U kunt applicatiegroepen (app-groepen) en netwerkregels gebruiken om bronnen in uw Workspace ONE UEM omgeving te beveiligen. Applicatiegroepen identificeren toegestane en geblokkeerde applicaties, zodat netwerkregels acties kunnen uitvoeren op toestellen die zich niet aan de beveiligingsregels houden.

U kunt applicatiegroepen voor meerdere platformen configureren, maar niet alle kunnen met netwerkregels worden gecombineerd. Voor platformen waarop u geen netwerkregels kunt toepassen dient u een applicatiecontroleprofiel te creëren.

Tabel 1. Applicatiegroepen en nalevingsbeleid per platform
Platform van applicatiegroep Werkt met netwerkregels Werkt met applicatiecontroleprofielen
Android Ja Ja
Apple iOS Ja Nee
Windows Phone Nee Ja

U bent niet verplicht applicatiegroepen te configureren. Applicatiegroepen verbeteren echter wel de effectiviteit en de reikwijdte van uw netwerkbeleid met slechts enkele eenvoudige instellingen.

Tabel 2. Relaties tussen applicatiegroepen en netwerkbeleid
Applicatiegroep Beschrijving Netwerkbeleid Actie
Witte lijst Beheerde toestellen kunnen deze applicaties installeren vanuit de AirWatch-catalogus.

Als een applicatie niet op de lijst staat, is deze niet toegestaan op beheerde toestellen.

Applicaties die niet op de witte lijst staan gevonden De netwerkbeleidsengine identificeert applicaties die niet in de applicatiegroep voor de witte lijst staan die is geïnstalleerd op het toestel. De acties die in de netwerkbeleidsregel zijn geconfigureerd, worden toegepast.
Zwarte lijst Beheerde toestellen kunnen deze applicaties niet installeren vanuit de AirWatch-catalogus.

Als een applicatie op deze lijst staat, is het niet toegestaan op beheerde toestellen.

Bevat applicatie(s) van de zwarte lijst De netwerkbeleidsengine identificeert applicaties van de applicatiegroep die op de zwarte lijst staat op het toestel en past de acties toe die zijn geconfigureerd in de netwerkbeleidsregel.
Verplicht Beheerde toestellen moeten deze applicaties installeren vanuit de AirWatch-catalogus.

Als een applicatie op deze lijst staat, moeten toestelgebruikers deze installeren op beheerde toestellen.

Bevat niet de vereiste applicatie(s) De netwerkbeleidsengine identificeert applicaties van de vereiste applicatiegroep die ontbreekt op het toestel en past de acties toe die zijn geconfigureerd in de netwerkbeleidsregel.
Opmerking: Een applicatie die is ingesteld op de modus automatische implementatie in de UEM console, wordt niet automatisch geïmplementeerd wanneer:
  • De applicatie wordt toegevoegd aan de groep applicaties op de zwarte lijst die aan het toestel is toegewezen.
  • De applicatie wordt uitgesloten van de groep applicaties op de witte lijst die aan het toestel is toegewezen.

Impact van privacyinstellingen op het netwerkbeleid voor de applicatielijst en het applicatiebeheerprofiel

Als u in de Workspace ONE UEM console de privacyinstellingen van de persoonlijke applicatie configureert als Niet verzamelen, wordt de persoonlijke app-informatie uit de toestellen niet verzameld. Dat wil zeggen dat de persoonlijke app-informatie van de eindgebruiker niet vanaf hun apparaten wordt verzonden.

Voor privacyinstellingen gelden echter de volgende voorbehouden die van invloed zijn op de instellingen van het netwerkbeleid voor de applicatielijst en het applicatiebeheerprofiel

  • Het netwerkbeleid voor de applicatielijst controleert of een toestel over de juiste applicaties beschikt (op zwarte of witte lijst, of vereist). Als het systeem niet vraagt om de applicatielijst, wordt mogelijk niet gecontroleerd op deze applicaties. Als gevolg hiervan worden de toestellen met bepaalde op een zwarte lijst geplaatste applicaties niet gemarkeerd als 'niet-conform'. Ook toestellen die bepaalde 'vereiste' (persoonlijke) applicaties bevatten, worden dan gemarkeerd als 'niet-conform'.
  • Het applicatiebeheerprofiel met de actie op apps die 'op een zwarte lijst zijn geplaatst' wordt niet toegepast op toestellen waarvan de persoonlijke app-privacy is ingesteld op Niet verzamelen en wordt alleen toegepast op de toestellen waarvoor we de persoonlijke app-informatie verzamelen.
Als u acties wilt uitvoeren op de lijst met persoonlijke apps van uw eindgebruikers, dient u de persoonlijke app-privacyconfiguratie voor het eigendomstype van het betreffende toestel op alle OG's bij te houden en het volgende te controleren:
  • Controleer of de configuratie niet is ingesteld op Niet verzamelen. Als u de privacy van uw eindgebruikers wilt waarborgen en mogelijk schadelijke apps wilt detecteren, stelt u de privacyinstelling in op Verzamelen, maar niet weergeven.
  • Controleer of uw eindgebruikers over de rechten beschikken om de applicaties waarop u acties wilt uitvoeren, te ontvangen vanuit Workspace ONE UEM.

