Regole e azioni dei criteri di conformità
Quando i dispositivi non sono conformi ai criteri specificati, è possibile imporre determinate regole ed eseguire determinate azioni. Questo elenco è indipendente dalla piattaforma.
Per scoprire quali regole e azioni si applicano a un dispositivo specifico, andare a Dispositivi > Criteri di conformità > Visualizza elenco, selezionare il pulsante Aggiungi, quindi selezionare la piattaforma per visualizzare tutte le regole e azioni che possono essere eseguite in modo specifico per quella piattaforma.
Regole
| Impostazione | Descrizione |
|---|---|
| Elenco applicazioni | Rileva specifiche app della lista vietata installate su un dispositivo o tutte le app che non sono nella lista consentita. È possibile vietare alcune app, come quelle di social media e quelle inserite nella lista vietata dai vendor, oppure consentire solo determinate app. iOS: A causa del modo in cui lo stato dell'applicazione viene segnalato sui dispositivi iOS, un'app ottiene lo stato 'Installato' solo dopo che il processo di installazione è stato completato. Per questo motivo, se si sta creando una regola di conformità che misura l'elenco delle applicazioni dei dispositivi iOS, valutare l'applicazione di un'azione che eviti la distruzione dei dati. Ad esempio, rimozione dei dati aziendali o rimozione dei dati del dispositivo. macOS: Per i dispositivi macOS, assicurarsi che vengano effettuati i passaggi seguenti per utilizzare il campione MDM nativo contenente un elenco di app installate. 1. Configurare le impostazioni della privacy. Passare a Impostazioni > Dispositivi e utenti > Generale > Privacy e da "Applicazioni personali" selezionare Raccogli e visualizza oppure Raccogli e non visualizzare per i dispositivi assegnati. 2. Nel definire il criterio, immettere il corretto "ID bundle applicazione". Passare a Criteri di conformità > Visualizzazione elenco > Aggiungi. Nella scheda Ruoli, la casella di testo all'estrema destra, "Identificatore applicazione, deve contenere l'"ID dell'app" nativa per l'applicazione di destinazione, non l'ID bundle generato da Workspace ONE e utilizzato durante la distribuzione dell'app, identificabile tramite la sintassi com.vmw.macos.{Package_Name}. Non utilizzare questo ID bundle se si desidera applicare il criterio di conformità dell'elenco applicazioni dei dispositivi macOS. Compilare invece questa casella di testo nella scheda Regole con l'ID dell'app nativa, disponibile passando a Dettagli dispositivo su un dispositivo macOS di destinazione; fare clic su App, individuare il nome dell'app nell'elenco e fare clic una sola volta per visualizzare le informazioni sull'app, quindi utilizzare l'"ID dell'app" visualizzato. È inoltre possibile ottenere l'ID dell'app ispezionando l'applicazione su un dispositivo macOS. |
| Stato antivirus | Rileva se un'app antivirus è in esecuzione o meno. Il motore dei criteri di conformità verifica se nel centro azioni del dispositivo è presente una soluzione antivirus. Windows supporta tutte le soluzioni antivirus di terze parti. |
| Aggiornamenti automatici | Rileva se l'aggiornamento automatico di Windows è attivato con un profilo Aggiornamenti di Windows installato. Per ulteriori informazioni, vedere Profilo aggiornamenti di Windows. Il motore dei criteri di conformità verifica se nel centro azioni del dispositivo è presente una soluzione di aggiornamento. Se la soluzione di terze parti non è visualizzata nel centro azioni, il dispositivo viene segnalato come non monitorato. |
| Utilizzo dati/messaggi/chiamate cellulari | Rileva quando i dispositivi degli utenti finali superano una determinata soglia del piano di telefonia loro assegnato. Workspace ONE UEM può fornire una notifica solo nel caso in cui l'utilizzo superi una determinata soglia; UEM non può limitare l'utilizzo effettivo. Affinché la regola di questo criterio funzioni correttamente, è necessario abilitare la telecomunicazione Avanzata e assegnare il piano telefonico al dispositivo. |
| Attributo di conformità | Il confronto delle chiavi degli attributi nel dispositivo con la sicurezza degli endpoint di terze parti restituisce un valore Boolean che rappresenta la conformità del dispositivo. Disponibile solo per dispositivi Windows Desktop. |
