È possibile utilizzare i gruppi di applicazioni (gruppi di app) e i criteri di conformità per proteggere le risorse nell'ambiente Workspace ONE UEM. I gruppi di applicazioni identificano le applicazioni consentite e limitate, in modo che i criteri di conformità possano agire su dispositivi che non rispettano gli standard di protezione.

È possibile configurare i gruppi di applicazioni per diverse piattaforme, mentre non tutte possono essere combinate ai criteri di conformità. Alle piattaforme che non possono essere combinate con i criteri di conformità è possibile applicare un profilo di controllo delle applicazioni.

Piattaforma gruppo di app Funziona con i criteri di conformità Funziona con i profili di controllo dell'applicazione
Android
Apple iOS No
Windows Phone No

Non è necessario configurare i gruppi di applicazioni. Tuttavia, i gruppi di applicazioni possono migliorare l'efficacia e la portata dei criteri di conformità con configurazioni minime.

Relazioni tra i gruppi di applicazioni e criteri di conformità

Gruppo applicazioni Descrizione Criterio conformità Azione
Presente nella lista bianca I dispositivi gestiti possono installare queste applicazioni da AirWatch Catalog.
Se un'applicazione non è inclusa nella lista, non è consentita sui dispositivi gestiti.
Contiene applicazioni non inserite nella lista bianca Il motore di conformità identifica le applicazioni che non fanno parte del gruppo di app nella lista bianca installate sul dispositivo e applica le azioni configurate nella regola di conformità.
Presente nella lista nera I dispositivi gestiti non possono installare queste applicazioni da AirWatch Catalog.
Se un'applicazione è inclusa nella lista, non è consentita sui dispositivi gestiti.
Contiene applicazioni inserite nella lista nera Il motore di conformità identifica le applicazioni che fanno parte del gruppo di app nella lista nera installate sul dispositivo e applica le azioni configurate nella regola di conformità.
Necessario I dispositivi gestiti sono necessari per installare queste applicazioni da AirWatch Catalog.
Se un'applicazione è presente in questo elenco, è obbligatorio installarla sui dispositivi gestiti.
Non contiene applicazioni richieste Il motore di conformità identifica le applicazioni che fanno parte del gruppo di app obbligatorie non installate sul dispositivo e applica le azioni configurate nella regola di conformità.

Nota: Un'applicazione impostata per la modalità di distribuzione automatica nella console UEM non viene distribuita automaticamente nei seguenti casi:

  • Quando si aggiunge l'applicazione al gruppo di app della lista nera assegnato al dispositivo.
  • Quando si esclude l'applicazione dal gruppo di app della lista bianca assegnato al dispositivo.

Impatto delle impostazioni di privacy sui profili di conformità dell'elenco di applicazioni e di controllo delle applicazioni

Nella Workspace ONE UEM Console, se si configurano le impostazioni di privacy dell'applicazione personale in Non raccogliere, il sistema non raccoglie le informazioni dell'app personale acquisite dai dispositivi. In altre parole, le informazioni dell'applicazione personale dell'utente finale non vengono trasmesse dai dispositivi.

Le impostazioni di privacy hanno, tuttavia, alcuni requisiti che incidono sulle impostazioni dei profili di conformità dell'elenco di applicazioni e di controllo delle applicazioni:

  • I criteri di conformità per l'elenco di applicazioni verificano che un dispositivo disponga delle applicazioni appropriate (nella lista nera, nella lista bianca o obbligatorie). Se il sistema non esegue query per l'elenco di applicazioni, potrebbe non verificare la presenza di queste applicazioni. Di conseguenza, i dispositivi che contengono applicazioni nella lista nera potrebbero non essere contrassegnati come "non conformi". Analogamente, i dispositivi che contengono alcune applicazioni (personali) "obbligatorie" potrebbero essere contrassegnati come "non conformi".
  • Il profilo di controllo delle applicazioni che interviene sulle app "nella lista nera" non viene applicato ai dispositivi per i quali la privacy dell'app personale è impostata su Non raccogliere e viene applicato solo ai dispositivi per i quali è possibile raccogliere le informazioni dell'app personale.