Uw applicatiegroep configureren

Configureer applicatiegroepen zodat u de groepen in uw netwerkbeleid kunt gebruiken. Voer ingestelde acties uit op toestellen die niet voldoen aan de regels voor installatie, bijwerken of verwijderen van applicaties. U kunt applicatiegroepen toewijzen aan organisatiegroepen. Wanneer u de applicatiegroep toewijst aan een bovenliggende organisatiegroep, nemen de onderliggende organisatiegroepen de configuraties van de applicatiegroep over.

  1. Navigeer naar Resources > Apps > Instellingen > Applicatiegroepen.
  2. Selecteer Groep toevoegen.
  3. Voltooi de opties op het tabblad Lijst.
    Instellingen Beschrijving
    Type Kies het type applicatiegroep dat u wilt creëren, afhankelijk van het gewenste resultaat: applicaties toestaan, blokkeren of verplicht maken.

    Selecteer MDM-applicatie als u aangepaste MDM-applicaties wilt groeperen. U moet deze optie inschakelen als u deze wilt weergeven in het menu.

    Platform Kies het platform voor de applicatiegroep.
    Naam Voer een schermnaam in voor de applicatiegroep in de Workspace ONE UEM console.
    Applicatie toevoegen Toon zoekvelden zodat u applicaties kunt zoeken om aan de applicatiegroep toe te voegen.
    Applicatienaam Voer de naam van een applicatie in om ernaar te zoeken in de App Store.
    Applicatie-ID De Applicatie-ID wordt automatisch weergegeven wanneer u de zoekfunctie gebruikt om te zoeken naar de applicatie in de App Store.
    Uitgever toevoegen — Windows Phone Vink dit keuzevakje aan zodat Windows Phone meerdere uitgevers aan applicatiegroepen toevoegt.

    Uitgevers zijn organisaties die applicaties creëren.

    Combineer deze optie met de items die u invoert in Applicatie toevoegen om uitzonderingen te creëren voor gedetailleerde witte en zwarte lijsten op Windows Phone.

  4. Selecteer Volgende om naar een controleprofiel van een applicatie te navigeren. U moet een applicatiecontroleprofiel aanmaken en toepassen voor Windows Phone. U kunt ook een applicatiecontroleprofiel voor Android-toestellen gebruiken.
  5. Vul de instellingen op het tabblad Toewijzing in.
    Beschrijving Voer het doel van de applicatiegroep in of andere nuttige informatie.
    Eigendomstype van het toestel Selecteer de eigendomstypen voor de toestellen waarop deze applicatiegroep moet worden toegepast.
    Model Selecteer specifieke modellen waarop deze applicatiegroep moet worden toegepast.
    Windows-versie Selecteer specifieke besturingssystemen waarop deze applicatiegroep moet worden toegepast.
    Beheerd door Bekijk of bewerk de organisatiegroep die de applicatiegroep moet beheren.
    Organisatiegroep Voeg nog meer organisatiegroepen toe waarop deze applicatiegroep moet worden toegepast.
    Gebruikersgroep Voeg gebruikersgroepen toe waarop deze applicatiegroep moet worden toegepast.
  6. Klik op Voltooien om de configuraties af te sluiten.

Uw applicatiegroepen en applicatiecontroleprofiel bewerken

U kunt uw applicatiegroepen en applicatiecontroleprofiel bewerken. Wanneer u applicatiegroepen voor Android en Windows Phone bewerkt, bewerk dan eerst de applicatiegroep en vervolgens het applicatieprofiel.

  1. Bewerk eerst de applicatiegroep.
  2. Bewerk het applicatieprofiel om er een nieuwe versie van te creëren.
  3. Sla de nieuwe versie van het applicatieprofiel op en publiceer deze op de toestellen.

Het systeem geeft de wijzigingen van de applicatiegroep pas weer als de nieuwe versie van het applicatiecontroleprofiel wordt geïmplementeerd op de toestellen.

Lijsten met vereiste applicaties creëren voor de AirWatch-catalogus

U kunt applicatiegroepen gebruiken om applicatiemeldingen naar applicatiecatalogi te pushen die op toestellen moeten worden geïnstalleerd.

