U kunt regels afdwingen en actie ondernemen wanneer toestellen niet aan uw netwerkbeleid voldoen. Deze lijst is platformneutraal.
Om te zien welke regels en acties op een bepaald toestel van toepassing zijn, navigeert u naar Toestellen > netwerkbeleid > Lijstweergave, selecteert u de knop Toevoegen en selecteert u vervolgens het platform om alle regels en acties te zien die u voor dat platform kunt uitvoeren.
Regels
| Instelling | Beschrijving |
|---|---|
| Applicatielijst | Spoor specifieke applicaties van de weigeringslijst op toestellen op of alle applicaties die niet op de toestemmingslijst staan. U kunt bepaalde apps verbieden (zoals sociale media-apps en door leveranciers op een weigeringslijst geplaatste apps), of alleen de apps toestaan die u opgeeft. iOS: Vanwege de manier waarop de applicatiestatus wordt gemeld op iOS-apparaten, wordt de status 'Geïnstalleerd' alleen aan een app toegekend nadat het installatieproces volledig is voltooid. Daarom kunt u, als u een nalevingsregel maakt die de lijst met applicaties van iOS-apparaten meet, een actie afdwingen die de vernietiging van gegevens voorkomt. Bijvoorbeeld bedrijfsgegevens wissen of toestel wissen. macOS: Zorg er voor macOS-toestellen voor dat de volgende stappen zijn uitgevoerd om het systeemeigen MDM-voorbeeld te gebruiken dat een lijst met geïnstalleerde applicaties bevat. 1. Privacy-instellingen configureren. Navigeer naar Instellingen > Toestellen en gebruikers > Algemeen > Privacy en selecteer onder "Persoonlijke applicaties" óf Verzamelen en weergeven óf Verzamelen niet weergeven voor de toegewezen toestellen. 2. Voer het juiste "Applicatiebundel-ID" in wanneer u het beleid definieert. Navigeer naar Conformiteitsbeleid > Lijstweergave > Toevoegen. Op het tabblad Regels moet het tekstvak uiterst rechts, "Applicatie-ID", de systeemeigen "applicatie-ID" van de doelapplicatie bevatten, niet het met Workspace ONE gegenereerde bundel-ID dat wordt gebruikt bij het implementeren van de app. U kunt deze identificeren aan de com.vmw.macos.{Package_Name} syntax. Gebruik deze bundel-id niet als u het netwerkbeleid voor de applicatielijst wilt toepassen op macOS-toestellen . Vul in dit tekstvak op het tabblad Regels het systeemeigen app-ID in, dat u kunt vinden door naar Toestelgegevens te navigeren op een te beheren macOS toestel, klik op Apps, zoek de appnaam in de lijst en klik er eenmaal op om app-informatie weer te geven, en gebruik vervolgens het weergegeven app-ID. U kunt deze app-ID ook verkrijgen door de applicatie op een macOS-apparaat te inspecteren. |
| Antivirusstatus | Controleer of er een antivirusprogramma actief is. De beleidsengine controleert het actiecentrum op het toestel op aanwezigheid van een antivirusprogramma. Windows ondersteunt alle antivirusoplossingen van derden. |
| Gebruik van GSM-dataverkeer/berichten/telefonie | Detecteer wanneer toestellen van eindgebruikers een bepaalde drempel van het aan hun toegewezen telecomabonnement overschrijden. Workspace ONE UEM kan alleen melden wanneer het gebruik een vooraf ingestelde drempelwaarde overschrijdt; UEM kan het werkelijke gebruik niet beperken. Om deze beleidsregel goed te laten werken moet u Geavanceerde Telecom inschakelen en dat telecommunicatieplan toewijzen aan het toestel. |
| Controlevariabele | Vergelijk controlevariabelen in het toestel met endpointbeveiliging van derden, die een booleaanse waarde retourneert die naleving van het netwerkbeleid door het toestel vertegenwoordigt. Alleen beschikbaar voor Windows-desktops. |
| Verdachte status | Stel vast of het toestel in een verdachte status is. Verbied het gebruik van in Workspace ONE UEM ingeschreven toestellen die jailbroken (gehackt) of gerootet zijn. Bij jailbroken en gerootete toestellen zijn integrale beveiligingsinstellingen verwijderd. Zij kunnen daardoor malware in uw netwerk brengen en de toegang tot uw bedrijfsresources blootleggen. Het traceren van verdachte toestellen is vooral belangrijk in een BYOD-omgeving waar werknemers verschillende toestelversies en besturingssystemen op het netwerk brengen. |
