デバイスがポリシーを遵守していない場合は、ルールを適用し、アクションを実行できます。このリストはプラットフォームに依存しません。[デバイス] > [遵守ポリシー] > [リスト表示] の順に選択し、[追加] ボタンをクリックしてプラットフォームを選択すると、そのプラットフォームに固有のルールと実行可能なアクションがすべて表示されます。
ルール
| 設定 | 説明 |
|---|---|
| アプリケーション リスト | 拒否リスト設定された特定のアプリがデバイスにインストールされると検知します。または、許可リストに設定されていないすべてのアプリを検知します。特定のアプリケーション(ソーシャル メディア アプリケーションなど)を禁止したり、ベンダーが拒否リストに登録したアプリケーションを禁止したりできます。また、指定したアプリケーションのみを許可できます。 iOS デバイスでは、アプリケーションの状態を報告する方法によって多少の違いはありますが、インストール プロセスが完全に完了した後でのみ、アプリケーションの状態は [インストール済み] になります。したがって、iOS デバイスのアプリケーション リストを測定する順守ルールを作成する場合は、データの破損を避けるアクションを実行することを検討してください。たとえば、企業情報ワイプやデバイス ワイプなどです。 |
| ウィルス対策状態 | ウィルス対策アプリが作動しているか検知します。順守ポリシー エンジンは、デバイスのアクション センターを監視し、ウィルス対策ソリューションがないか確認します。Windows では、すべてのサードパーティ製ウィルス対策ソリューションがサポートされています。 |
| セル データ/メッセージ/通話使用 | エンド ユーザーのデバイスが、割り当てられたテレコム プランの特定のしきい値を超えた時点を検出します。 Workspace ONE UEM は、使用量が事前定義されたしきい値を超えた時点について、通知の送信のみを実行できます。UEM は、実際の使用量を制限できません。 このポリシー ルールを正しく機能させるには、[高度な設定] でテレコムを有効にし、そのテレコム プランをデバイスに割り当てる必要があります。 |
| 順守属性 | デバイス内の属性キーをサードパーティ製のエンドポイント セキュリティと比較します。デバイスの順守状態を示すブール値が表示されます。利用できるのは Windows デスクトップ デバイスのみです。 |
| 侵害状態 | デバイスが侵害状態にあるかを検知します。ジェイルブレイク状態のデバイスまたはルート化されたデバイスを Workspace ONE UEM に加入させて、利用することは禁じられています。 ジェイルブレイク状態のデバイスまたはルート化されたデバイスは、主要なセキュリティ レイヤーが棄損しているため、ネットワークへのマルウェアの侵入、エンタープライズ リソースへの不正アクセスに至る可能性があります。デバイスが侵害されていないかモニタリングすることは、従業員が様々な OS バージョンの多様なデバイスを使用する BYOD 環境で特に重要です。 |
| デバイス最終検出日時 | 決められた時間内にチェックインを行っていないデバイスを検出します。 |
| デバイスのメーカー | デバイス製造元を検知し、特定の Android デバイスを識別できるようにします。特定の製造元だけをブロックしたり、特定の製造元だけを許可したりすることもできます。 |
| 暗号化 | 暗号化が有効に設定されていないデバイスを検出します。Windows では、すべてのサードパーティ製暗号化ソリューションがサポートされています。 |
| ファイアウォール状態 | ファイアウォール アプリが作動しているか検知します。順守ポリシーエンジンは、デバイスのアクション センターをチェックし、ファイアウォールが機能しているか確認します。Windows では、すべてのサードパーティ製ファイアウォール ソリューションがサポートされています。 |
| 空きディスク容量 | デバイスの空きハード ディスク容量を検出します。 |
| iBeacon エリア | 貴社の iOS デバイスが iBeacon グループエリア内にあるか検出します。 |
| 対話型証明書プロファイルの有効期限 | デバイスにインストールされたプロファイルの有効期限が一定期間内に切れる場合を検出します。 |
| 最後の侵害状況スキャン | 決められたスケジュールに基づいて侵害状態をレポートしないデバイスを検出します。 |
| MDM 利用規約の承諾 | エンド ユーザーが最新の MDM 利用規約を決められた時間内に承諾していない場合を検出します。 |
| モデル | デバイス モデルを検知します。特定の製造元だけをブロックしたり、特定の製造元だけを許可したりすることもできます。 |
| OS バージョン | デバイス OS バージョンを検知します。特定の OS バージョンだけをブロックしたり、特定の OS バージョンだけを許可したりすることができます。 |
| パスコード | デバイスにパスコードが存在するかを検知します。 |
