Règles et actions des stratégies de conformité

Vous pouvez appliquer des règles et prendre des mesures lorsque les terminaux ne sont pas conformes à vos stratégies. Cette liste est indépendante de la plateforme.

Pour savoir quelles règles et actions s’appliquent à un terminal spécifique, accédez à Terminaux > Stratégies de conformité > Affichage en liste, cliquez sur le bouton Ajouter, puis sélectionnez la plateforme pour afficher toutes les règles et actions que vous pouvez entreprendre sur cette plateforme.

Règles

Paramètre	Description
Liste d'applications	Repérez les applications sur liste bloquée installées sur un terminal ou celles qui ne sont pas sur liste autorisée. Vous pouvez interdire certaines applications (telles que les applications de médias sociaux) et celles ayant été mises sur liste bloquée par des fournisseurs, ou autoriser seulement les applications que vous spécifiez. iOS : En raison de la manière dont l'état des applications est signalé sur les terminaux iOS, une application n'obtient l'état « Installée » qu'une fois le processus d'installation entièrement terminé. Par conséquent, si vous créez une règle de conformité qui mesure la liste d'applications des terminaux iOS, envisagez d'appliquer une action qui évite la destruction des données. Par exemple, effacement des données d'entreprise ou effacement du contenu du terminal. macOS : Pour les terminaux macOS, assurez-vous que les étapes suivantes sont prises pour utiliser l'échantillon MDM natif qui contient une liste d'applications installées. 1. Configurer les paramètres de confidentialité. Accédez à Paramètres > Terminaux et utilisateurs > Général > Confidentialité et, sous « Applications personnelles », sélectionnez Collecter et afficher ou Ne pas afficher pour les terminaux attribués . 2. Entrez l’« ID de bundle d'application » approprié lors de la définition de la stratégie. Accédez à Stratégies de conformité > Affichage en liste > Ajouter. Sous l'onglet Règles, la zone de texte située à l'extrême droite, « Identifiant de l'application », doit contenir l'« ID d'application » natif de l'application cible, et non l'ID de bundle généré par Workspace ONE utilisé lors du déploiement de l'application, que vous pouvez identifier par sa syntaxe `com.vmw.macos.{Package_Name}`. N'utilisez pas cet ID de bundle si vous souhaitez appliquer la stratégie de conformité de la liste d'applications pour les terminaux macOS. Au lieu de cela, remplissez cette zone de texte dans l'onglet Règles avec l'ID d'application natif que vous pouvez trouver en accédant à Détails du terminal sur un terminal macOS ciblé, cliquez sur Apps, localisez le nom de l'application dans la liste et cliquez dessus une fois pour afficher les informations de l'application, puis utilisez l'« ID d'application » affiché. Vous pouvez également obtenir cet ID d'application en inspectant l'application sur un terminal macOS.
État de l'antivirus	Détectez si une application antivirus est en cours d'exécution. Le moteur de stratégie de conformité surveille le centre de maintenance sur le terminal pour rechercher une solution antivirus. Windows prend en charge toutes les solutions antivirus tierces.
Mises à jour automatiques	Détecte si les mises à jour automatiques Windows sont activées dans un profil de mises à jour Windows installé. Pour plus d'informations, consultez la section Profil de mises à jour Windows. Le moteur de stratégie de conformité surveille le centre de maintenance sur le terminal pour rechercher une solution de mise à jour. Si votre solution tierce ne s'affiche pas dans le centre de maintenance, elle est signalée comme non surveillée.
Utilisation des données mobiles/des SMS/des appels	Détectez les utilisateurs qui dépassent le seuil du forfait Télécom qui leur a été attribué. Workspace ONE UEM peut uniquement fournir une notification lorsque l'utilisation dépasse un seuil prédéterminé, UEM ne peut pas limiter l'utilisation réelle. Pour que cette règle de stratégie fonctionne correctement, vous devez activer le Télécom Avancé et attribuer ce plan de Télécom au terminal.