  1. Navigeer naar Resources > Apps > Instellingen > Groepen toevoegen.
  2. Een applicatiegroep toevoegen of bewerken.
  3. Op het tabblad Lijst selecteert u het Type als Verplicht.
  4. Op het tabblad Toewijzing selecteert u de relevante organisatiegroepen en gebruikersgroepen waarin de toestellen zich bevinden waarnaar u de verplichte applicaties wilt sturen.

Aangepaste MDM-applicaties inschakelen voor uw applicatiegroepen

Aangepaste MDM-applicaties zijn een type applicatiegroep die specifiek zijn ontworpen om toestelinformatie, zoals locatie en verdachte status, te controleren. Stel Workspace ONE UEM in om custom MDM-applicaties te herkennen, zodat u ze aan speciale applicatiegroepen kunt toewijzen om informatie te verzamelen, problemen op te lossen en activa te controleren.

Workspace ONE UEM ondersteunt custom MDM-applicaties voor Android en Apple iOS. Upload deze applicaties als interne applicaties.

Schakel de functie Aangepaste MDM-applicaties gebruiken in, zodat u de optie in het applicatiegroepmenu in Workspace ONE UEM kunt selecteren. Workspace ONE UEM verwijdert custom MDM-applicaties niet wanneer het systeem deze applicaties op toestellen vindt. Deze applicaties zijn bedoeld voor audits, controle en probleemoplossing.

  1. Navigeer naar Groepen en instellingen > Alle instellingen > Toestellen en gebruikers > Algemeen > Inschrijving.
  2. Selecteer Aanpassingen.
  3. Schakel Aangepaste MDM-applicaties gebruiken in.

Netwerkregels voor uw applicatie

Met netwerkregels kunt u acties ondernemen tegen toestellen die zich niet houden aan de geaccepteerde standaarden. U kunt bijvoorbeeld netwerkregels creëren die kunnen vaststellen wanneer gebruikers verboden applicaties installeren. Daarna kunt u het systeem programmeren om automatisch maatregelen te nemen tegen toestellen die zich niet conform die regels gedragen.

U kunt netwerkbeleid creëren voor individuele applicaties maar ook voor meerdere applicatielijsten aan de hand van applicatiegroepen. Hoewel u niet verplicht bent om applicatiegroepen te gebruiken, kunnen deze groepen u in staat stellen om preventieve acties te ondernemen voor grote aantallen niet-conforme toestellen.

Voorbeeld van een netwerkbeleidsactie: de beleidsengine ontdekt een gebruiker met een applicatie (bijvoorbeeld een game) die op een weigeringslijst staat. U kunt het systeem programmeren om verschillende stappen te ondernemen:
  • Een pushbericht verzenden naar de gebruiker om te vragen de applicatie te verwijderen.
  • Bepaalde functies zoals Wi-Fi, VPN of e-mailprofielen van het toestel verwijderen.
  • Specifieke beheerde applicatie en profielen verwijderen.
  • Een laatste e-mailmelding naar de gebruiker versturen waarbij u ook IT-beveiliging en Personeelszaken betrekt.

U kunt netwerkbeleid voor applicatielijsten voor verschillende platformen opstellen dat acties onderneemt tegen niet-conforme toestellen.

Ondersteunde platformen voor netwerkbeleid en applicaties:

  • Android
  • Apple iOS
  • macOS

Netwerkbeleid voor applicaties ontwikkelen

Voeg netwerkregels toe die met applicatiegroepen samenwerken om een extra beveiligingslaag aan uw mobiele netwerk toe te voegen. Door netwerkbeleid te configureren geeft u de Workspace ONE UEM-beleidsengine de mogelijkheid om acties te ondernemen op niet-conforme toestellen.

  1. Navigeer naar Toestellen > Netwerkregels > Lijstweergave. Selecteer Toevoegen.
  2. Selecteer het platform, Android, Apple iOS of Apple macOS.
  3. Selecteer Applicatielijst op het tabblad Regels.
  4. Selecteer de opties die overeenkomen met de door uw organisatie gewenste doelen.
    Tabel 3.
    Instelling Beschrijving
    Bevat Voeg de applicatie-ID toe om de beleids-engine in te stellen zodat het de aanwezigheid ervan op toestellen kan monitoren.

    Als het programma vaststelt dat de applicatie geïnstalleerd is, zal het programma de acties uitvoeren die geconfigureerd zijn voor deze regel.

    Bevat niet Voeg de applicatie-ID toe om de beleids-engine in te stellen zodat het de aanwezigheid ervan op toestellen kan monitoren.