| ローミング | デバイスがローミング状態かどうかを検知します。利用できるのは、テレコムの高度な設定を有効にしているユーザーのみです。 |
| ローミング セルラー データ使用量 | 静的なデータ量と対照させて、ローミング セルラー データの使用量を検出します (MB または GB で測定)。利用できるのは、テレコムの高度な設定を有効にしているユーザーのみです。 |
| セキュリティ パッチ バージョン | Android デバイス上の最新の Google セキュリティ パッチの日付を検知します。Android バージョン 6.0 以降にのみ適用されます。 |
| SIM カード変更 | SIM カードが交換されたデバイスを検出します。利用できるのは、テレコムの高度な設定を有効にしているユーザーのみです。 |
| System Integrity Protection | root ユーザーまたは root 権限を持つユーザーによって実行された場合でも、特定の「資格」を持たないプロセスによる変更に対する、システム所有のファイルおよびディレクトリの macOS の独自保護の状態を検出します。 |
| Windows 自動更新状態 | Windows 自動更新がアクティブであるか検知します。順守ポリシー エンジンは、デバイスのアクション センターを監視し、更新プログラムがないか確認します。貴社で使用しているサードパーティ ソリューションがアクション センターに表示されない場合は、「モニターされていません」 とレポートされます。 |
| Windows 正規品の検証 | デバイスに搭載されている Windows が正規版か検知します。 |
アクション
アプリケーション
-
管理アプリをブロック/削除
-
すべての管理アプリをブロック/削除
アプリケーションのブロック/削除アクションを非遵守状態のデバイスに適用すると、指定されたアプリケーションが Workspace ONE UEM console によって削除され、次のデバイス同期のために 2 時間のタイマーが開始されます。デバイスの同期が実行されるたびに、アクティブな遵守ポリシーに基づいて、追加および削除するアプリケーションが決定されます。タイマーが 2 時間に達すると、デバイスの同期が実行され、同じアプリケーションが見つかった場合は、アプリケーションが削除されます。
ただし、この 2 時間の間、エンド ユーザーは遵守アクションを回避し、ブロックされたアプリケーションを再インストールすることができます。たとえば、APK ファイルをサイドロードする場合、または Play ストアからパブリック アプリケーションをインストールする場合、遵守アクションがトリガされないことがあります。アプリケーションのインストールをエンド ユーザーが実行できないようにする場合は、デバイス プロファイルの作成を検討してください。
[リソース] > [プロファイルとベースライン] > [プロファイル] でデバイス プロファイルを作成する場合は、2 つの方法があります。
- Android のみ – アプリケーション制御ペイロードを追加して、拒否済みのアプリケーションへのアクセスをアクティベーション解除します。このペイロードを機能させるには、[リソース] > [アプリケーション] > [設定] > [アプリケーション グループ] の順に選択し、拒否リスト アプリケーション グループを作成してから、それを問題のデバイスに割り当てる必要があります。
- [制限] ペイロードを追加し、[アプリケーションのインストールを許可する] スライダを無効にします。
コマンド
- ローミング設定を変更する
- 企業情報ワイプ - このアクションでは、デバイスが遵守状態をレポートするまで、プロファイルの配信が防止されます。
- 企業情報リセット
- OS 更新 - iOS バージョン 9 ~ 10.2.1 のデバイスで利用するには、そのデバイスが監視対象であり、かつ DEP 加入済みであることが必要です。iOS 10.3 以降のデバイスの場合は、デバイスが監視対象であることのみが必要です。
- デバイス チェックインを要求
- Azure トークンを失効 - [設定] > [システム] > [エンタープライズ統合] > [ディレクトリ サービス] > [高度な設定] の順に選択し、[ID サービスに Azure AD を使用] を有効にする必要があります。指定されたユーザーのすべてのデバイスに影響し、Azure トークンに依存する任意のアプリが無効になります。
E メール
- Eメールをブロック
通知
- E メールをユーザーに送信 - オプションでユーザーの上司を CC に含めることができます。
- SMS をデバイスに送信
- プッシュ通知をデバイスに送信
- Eメールを管理者に送信
プロファイル
- 順守プロファイル をインストール
- プロファイルをブロック/削除
- プロファイル タイプをブロック/削除
- すべてのプロファイルをブロック/削除 - このアクションでは、デバイスが遵守状態をレポートするまで、プロファイルの配信が防止されます。
親トピック:遵守ポリシー ルールとアクション