Se si desidera eseguire azioni sull'elenco delle applicazioni personali dell'utente finale, tenere traccia della configurazione della privacy dell'app personale per il tipo di proprietà del dispositivo interessato in tutti i gruppi e procedere nel modo seguente:

  • Assicurarsi che la configurazione non sia impostata su Non raccogliere. Se si desidera garantire la privacy degli utenti finali e rilevare eventuali applicazioni dannose, impostare la configurazione della privacy su Raccogli e non visualizzare.
  • Assicurarsi che i dispositivi dell'utente finale dispongano delle autorizzazioni per ricevere le applicazioni, sulle quali si intende eseguire azioni, da Workspace ONE UEM.

Configurare un gruppo di applicazioni

Configurare i gruppi di applicazioni, o gruppi di app, in modo da poter utilizzare questi gruppi nei propri criteri di conformità. Eseguire azioni stabilite sui dispositivi non conformi con l'installazione, l'aggiornamento o la rimozione delle applicazioni. È possibile assegnare gruppi di applicazioni ai gruppi. Quando si assegna il gruppo di applicazioni a un gruppo principale, i sottogruppi ereditano le configurazioni del gruppo di applicazioni.

  1. Selezionare Risorse > App > Impostazioni > Gruppi di app.

  2. Selezionare Aggiungi gruppo.

  3. Completare le opzioni nella scheda Elenco.

    Impostazioni Descrizione
    Tipo Selezionare il tipo di gruppo di applicazioni da creare in base al risultato desiderato: consentire applicazioni, bloccare applicazioni o rendere l'installazione delle applicazioni obbligatoria.
    Se l'obiettivo è quello di raggruppare applicazioni MDM personalizzate, selezionare Applicazione MDM. È necessario abilitare questa opzione perché venga visualizzata nel menu.
    Piattaforma Seleziona la piattaforma per il gruppo di applicazioni.
    Nome Inserire un nome in modo che il gruppo di applicazioni appaia nella console di Workspace ONE UEM.
    Aggiungi un'applicazione Visualizzare le caselle di testo che consentono di cercare applicazioni da aggiungere al gruppo di applicazioni.
    Nome applicazione Inserire il nome di un'applicazione per cercarla nel rispettivo App Store.
    ID dell'applicazione Rivedere la stringa che si completa automaticamente quando si utilizza la funzione di ricerca per cercare l'applicazione in un App Store.
    Aggiungi editore - Windows Phone Selezionare Aggiungi editore per Windows Phone per aggiungere più editori ai gruppi di applicazioni. Gli editori sono organizzazioni che creano applicazioni.
    Combinare questa opzione con le voci Aggiungi applicazione per creare eccezioni per le voci dell'editore per le liste bianche o nere dettagliate su Windows Phone.
  4. Selezionare Avanti per passare a un profilo di controllo delle applicazioni. Sarà necessario completare e applicare un profilo di controllo delle applicazioni per Windows Phone. È possibile utilizzare un profilo di controllo delle applicazioni per i dispositivi Android.

  5. Completare le impostazioni nella scheda Assegnazione.

    Impostazioni Descrizione
    Descrizione Immettere la finalità del gruppo di applicazioni o qualsiasi altra informazione pertinente.
    Proprietà dispositivo Selezionare il tipo di dispositivi cui si applica il gruppo di applicazioni.
    Modello Selezionare i modelli di dispositivi cui si applica il gruppo di applicazioni.
    Sistema operativo Selezionare i sistemi operativi cui si applica il gruppo di applicazioni.
    Gestita da Visualizzare o modificare il gruppo che gestisce il gruppo di applicazioni.
    Gruppo Aggiungere altri gruppi cui si applica il gruppo di applicazioni.
    Gruppo utente Aggiungere altri gruppi utente cui si applica il gruppo di applicazioni.
  6. Selezionare Completa per completare le configurazioni.

Modificare i gruppi di app e il profilo di controllo delle applicazioni

È possibile modificare i gruppi di app e il profilo di controllo delle applicazioni. Quando si modificano i gruppi di app per i telefoni Android e Windows, modificare prima il gruppo di app, quindi il profilo dell'applicazione.

  1. Modificare in primo luogo il gruppo di app.
  2. Modificare il profilo delle applicazioni per crearne una nuova versione.
  3. Salvare e pubblicare la nuova versione del profilo delle applicazioni nei dispositivi. Il sistema non riflette le modifiche apportate al gruppo di app finché la nuova versione del profilo di controllo delle applicazioni non venga distribuito nei dispositivi.

Creare elenchi obbligatori per AirWatch Catalog

È possibile utilizzare i gruppi di applicazioni per eseguire il push delle notifiche negli App Catalog che i dispositivi devono installare.

