順守ポリシー ルールとアクション
デバイスがポリシーを順守していない場合は、ルールを適用し、アクションを実行できます。このリストはプラットフォームに依存しません。
特定のデバイスに適用するルールとアクションを確認するには、[デバイス] > [順守ポリシー] > [リスト表示] の順に移動し、[追加] ボタンを選択してから、プラットフォームを選択して、そのプラットフォームに固有のルールとアクションをすべて表示します。
ルール
| 設定 | 説明 |
|---|---|
| アプリケーション リスト | 拒否リスト設定された特定のアプリがデバイスにインストールされると検知します。または、許可リストに設定されていないすべてのアプリを検知します。特定のアプリ(ソーシャル メディア アプリ)やベンダーによって拒否リスト設定されたアプリなどを特定して禁止することができます。または、指定したアプリだけを許可することもできます。 iOS:iOS デバイスにおけるアプリケーション状態のレポート方法では、インストール プロセスが完全に完了して初めて、アプリが「インストール済み」状態になります。したがって、iOS デバイスのアプリケーション リストを測定する順守ルールを作成する場合は、データの破損を避けるアクションを実行することを検討してください。たとえば、企業情報ワイプやデバイス ワイプなどです。 macOS:macOS デバイスの場合は、次の手順を実行して、インストールされているアプリのリストを含むネイティブ MDM サンプルを使用します。 1.プライバシー設定の構成[設定] > [デバイスとユーザー] > [全般] > [プライバシー] の順に進み、[個人のアプリケーション] で割り当てられたデバイスに対して [収集して表示] または [収集するが表示しない] を選択します。 2.ポリシーを定義するときに、正しい「アプリケーション バンドル ID」を入力します。[順守ポリシー] > [リスト表示] > [追加] の順に移動します。[ルール] タブの右端にあるテキスト ボックスには、アプリケーションの展開時に使用される Workspace ONE で生成されたバンドル ID ではなく、ターゲット アプリケーションのネイティブの「アプリ ID」が含まれている必要があります。この ID は、構文 com.vmw.macos.{Package_Name} で識別できます。macOS デバイスにアプリケーション リスト順守ポリシーを適用する場合は、このバンドル ID を使用しないでください。代わりに、[ルール] タブのこのテキスト ボックスに ネイティブ アプリケーション ID を入力します。この ID は、対象の macOS デバイスの [デバイスの詳細] に移動して見つけることができます。[アプリケーション] をクリックし、リストからアプリケーション名を探して一度クリックし、アプリケーション情報を表示し、表示された「アプリケーション ID」を使用します。このアプリケーション ID は、macOS デバイス上のアプリケーションを確認することでも取得できます。 |
| ウィルス対策状態 | ウィルス対策アプリが作動しているか検知します。順守ポリシー エンジンは、デバイスのアクション センターを監視し、ウィルス対策ソリューションがないか確認します。Windows では、すべてのサードパーティ製ウィルス対策ソリューションがサポートされています。 |
| 自動更新 | インストールされた Windows 更新プロファイルを使用して、Windows 自動更新が有効になっているかどうかを検出します。詳細については、「Windows 更新プロファイル」を参照してください。順守ポリシー エンジンは、デバイスのアクション センターを監視し、更新ソリューションがないか確認します。貴社で使用しているサードパーティ ソリューションがアクション センターに表示されない場合は、「モニターされていません」 とレポートされます。 |
| セル データ/メッセージ/通話使用 | エンド ユーザーのデバイスに割り当てられたテレコム プランに基づき、データ使用量が指定されたしきい値を超えたときにそれを検知します。 Workspace ONE UEM は、使用量が事前定義されたしきい値を超えたときの通知のみを提供します。UEM は、実際の使用量を制限することはできません。 このポリシー ルールを正しく機能させるには、詳細 テレコムを有効にし、そのテレコム プランをデバイスに割り当てる必要があります。 |