Attribut conformité	Comparez les clés d'attribut du terminal à la sécurité des points de terminaux tiers. La valeur booléenne renvoyée représente la conformité du terminal. Disponible uniquement pour les terminaux Windows Desktop.
Statut compromis	Détectez si le terminal est compromis. Vous pouvez interdire l'utilisation des terminaux craqués enrôlés dans Workspace ONE UEM. Les paramètres de sécurité sont supprimés des terminaux craqués, et des programmes malveillants peuvent être introduits dans votre réseau et permettre l'accès à vos ressources d'entreprise. La surveillance du statut des terminaux compromis est particulièrement importante dans les environnements BYOD où les employés disposent de différentes versions des terminaux et différents systèmes d'exploitation.
Copie du Windows	Détectez si la version Windows utilisée actuellement est authentique.
Dernière connexion du terminal	Détectez si le terminal ne parvient pas à s'enregistrer dans le temps imparti.
Fabricant du terminal	Détectez si le fabricant du terminal vous permet d'identifier certains terminaux Android. Vous pouvez interdire ou autoriser uniquement les fabricants de votre choix.
Balises de terminal	Détectez si une balise de terminal est présente ou absente du terminal. Vous pouvez rechercher plusieurs balises de terminaux avec une seule règle. Opérateurs : - Contient tout - Contient l’un d’eux - N’en contient aucun
Chiffrement	Détectez si le chiffrement est activé sur le terminal. Windows prend en charge toutes les solutions de chiffrement tierces.
État du pare-feu	Détectez si une application de pare-feu est en cours d'exécution. Le moteur de politiques de conformité vérifie le centre de maintenance sur le terminal pour définir une solution pare-feu. Windows prend en charge toutes les solutions de pare-feu tierces.
Espace disponible sur le disque	Détectez l'espace disque disponible sur le terminal.
Zone iBeacon	Détectez si votre terminal iOS est dans la zone d'un groupe iBeacon.
Expiration du profil de certificat interactif	Détectez si un profil installé sur le terminal expire dans la période définie.
Dernière analyse de statut de compromission	Détectez si le terminal n'a pas indiqué son statut de compromission selon le planning défini.
Acceptation des conditions d'utilisation MDM	Détectez si un utilisateur n'a pas accepté les conditions d'utilisation MDM dans un certain laps de temps.
Modèle	Détectez le modèle du terminal. Vous pouvez interdire ou autoriser uniquement les fabricants de votre choix.
Version du système d'exploitation	Détectez la version du système d'exploitation. Vous pouvez interdire ou autoriser uniquement les systèmes d'exploitation et les versions de votre choix. Si vous souhaitez appliquer la dernière version du système d'exploitation, vous devez mettre à jour votre stratégie de conformité de version du système d'exploitation avec chaque nouvelle version du système d'exploitation, puis transférer la stratégie mise à jour vers les terminaux concernés. Toutes les modifications que vous apportez à une stratégie existante entraînent la réinitialisation d'options telles que les planifications d'escalade.
Code d'accès	Détectez si le terminal est protégé par un code d'accès.
Itinérance	Détectez si le terminal est en itinérance. disponible seulement pour les utilisateurs avancés de télécommunications.
Utilisation des données mobiles en itinérance	Détecter l'utilisation des données cellulaires en itinérance contre une quantité statique de données mesurées en Mo ou en Go. disponible seulement pour les utilisateurs avancés de télécommunications.
Version du correctif de sécurité	Détectez la date du dernier correctif de Google pour les terminaux Android. Applicable uniquement à Android version 6.0 et versions ultérieures.
Changement de carte SIM	Détectez si la carte SIM a été remplacée. disponible seulement pour les utilisateurs avancés de télécommunications.
Protection de l'intégrité du système	Détectez l'état de la protection propriétaire de macOS des fichiers et des répertoires appartenant au système par rapport aux modifications effectuées par des processus sans « droit d'accès » spécifique, même lorsqu'ils sont exécutés par l'utilisateur racine ou un utilisateur disposant de privilèges racine.