  1. Selezionare Risorse > App > Impostazioni > Gruppi di app.
  2. Aggiungere o modificare un gruppo di applicazioni.
  3. Nella scheda Elenco selezionare Necessario per Tipo.
  4. Nella scheda Assegnazione selezionare i gruppi idonei e i gruppi di utenti che includono i dispositivi verso i quali eseguire il push delle applicazioni.

Abilitare applicazioni MDM personalizzate per i gruppi di applicazioni

Le applicazioni MDM personalizzate sono un tipo di gruppo di applicazioni su misura, realizzate per monitorare informazioni sul dispositivo come la posizione e lo stato di jailbreak. Abilitare Workspace ONE UEM per il riconoscimento delle applicazioni MDM personalizzate, in modo da poterle assegnare a gruppi di applicazioni speciali per acquisire informazioni, risolvere problemi e monitorare le risorse. Workspace ONE UEM supporta le applicazioni MDM personalizzate realizzate per le piattaforme Android e Apple iOS. Caricarle come applicazioni interne.

Abilitare l'utilizzo delle applicazioni MDM personalizzate in modo da poter selezionare l'opzione nel menu del gruppo di applicazioni in Workspace ONE UEM. La rimozione delle applicazioni MDM personalizzate non viene effettuata da Workspace ONE UEM quando il motore di conformità le rileva nei dispositivi. Tali applicazioni sono utilizzate per il controllo, il monitoraggio e la risoluzione dei problemi.

  1. Selezionare Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Generale > Registrazione.
  2. Selezionare Personalizzazione.
  3. Abilitare Utilizza applicazioni MDM personalizzate.

Criteri di conformità per l'applicazione

I criteri di conformità consentono di agire sui dispositivi non conformi agli standard stabiliti. Ad esempio, è possibile creare criteri di conformità che rilevano quando gli utenti installano applicazioni non consentite. È quindi possibile configurare il sistema affinché intraprenda automaticamente azioni sui dispositivi con uno stato non conforme.

È possibile creare criteri di conformità per singole applicazioni utilizzando la visualizzazione Elenco di conformità oppure per elenchi di applicazioni mediante i gruppi di applicazioni. Benché non sia necessario utilizzare i gruppi di applicazioni, questi permettono di eseguire azioni preventive su numerosi dispositivi non conformi.

Esempi di azioni dei criteri di conformità: Il motore di conformità rileva un utente con un'applicazione di gioco, che fa parte del gruppo di applicazioni nella lista nera. È possibile configurare il motore di conformità per intraprendere diverse azioni.

  • Inviare una notifica push all'utente per richiedere la rimozione dell'applicazione.
  • Rimuovere alcune funzioni come Wi-Fi, VPN o profili di posta elettronica dal dispositivo.
  • Rimuovere specifici profili e applicazioni.
  • Inviare un'ultima notifica email all'utente mettendo in copia i responsabili della sicurezza IT e delle risorse umane.

È possibile configurare un criterio di conformità di un elenco di applicazioni per numerose piattaforme, al fine di intraprendere azioni sui dispositivi non conformi.

Piattaforme supportate per criteri di conformità e applicazioni:

  • Android
  • Apple iOS
  • macOS

Creare un criterio di conformità per le applicazioni

Aggiungere criteri di conformità che funzionano con i gruppi di app per aggiungere un ulteriore livello di sicurezza alla rete mobile. Le configurazioni dei criteri consentono al motore di conformità di Workspace ONE UEM di eseguire azioni stabilite sui dispositivi non conformi.