| 順守属性 | デバイス内の属性キーをサードパーティ製のエンドポイント セキュリティと比較します。デバイスの順守状態を示すブール値が表示されます。利用できるのは Windows デスクトップ デバイスのみです。 |
| 侵害状態 | デバイスが侵害状態にあるかを検知します。Workspace ONE UEM に加入済みのデバイスのうち、ジェイルブレイク状態またはルート化されたデバイスの使用をブロックします。 ジェイルブレイク状態またはルート化されたデバイスは、主要なセキュリティのレイヤーを剥ぎ取り、貴社のネットワーク、ひいては貴社の企業リソースへマルウェアの侵入をもたらす可能性があります。デバイスが侵害されていないかモニタリングすることは、従業員が様々な OS バージョンの多様なデバイスを使用する BYOD 環境で特に重要です。 |
| Windows のコピー | デバイスに搭載されている Windows が正規版か検知します。 |
| デバイス最終検出日時 | 決められた時間内にチェックインを行っていないデバイスを検出します。 |
| デバイスのメーカー | デバイス製造元を検知し、特定の Android デバイスを識別できるようにします。特定の製造元だけをブロックしたり、特定の製造元だけを許可したりすることもできます。 |
| デバイス タグ | デバイス タグがデバイスに存在するかしないかを検出します。1 つのルールで複数のデバイス タグを確認できます。 オペレータ: - すべてを含む - いずれかを含む - いずれも含まない |
| 暗号化 | 暗号化がデバイスで有効かどうかを検知します。Windows では、すべてのサードパーティ製暗号化ソリューションがサポートされています。 |
| ファイアウォール状態 | ファイアウォール アプリが作動しているか検知します。順守ポリシーエンジンは、デバイスのアクション センターをチェックし、ファイアウォールが機能しているか確認します。Windows では、すべてのサードパーティ製ファイアウォール ソリューションがサポートされています。 |
| 空きディスク容量 | デバイスの空きハード ディスク容量を検出します。 |
| iBeacon エリア | 貴社の iOS デバイスが iBeacon グループエリア内にあるか検出します。 |
| 対話型証明書プロファイルの有効期限 | デバイスにインストールされたプロファイルの有効期限が一定期間内に切れる場合を検出します。 |
| 最後の侵害状況スキャン | 決められたスケジュールに基づいて侵害状態をレポートしないデバイスを検出します。 |
| MDM 利用規約の承諾 | エンド ユーザーが最新の MDM 利用規約を決められた時間内に承諾していない場合を検出します。 |
| モデル | デバイス モデルを検知します。特定の製造元だけをブロックしたり、特定の製造元だけを許可したりすることもできます。 |
| OS バージョン | デバイス OS バージョンを検知します。特定の OS バージョンだけをブロックしたり、特定の OS バージョンだけを許可したりすることができます。 最新の OS バージョンを適用する場合は、新しい OS がリリースされるたびに OS バージョンの遵守ポリシーを更新し、更新されたポリシーを関連デバイスにプッシュする必要があります。既存のポリシーを編集すると、エスカレーション スケジュールなどのオプションがリセットされます。 |
| パスコード | デバイスにパスコードが存在するかを検知します。 |
| ローミング | デバイスがローミング状態かどうかを検知します。利用できるのは、テレコムの高度な設定を有効にしているユーザーのみです。 |
| ローミング セルラー データ使用量 | 静的なデータ量と対照させて、ローミング セルラー データの使用量を検出します (MB または GB で測定)。利用できるのは、テレコムの高度な設定を有効にしているユーザーのみです。 |
| セキュリティ パッチ バージョン | Android デバイス上の最新の Google セキュリティ パッチの日付を検知します。Android バージョン 6.0 以降にのみ適用されます。 |
| SIM カード変更 | SIM カードが交換されたデバイスを検出します。利用できるのは、テレコムの高度な設定を有効にしているユーザーのみです。 |
| System Integrity Protection | root ユーザーまたは root 権限を持つユーザーによって実行された場合でも、特定の「資格」を持たないプロセスによる変更に対する、システム所有のファイルおよびディレクトリの macOS の独自保護の状態を検出します。 |