| Toestel laatst gezien | Stel vast of een toestel zich niet binnen een vastgestelde periode bij het netwerk meldt. |
| Toestelfabrikant | Identificeer de fabrikant van toestellen om zo specifieke Android-toestellen te herkennen. U kunt toestellen van bepaalde fabrikanten de toegang ontzeggen of juist de toegang beperken tot alleen bepaalde fabrikanten. |
| Encryptie | Stel vast of encryptie op het toestel is ingeschakeld. Windows ondersteunt alle versleutelingsoplossingen van derden. |
| Firewall-status | Stel vast of er een firewall-programma actief is. De beleids-engine controleert het actiecentrum op het toestel of er een firewall aanwezig is. Windows ondersteunt alle firewalloplossingen van derden. |
| Vrije schijfruimte | Bekijk de beschikbare schijfruimte op het toestel |
| iBeacon-gebied | Stel vast of uw iOS-toestel binnen het gebied van een iBeacon-groep is. |
| Vervaldatum van het interactieve certificaatsprofiel | Stel vast wanneer een geïnstalleerd profiel op het toestel verloopt, binnen een vastgestelde periode. |
| Laatst verdachte scan | Controleer of het toestel zijn verdachte status binnen een vastgestelde periode heeft gemeld. |
| Aanvaarding van de MDM-gebruiksvoorwaarden | Controleer of de actuele MDM-gebruiksvoorwaarden binnen een vastgestelde periode door de eindgebruiker is geaccepteerd. |
| Model | Stel het toestelmodel vast. U kunt bepaalde toestellen verbieden of juist bepaalde modellen toestaan. |
| Versie van het besturingssysteem | Stel de OS-versie van het toestel vast. U kunt bepaalde versies van het besturingssysteem verbieden of juist bepaalde besturingssystemen toestaan. |
| Toegangscode | Stel vast of het toestel een toegangscode heeft. |
| Roaming | Stel vast of het toestel momenteel aan het roamen is. Alleen beschikbaar voor gebruikers van Telecom Advanced. |
| Roaming GSM-dataverbruik | Detecteer het GSM-dataverbruik tijdens roamen en vergelijk dit met een statische hoeveelheid gegevens, gemeten in MB of GB. Alleen beschikbaar voor gebruikers van Telecom Advanced. |
| Versie van beveiligingspatch | Controleer de datum van de meest recente beveiligingspatch van Google op Android-toestellen. Alleen van toepassing op Android versie 6.0 en hoger. |
| SIM-kaart vervanging | Controleer of de SIM-kaart vervangen is. Alleen beschikbaar voor gebruikers van Telecom Advanced. |
| Beveiliging van systeemintegriteit | Detecteert de status van de macOS-systeemeigen bescherming van systeembestanden en -mappen tegen wijzigingen door processen zonder specifiek "recht", ook indien uitgevoerd door de hoofdgebruiker of een gebruiker met hoofdrechten. |
| Windows automatische updates | Stel vast of automatische updates in Windows geactiveerd zijn. De beleidsengine controleert het actiecentrum op het toestel op aanwezigheid van een update-oplossing. Als u een programma heeft dat niet in het actiecentrum zichtbaar is, wordt uw toestel als niet gecontroleerd gemeld. |
| Legitieme Windows | Stel vast of de versie van Windows op het toestel legitiem is. |
Acties
Applicatie
-
Beheerde applicaties blokkeren/verwijderen
-
Alle beheerde applicaties blokkeren/verwijderen
Wanneer de actie Applicatie blokkeren/verwijderen wordt toegepast op een niet-conform toestel, verwijdert de Workspace ONE UEM console de aangegeven applicatie(s) en start een timer van 2 uur voordat het toestel de volgende keer wordt gesynchroniseerd. Elke keer dat de toestelsynchronisatie wordt uitgevoerd, berekent het welke applicaties moeten worden toegevoegd en verwijderd, met inachtneming van het actieve netwerkbeleid. Wanneer de toestelsynchronisatie wordt uitgevoerd na de timer van twee uur en dezelfde app wordt gedetecteerd, dan wordt de app verwijderd.