Actions

Win32

Bloquer/supprimer toutes les applications gérées
Bloquer/supprimer toutes les applications gérées

Lorsque l'action « Bloquer/Supprimer une application » est appliquée à un terminal non conforme, Workspace ONE UEM Console supprime la ou les applications indiquées et lance un temporisateur de 2 heures avant la prochaine synchronisation possible du terminal. Chaque fois que la synchronisation du terminal s'exécute, elle calcule les applications à ajouter et à supprimer, en tenant compte des stratégies de conformité actives. Lorsque la synchronisation du terminal s'exécute après le temporisateur de deux heures et que la même application est détectée, l'application est supprimée.

Toutefois, au cours de cette période de deux heures, l'utilisateur final peut essayer de contourner l'action de conformité et réinstaller les applications bloquées. Par exemple, s'il charge une version test du fichier APK ou installe une application publique depuis le Play Store, l'action de conformité peut ne pas être déclenchée. Envisagez de créer un profil de terminal pour empêcher l'utilisateur final d'installer des applications.

Il existe deux façons d'effectuer cette opération lorsque vous créez un profil de terminal dans Ressources > Profils et lignes de base > Profils.
- Android uniquement – Ajoutez une charge utile Contrôle des applications pour désactiver l'accès aux applications bloquées. Pour que cette section de configuration fonctionne, vous devez créer un groupe d'applications sur liste bloquée dans Ressources > Applications > Paramètres > Groupes d'applications et l'attribuer au terminal concerné.
- Ajoutez une charge utile dans Restrictions, en désactivant l'option Autoriser l'installation d'applications.

Commande

Modifier les paramètres d'itinérance
Effacer les données professionnelles – Empêche la distribution des profils tant que le terminal ne renvoie pas un état conforme.
Réinitialisation des données d'entreprise
Mettre à jour le système d'exploitation (OS) – Disponible pour les terminaux disposant des versions d'iOS allant de la version 9 à la version 10.2.1 s'ils sont supervisés et enrôlés dans le DEP. Les terminaux disposant de la version iOS 10.3 ou ultérieure doivent uniquement être supervisés.
Exiger le check-in du terminal
Révoquer les jetons Azure – Cette action affecte tous les terminaux pour un utilisateur donné, désactivant ainsi toute application qui repose sur le jeton Azure.
- Cette action requiert l'option « Intégration Azure AD » et « Utiliser Azure AD pour les services d'identité ». Les deux options sont disponibles dans Paramètres > Système > Intégration d'entreprise > Services d'annuaire sous l'onglet Serveur.
- Pour que la révocation des jetons Azure fonctionne, Nom principal de l'utilisateur est un champ de compte d'utilisateur obligatoire. Utilisez donc l'une des méthodes suivantes pour vous assurer qu'il a la valeur correcte.
  1. Accédez à Comptes > Utilisateurs > Affichage en liste et modifiez le Nom principal de l'utilisateur cible (sous l'onglet Avancé) avec la même adresse e-mail qu'il utilise pour se connecter à son compte Azure.
  OU 1. Accédez à Groupes et paramètres > Tous les paramètres > Système > Intégration d'entreprise > Services d'annuaire et sélectionnez l'onglet Utilisateur puis la section déroulante Avancé. 2. Faites défiler jusqu'à Nom principal de l'utilisateur et entrez la valeur de recherche qui correspond à l'adresse e-mail qu'il utilise pour se connecter à son compte Azure.

E-mail

Bloquer la messagerie

Notification

Envoyer un e-mail à l'utilisateur – Inclut la possibilité d'ajouter en Cc le responsable de l'utilisateur.
Envoyer un SM au terminal
Envoyer une notification Push au terminal
Envoyer un e-mail à l'administrateur

Profil

Installer le profil de conformité.
Bloquer/supprimer le profil
Bloquer/supprimer le type de profil
Bloquer/Supprimer tous les profils – Ces actions empêchent la distribution des profils tant que le terminal ne renvoie pas un état conforme.