    Als het programma vaststelt dat de applicatie niet geïnstalleerd is, zal het programma de acties uitvoeren die geconfigureerd zijn voor deze regel.

    Bevat applicatie(s) van de zwarte lijst Als het programma vaststelt dat applicaties van de zwarte lijst op toestellen geïnstalleerd zijn, zal het programma de acties uitvoeren die geconfigureerd zijn voor deze regel.
    Bevat applicatie(s) op de zwarte lijst van de leverancier Voeg applicaties toe uit uw scansysteem voor app-reputaties om de beleids-engine te configureren zodat het de aanwezigheid ervan op toestellen kan monitoren.

    Als het programma vaststelt dat applicaties van deze specifieke zwarte lijst op toestellen geïnstalleerd zijn, zal het programma de acties uitvoeren die geconfigureerd zijn voor deze regel.

    Gebruik deze optie als u uw App Scanning-service met Workspace ONE UEM integreert. U moet deze optie inschakelen zodat het weergegeven wordt in het menu. Dit is een geavanceerde functie voor applicatiebeheer waarvoor u over de juiste SKU moet beschikken.

    Applicaties die niet op de witte lijst staan gevonden Als het programma vaststelt dat applicaties die niet op de witte lijst staan op toestellen geïnstalleerd zijn, zal het programma de acties uitvoeren die geconfigureerd zijn voor deze regel.
    Bevat niet de vereiste applicatie(s) Als het programma vaststelt dat toestellen waaraan deze netwerkregel is toegewezen applicaties uit de groep met vereiste applicaties niet hebben, zal het de acties uitvoeren die geconfigureerd zijn voor deze regel.
    Bevat niet de juiste versie Voeg de applicatie-ID en de applicatieversie toe en de beleids-eingine houdt bij of de juiste versie van de applicatie op de toestellen geïnstalleerd is.

    Als het programma vaststelt dat de verkeerde versie geïnstalleerd is, zal het programma de acties uitvoeren die geconfigureerd zijn voor deze regel.

    U kunt de Applicatie-ID verkrijgen via de App Store of via het record in de Workspace ONE UEM console. Navigeer naar Resources > Apps > Lijstweergave > Intern of Publiek. Selecteer Bekijken in het actiemenu van de applicatie en bekijk de Applicatie-ID.

  5. Selecteer het tabblad Acties om acties te definiëren die uitgevoerd zullen worden als een gebruiker zich niet aan de regels houdt. De eerste actie is onmiddellijk, maar het is niet verplicht deze actie te configureren. U kunt het gebruiken of verwijderen. U kunt de directe actie aanvullen met of vervangen door verdere, vertraagde acties via de functie Escalatie toevoegen.
    Tabel 4.
    Instellingen Beschrijving
    Als niet conform markeren Vink dit keuzevakje aan om toestellen te markeren die deze regel overtreden. Weest u zich ervan bewust dat, afhankelijk van de escalaties, een toestel dat als niet-conform is gemarkeerd door het systeem kan worden geblokkeerd, zodat het geen toegang tot resources heeft. Beheerders kunnen dan echter ook geen actie meer op dat toestel ondernemen.

    Vink deze optie niet aan als u het toestel niet direct in quarantaine wilt plaatsen.

    Applicatie Selecteer deze optie om de beheerde applicatie te verwijderen.
    Commando Selecteer dit om een commando te versturen om het toestel zich bij de console te laten melden, de bedrijfsgegevens te wissen of om de instellingen voor roamen te wijzigen.
    E-mail Selecteer dit om e-mail op het niet-conforme toestel te blokkeren.
    Op de hoogte stellen Selecteer dit om een niet-conform toestel via e-mail, SMS of pushbericht op de hoogte stellen van de situatie. Hiervoor gebruikt u uw standaardsjabloon.

    U kunt ook een notitie over de overtreding van de netwerkregel naar een beheerder sturen.

    Profiel Selecteer dit om Workspace ONE UEM-profielen te gebruik voor het beperken van toestelfuncties.
  6. Ga naar het tabblad Toewijzing om de netwerkregel toe te passen op smart groups.
    Instelling Beschrijving
    Beheerd door Bekijk of bewerk de organisatiegroep die de netwerkregel moet beheren en controleren.
    Toegewezen groepen Begin met typen om smart groups toe te voegen waarop de regel moet worden toegepast.
    Uitsluitingen Selecteer Ja om groepen van de regel uit te sluiten.
    Toesteltoewijzing bekijken Selecteer dit om te zien welke toestellen door de regel beïnvloed worden.
  7. Ga naar het tabblad Samenvatting om de regel van een naam en beschrijving te voorzien.
  8. Klik op Voltooien en Activeren om de nieuwe regel toe te passen.