アクション
アプリケーション
- 管理アプリをブロック/削除
-
すべての管理アプリをブロック/削除
アプリケーションのブロック/削除アクションを非順守状態のデバイスに適用すると、指定されたアプリケーションが Workspace ONE UEM console によって削除され、次のデバイス同期のために 2 時間のタイマーが開始されます。デバイスの同期が実行されるたびに、アクティブな順守ポリシーに基づいて、追加および削除するアプリケーションが決定されます。タイマーが 2 時間に達すると、デバイスの同期が実行され、同じアプリケーションが見つかった場合は、アプリケーションが削除されます。
ただし、この 2 時間の間、エンド ユーザーは順守アクションを回避し、ブロックされたアプリケーションを再インストールすることができます。たとえば、APK ファイルをサイドロードする場合、または Play ストアからパブリック アプリケーションをインストールする場合、順守アクションがトリガされないことがあります。アプリケーションのインストールをエンド ユーザーが実行できないようにする場合は、デバイス プロファイルの作成を検討してください。
[リソース] > [プロファイルとベースライン] > [プロファイル] でデバイス プロファイルを作成する場合は、2 つの方法があります。
- Android のみ – アプリケーション制御ペイロードを追加して、拒否済みのアプリケーションへのアクセスをアクティベーション解除します。このペイロードを機能させるには、[リソース] > [アプリケーション] > [設定] > [アプリケーション グループ] の順に選択し、拒否リスト アプリケーション グループを作成してから、それを問題のデバイスに割り当てる必要があります。
- [制限] ペイロードを追加し、[アプリケーションのインストールを許可する] スライダを無効にします。
コマンド
- ローミング設定を変更する
- 企業情報ワイプ - このアクションでは、デバイスが順守状態をレポートするまで、プロファイルの配信が防止されます。
- 企業情報リセット
- OS 更新 - iOS バージョン 9 ~ 10.2.1 のデバイスで利用するには、そのデバイスが監視対象であり、かつ DEP 加入済みであることが必要です。iOS 10.3 以降のデバイスの場合は、デバイスが監視対象であることのみが必要です。
- デバイス チェックインを要求
-
Azure トークンの取り消し - このアクションは指定されたユーザーのすべてのデバイスに影響し、Azure トークンに依存する任意のアプリが無効になります。
- このアクションを実行するには、[サーバ] タブの [設定] > [システム] > [エンタープライズ統合] > [ディレクトリ サービス] にある [Azure AD 統合] と [ID サービスに Azure AD を使用] の両方が有効になっている必要があります。
-
Azure トークンの取り消しを機能させるには、ユーザー プリンシパル名が必須のユーザー アカウント フィールドであるため、次のいずれかの方法を使用して、正しい値であることを確認します。
- [アカウント] > [ユーザー] > [リスト表示] の順に移動し、ターゲット ユーザー アカウントのユーザー プリンシパル名([詳細] タブ)を、Azure アカウントへのログインに使用するのと同じメール アドレスで編集します。
または 1[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [ディレクトリ サービス] の順に移動し、[ユーザー] タブを選択し、詳細ドロップダウン セクションを選択します。2.ユーザー プリンシパル名 まで下にスクロールし、Azure アカウントへのログインに使用するメール アドレスに対応する参照値を入力します。
E メール
- Eメールをブロック
通知
- E メールをユーザーに送信 - オプションでユーザーの上司を CC に含めることができます。
- SMS をデバイスに送信
- プッシュ通知をデバイスに送信
- Eメールを管理者に送信
プロファイル
- 順守プロファイル をインストール
- プロファイルをブロック/削除
- プロファイル タイプをブロック/削除
- すべてのプロファイルをブロック/削除 - このアクションでは、デバイスが順守状態をレポートするまで、プロファイルの配信が防止されます。