| Stato di compromissione | Rileva se il dispositivo è compromesso. Vieta l'uso di dispositivi che hanno subito un jailbreak o rooted iscritti a Workspace ONE UEM. I dispositivi che hanno subito un jailbreak e rooted rimuovono completamente le impostazioni di protezione e possono introdurre malware nella rete, consentendo l'accesso alle risorse aziendali. Monitorare lo stato del dispositivo compromesso è particolarmente importante in ambienti BYOD in cui i dipendenti hanno varie versioni di dispositivi e sistemi operativi. |
| Copia di Windows | Rileva se la copia di Windows attualmente attiva sul dispositivo è originale. |
| Ultima visualizzazione dispositivo | Rileva se il dispositivo non esegue il check-in entro una finestra di tempo assegnata. |
| Produttore dispositivo | Rileva il produttore del dispositivo che ti permette di identificare certi dispositivi Android. Puoi vietare specifici produttori o consentire solo quelli specificati. |
| Etichette del dispositivo | Rileva se l'etichetta di un dispositivo è presente o assente sul dispositivo. È possibile verificare la presenza di più etichette di dispositivo con una regola. Operatori: - Contiene tutti - Contiene alcuni - Non contiene |
| Crittografia | Rileva se la crittografia è abilitata sul dispositivo. Windows supporta tutte le soluzioni di crittografia di terze parti. |
| Stato firewall | Rileva se un'app firewall è in esecuzione o meno. Il motore di conformità dei criteri verifica se nel centro azioni del dispositivo è presente una soluzione firewall. Windows supporta tutte le soluzioni firewall di terze parti. |
| Memoria disponibile sul disco | Rileva lo spazio su disco rigido disponibile sul dispositivo. |
| Area iBeacon | Rileva se il dispositivo iOS si trova all'interno dell'area di un gruppo iBeacon. |
| Scadenza del profilo del certificato interattivo | Rileva quando un profilo installato sul dispositivo scade entro il tempo determinato. |
| Ultima scansione compromissione | Rileva se il dispositivo non ha segnalato il suo stato di compromissione entro il tempo determinato. |
| Accettazione condizioni per l'utilizzo di MDM | Rileva se le attuali condizioni per l'utilizzo di MDM non sono state accettate dall'utente finale entro un intervallo di tempo determinato. |
| Modello | Rileva il modello del dispositivo. Puoi vietare specifici modelli o consentire solo quelli specificati. |
| Versione del sistema operativo | Rileva il sistema operativo del dispositivo. Puoi vietare specifiche versioni del sistema operativo o consentire solo i sistemi operativi e le versioni specificate. Se si desidera applicare la versione più recente del sistema operativo, è necessario aggiornare il criterio di conformità della versione del sistema operativo con ogni nuova versione del sistema operativo, quindi eseguire il push del criterio aggiornato ai dispositivi interessati. Qualsiasi modifica apportata a un criterio esistente comporta la reimpostazione di opzioni come i piani di escalation. |
| Codice d'accesso | Rileva se un codice d'accesso è presente sul dispositivo. |
| Roaming | Rileva se il dispositivo è in roaming. disponibile solo per utenti di Telecom Advanced. |
| Uso dati cellulare roaming | Consente di rilevare l'uso di dati di roaming cellulare rispetto a una quantità di dati statica in MB o GB. disponibile solo per utenti di Telecom Advanced. |
| Versione patch di sicurezza | Rileva la data della patch di sicurezza più recente rilasciata da Google nel dispositivo Android. Applicabile solo a Android versione 6.0 e versioni successive. |
| Sostituzione della scheda SIM | Rileva se la scheda SIM è stata sostituita. disponibile solo per utenti di Telecom Advanced. |
| Protezione dell'integrità del sistema | Rileva lo stato della protezione proprietaria di macOS dei file e delle directory di proprietà del sistema rispetto alle modifiche apportate dai processi senza un "permesso" specifico, anche quando eseguite dall'utente root o da un utente con privilegi root. |
Azioni
Applicazione
- Blocca/Rimuovi app gestita
-
Blocca/Rimuovi tutte le applicazioni gestite
Quando l'azione Blocca/Rimuovi app viene applicata a un dispositivo non conforme, Workspace ONE UEM Console rimuove le app indicate e avvia un timer di 2 ore, prima di consentire la sincronizzazione successiva del dispositivo. Ogni volta che viene eseguita la sincronizzazione del dispositivo vengono calcolate le app da aggiungere e rimuovere, tenendo in considerazione i criteri di conformità attivi. Se la stessa app viene rilevata anche quando viene eseguita la sincronizzazione del dispositivo, allo scadere del timer di due ore, tale app viene rimossa.