Tijdens deze periode van twee uur kan de eindgebruiker echter proberen de naleving van netwerkbeleid te omzeilen en de geblokkeerde apps opnieuw te installeren. Als ze bijvoorbeeld een APK-bestand sideloaden of een openbare app van de Play Store installeren, kan de nalevingsactie niet worden geactiveerd. U kunt een toestelprofiel maken om te voorkomen dat eindgebruikers applicaties installeren.
Er zijn twee manieren om dit te doen wanneer u een toestelprofiel maakt op Resources > Profielen en uitgangswaarden > Profielen.
- Alleen voor Android – Voeg een datalading Applicatiecontrole toe om toegang tot geweigerde applicaties te deactiveren. Om deze datalading te laten werken, moet u een applicatiegroep op de weigeringslijst creëren in Resources > Applicaties > Instellingen > Applicatiegroepen en deze aan het betreffende toestel toewijzen.
- Voeg een datalading Beperkingen toe, en schakel de schuifregelaar voor Applicaties installeren toestaan uit.
Commando
- Roaminginstellingen wijzigen
- Bedrijfsgegevens wissen - Dit verhindert de levering van profielen totdat het apparaat de status 'conform' meldt.
- Bedrijfsreset
- Updates van het besturingssysteem - Beschikbaar voor toestellen met iOS versie 9 t/m 10.2.1, als die toestellen onder supervisie staan en via DEP zijn ingeschreven. Toestellen met iOS 10.3 en hoger hoeven alleen onder supervisie te staan.
- Inchecken van toestel aanvragen
-
Azure-tokens intrekken - Deze actie heeft invloed op alle toestellen voor een bepaalde gebruiker en schakelt elke app uit die afhankelijk is van het Azure-token.
-
Voor deze actie is 'Azure AD-integratie' ingeschakeld en 'Azure AD voor identiteitsservices gebruiken' ingeschakeld. Beide instellingen staan in Instellingen > Systeem > Bedrijfsintegratie > Directory Services onder het tabblad Server.
-
Om het intrekken van Azure-tokens te laten werken, is User Principal Name een verplicht gebruikersaccountveld. Gebruik een van de volgende methoden om ervoor te zorgen dat deze de juiste waarde heeft.
-
Navigeer naar Accounts > Gebruikers > Lijstweergave en vul de User Principal Name van het gebruikersaccount (onder het tabblad Geavanceerd) met hetzelfde e-mailadres dat ze gebruiken om in hun Azure-account in te loggen.
OF
- Navigeer naar Groepen en instellingen > Alle instellingen > Systeem > Bedrijfsintegratie > Directory Services en selecteer het tabblad Gebruiker en selecteer de vervolgkeuzelijst Geavanceerd.
- Blader omlaag naar User Principal Name en voer de opzoekwaarde in die overeenkomt met het e-mailadres dat ze gebruiken om in te loggen op hun Azure-account.
-
- E-mail blokkeren
Op de hoogte stellen
- E-mail naar gebruiker verzenden - Bevat de optie om een CC naar de manager van de gebruiker te verzenden.
- SMS naar het toestel verzenden
- Push-notificatie naar het toestel verzenden
- E-mail naar de beheerder verzenden
Profiel
- Netwerkbeleidsprofiel installeren.
- Profiel blokkeren/verwijderen
- Profieltype blokkeren/verwijderen
- Alle profielen blokkeren/verwijderen - Dit voorkomt de levering van profielen totdat het toestel de status 'conform' meldt.