  1. Selezionare Dispositivi > Criteri di conformità > Visualizzazione elenco. Seleziona Aggiungi.

  2. Selezionare la piattaforma Android, Apple iOS o Apple macOS.

  3. Selezionare Elenco applicazioni nella scheda Regole.

  4. Selezionare le opzioni che riflettono gli obiettivi di conformità desiderati.

    Impostazione Descrizione
    Contiene Aggiungere l'identificatore dell'applicazione per configurare il motore di conformità in modo da monitorarne la presenza sui dispositivi.
    Se il motore rileva che l'applicazione è installata su dispositivi assegnati alla regola di conformità, effettua le azioni configurate nella regola.
    Non contiene Aggiungere l'identificatore dell'applicazione per configurare il motore di conformità in modo da monitorarne la presenza sui dispositivi.
    Se il motore rileva che l'applicazione non è installata sui dispositivi assegnati alla regola di conformità, effettua le azioni configurate nella regola.
    Contiene applicazioni inserite nella lista nera Se il motore rileva applicazioni elencate in gruppi di app appartenenti alla lista nera su dispositivi assegnati alla regola di conformità, effettua le azioni configurate nella regola.
    Contiene app del fornitore inserite in una lista nera Aggiungere applicazioni dal sistema di scansione della reputazione delle applicazioni per configurare il motore di conformità in modo da monitorarne la presenza sui dispositivi.
    Se il motore rileva applicazioni elencate in gruppi di app appartenenti alla lista nera su dispositivi assegnati alla regola di conformità, effettua le azioni configurate nella regola.
    Utilizzare questa opzione se si integra un servizio di scansione delle app con Workspace ONE UEM. È necessario abilitare questa opzione perché venga visualizzata nel menu. Questa è una funzionalità di gestione avanzata dell'applicazione che richiede l'uso dello SKU corretto.
    Contiene applicazioni non inserite nella lista bianca Se il motore rileva applicazioni non elencate nei gruppi di app appartenenti alla lista bianca sui dispositivi assegnati alla regola di conformità, effettua le azioni configurate nella regola.
    Non contiene applicazioni richieste Se il motore rileva che i dispositivi assegnati alla regola di conformità non hanno installato applicazioni presenti nei gruppi di app obbligatorie, effettua le azioni configurate nella regola.
    Non contiene versione Aggiungere l'identificatore dell'applicazione e la versione dell'applicazione monitorata dal motore di conformità per assicurarsi che la versione corretta dell'applicazione sia installata sui dispositivi.
    Se il motore rileva che sui dispositivi assegnati alla regola di conformità è installata una versione errata dell'applicazione, effettua le azioni configurate nella regola.

    È possibile ottenere l'identificatore dell'applicazione da un App Store o dal record corrispondente nella console di Workspace ONE UEM. Selezionare Risorse > App > Visualizzazione elenco > Interne o Pubbliche. Selezionare Visualizza dal menu azioni dell'applicazione, quindi cercare le informazioni ID applicazione.

  5. Selezionare la scheda Azioni per impostare azioni di riassegnazione nel caso in cui un utente non sia conforme a una regola basata sull'applicazione. La prima azione è immediata, ma non è obbligatorio configurarla. Può essere utilizzata o eliminata. È possibile integrare o sostituire l'azione immediata con altre azioni rimandate tramite la funzionalità Aggiungi riassegnazione.

    Impostazioni Descrizione
    Segna come non conforme Attivare la casella di controllo per etichettare i dispositivi che violano questa regola. Tuttavia, una volta che il dispositivo è etichettato come non conforme e in base alle azioni di escalation, il sistema potrebbe impedire al dispositivo di accedere alle risorse e agli amministratori di eseguire azioni sul dispositivo.
    Disattivare questa opzione quando non si desidera mettere in quarantena il dispositivo immediatamente.
    Applicazione Selezionare per rimuovere l'applicazione gestita.
    Comando Selezionare per configurare il sistema per comunicare al dispositivo di eseguire il check-in con la console, eseguire la cancellazione dei dati aziendali o modificare le impostazioni del roaming.
    E-mail Selezionare per bloccare l'email sul dispositivo non conforme.
    Invia notifiche Selezionare per inviare notifiche al dispositivo non conforme tramite e-mail, SMS o notifiche push utilizzando il modello predefinito.
    È inoltre possibile inviare una nota all'amministratore in merito alla violazione della regola.
    Profilo Selezionare per usare i profili Workspace ONE UEM per limitare le funzionalità sul dispositivo.
  6. Selezionare la scheda Assegnazione per assegnare la regola di conformità ai gruppi smart.

    Impostazione Descrizione
    Gestita da Visualizzare o modificare il gruppo che gestisce e applica la regola.
    Gruppi assegnati Digitare per aggiungere gruppi smart a cui applicare la regola.
    Eccezioni Selezionare Sì per escludere gruppi dalla regola.
    Visualizza assegnazione dispositivo Selezionare per visualizzare i dispositivi soggetti alla regola.
  7. Selezionare la scheda Riepilogo per assegnare un nome alla regola e fornire una breve descrizione.

  8. Selezionare Completa e attiva per applicare la regola appena creata.

check-circle-line exclamation-circle-line close-line
Scroll to top icon