Tuttavia, durante questo periodo di tempo di due ore l'utente finale può tentare di aggirare l'azione di conformità e reinstallare le app bloccate. Ad esempio, se l'utente effettua il sideloading del file APK o installa un'app pubblica da Play Store, l'azione di conformità potrebbe non essere attivata. Può essere consigliabile creare un profilo dispositivo che impedisca all'utente finale di installare le app.
Esistono due modi per eseguire questa operazione durante la creazione di un profilo dispositivo in Risorse > Profili e basi di confronto > Profili.
- Solo Android: aggiunge un payload di Controllo delle applicazioni per disattivare l'accesso alle app vietate. Per consentire il funzionamento di questo payload, è necessario creare un gruppo di app nella lista vietata in Risorse > App > Impostazioni > Gruppi di app e assegnarlo al dispositivo in questione.
- Aggiungere un payload Limitazioni disabilitando il dispositivo di scorrimento per Consenti l'installazione delle applicazioni.
Comando
- Modifica impostazioni di roaming
- Rimozione dei dati aziendali: impedisce la delivery dei profili finché il dispositivo non torna a uno stato conforme.
- Reimpostazione dati aziendali
- Aggiornamenti del sistema operativo: disponibile per i dispositivi con versione di iOS compresa fra la 9 e la 10.2.1, se sono supervisionati e registrati in DEP. I dispositivi con iOS 10.3 e versioni successive devono essere solo supervisionati.
- Richiedi il check-in del dispositivo
-
Revoca token di Azure: questa azione influenza tutti i dispositivi per un determinato utente, disabilitando tutte le app che si basano sul token di Azure.
- Questa azione richiede l'abilitazione di "Integrazione di Azure AD" e "Usa Azure AD per i servizi di identità", entrambe disponibili in Impostazioni > Sistema > Integrazione di livello aziendale > I servizi Directory nella scheda Server.
-
Affinché la revoca del token di Azure funzioni, il campo dell'account utente Nome principale utente è obbligatorio, quindi occorre utilizzare uno dei seguenti metodi per assicurarsi che contenga il valore corretto.
- Passare a Account > Utenti > Visualizzazione elenco e modificare il Nome principale utente dell'account di destinazione (nella scheda Avanzate) con lo stesso indirizzo e-mail utilizzato per accedere al proprio account Azure.
OPPURE 1. Passare a Gruppi e impostazioni > Tutte le impostazioni > Sistema > Integrazione di livello aziendale > I servizi Directory, quindi selezionare la scheda Utente e la sezione a discesa Avanzate. 2. Scorrere fino a Nome principale utente e immettere il valore di ricerca che corrisponde all'indirizzo e-mail utilizzato per accedere al proprio account Azure.
- Blocca e-mail
Invia notifiche
- Invia e-mail all'utente: include la possibilità di inviare il messaggio in copia conoscenza al manager dell'utente.
- Invia SMS al dispositivo
- Invia notifica push al dispositivo
- Invia e-mail all'amministratore
Profilo
- Installa profilo di conformità.
- Blocca/Rimuovi profilo
- Blocca/Rimuovi tipo profilo
- Blocca/Rimuovi tutti i profili: impedisce la delivery dei profili finché il dispositivo non torna a uno stato conforme.
