limiter l'utilisation réelle. Pour que cette règle de stratégie fonctionne correctement, vous devez activer le Télécom Avancé et attribuer ce plan de Télécom au terminal. |
Attribut conformité | Comparez les clés d'attribut du terminal à la sécurité des points de terminaux tiers. La valeur booléenne renvoyée représente la conformité du terminal. Disponible uniquement pour les terminaux Windows Desktop. |
Statut compromis | Détectez si le terminal est compromis. Vous pouvez interdire l'utilisation des terminaux craqués enrôlés dans Workspace ONE UEM. Les paramètres de sécurité sont supprimés des terminaux craqués, et des programmes malveillants peuvent être introduits dans votre réseau et permettre l'accès à vos ressources d'entreprise. La surveillance du statut des terminaux compromis est particulièrement importante dans les environnements BYOD où les employés disposent de différentes versions des terminaux et différents systèmes d'exploitation. |
Copie du Windows | Détectez si la version Windows utilisée actuellement est authentique. |
Dernière connexion du terminal | Détectez si le terminal ne parvient pas à s'enregistrer dans le temps imparti. |
Fabricant du terminal | Détectez si le fabricant du terminal vous permet d'identifier certains terminaux Android. Vous pouvez interdire ou autoriser uniquement les fabricants de votre choix. |
Balises de terminal | Détectez si une balise de terminal est présente ou absente du terminal. Vous pouvez rechercher plusieurs balises de terminaux avec une seule règle. Opérateurs : - Contient tout - Contient l’un d’eux - N’en contient aucun |
Chiffrement | Détectez si le chiffrement est activé sur le terminal. Windows prend en charge toutes les solutions de chiffrement tierces. |
État du pare-feu | Détectez si une application de pare-feu est en cours d'exécution. Le moteur de politiques de conformité vérifie le centre de maintenance sur le terminal pour définir une solution pare-feu. Windows prend en charge toutes les solutions de pare-feu tierces. |
Espace disponible sur le disque | Détectez l'espace disque disponible sur le terminal. |
Zone iBeacon | Détectez si votre terminal iOS est dans la zone d'un groupe iBeacon. |
Expiration du profil de certificat interactif | Détectez si un profil installé sur le terminal expire dans la période définie. |
Dernière analyse de statut de compromission | Détectez si le terminal n'a pas indiqué son statut de compromission selon le planning défini. |
Acceptation des conditions d'utilisation MDM | Détectez si un utilisateur n'a pas accepté les conditions d'utilisation MDM dans un certain laps de temps. |
Modèle | Détectez le modèle du terminal. Vous pouvez interdire ou autoriser uniquement les fabricants de votre choix. |
Version du système d'exploitation | Détectez la version du système d'exploitation. Vous pouvez interdire ou autoriser uniquement les systèmes d'exploitation et les versions de votre choix. Si vous souhaitez appliquer la dernière version du système d'exploitation, vous devez mettre à jour votre stratégie de conformité de version du système d'exploitation avec chaque nouvelle version du système d'exploitation, puis transférer la stratégie mise à jour vers les terminaux concernés. Toutes les modifications que vous apportez à une stratégie existante entraînent la réinitialisation d'options telles que les planifications d'escalade. |
Code d'accès | Détectez si le terminal est protégé par un code d'accès. |
Itinérance | Détectez si le terminal est en itinérance. disponible seulement pour les utilisateurs avancés de télécommunications. |
Utilisation des données mobiles en itinérance | Détecter l'utilisation des données cellulaires en itinérance contre une quantité statique de données mesurées en Mo ou en Go. disponible seulement pour les utilisateurs avancés de télécommunications. |
Version du correctif de sécurité | Détectez la date du dernier correctif de Google pour les terminaux Android. Applicable uniquement à Android version 6.0 et versions ultérieures. |
Changement de carte SIM | Détectez si la carte SIM a été remplacée. disponible seulement pour les utilisateurs avancés de télécommunications. |
Protection de l'intégrité du système | Détectez l'état de la protection propriétaire de macOS des fichiers et des répertoires appartenant au système par rapport aux modifications effectuées par des processus sans « droit d'accès » spécifique, même lorsqu'ils sont exécutés par l'utilisateur racine ou un utilisateur disposant de privilèges racine. |
Bloquer/supprimer toutes les applications gérées
Lorsque l'action « Bloquer/Supprimer une application » est appliquée à un terminal non conforme, Workspace ONE UEM Console supprime la ou les applications indiquées et lance un temporisateur de 2 heures avant la prochaine synchronisation possible du terminal. Chaque fois que la synchronisation du terminal s'exécute, elle calcule les applications à ajouter et à supprimer, en tenant compte des stratégies de conformité actives. Lorsque la synchronisation du terminal s'exécute après le temporisateur de deux heures et que la même application est détectée, l'application est supprimée.
Toutefois, au cours de cette période de deux heures, l'utilisateur final peut essayer de contourner l'action de conformité et réinstaller les applications bloquées. Par exemple, s'il charge une version test du fichier APK ou installe une application publique depuis le Play Store, l'action de conformité peut ne pas être déclenchée. Envisagez de créer un profil de terminal pour empêcher l'utilisateur final d'installer des applications.
Il existe deux façons d'effectuer cette opération lorsque vous créez un profil de terminal dans Ressources > Profils et lignes de base > Profils.
Révoquer les jetons Azure – Cette action affecte tous les terminaux pour un utilisateur donné, désactivant ainsi toute application qui repose sur le jeton Azure.
Pour que la révocation des jetons Azure fonctionne, Nom principal de l'utilisateur est un champ de compte d'utilisateur obligatoire. Utilisez donc l'une des méthodes suivantes pour vous assurer qu'il a la valeur correcte.
OU 1. Accédez à Groupes et paramètres > Tous les paramètres > Système > Intégration d'entreprise > Services d'annuaire et sélectionnez l'onglet Utilisateur puis la section déroulante Avancé. 2. Faites défiler jusqu'à Nom principal de l'utilisateur et entrez la valeur de recherche qui correspond à l'adresse e-mail qu'il utilise pour se connecter à son compte Azure.