Правила и действия политик соответствия
Если устройства не соответствуют вашим политикам, вы можете применить правила и выполнить действия. Этот список не зависит от платформы.
Чтобы узнать, какие правила и действия применяются к определенному устройству, перейдите в раздел Устройства > Политики соответствия > Список нажмите кнопку Добавьте и выберите платформу, чтобы просмотреть все правила и действия, которые можно применить к этой платформе.
Правила
| Настройка | Описание |
|---|---|
| Список приложений | Обнаруживает конкретные запрещенные приложения, установленные на устройстве, или все приложения, которые не разрешены. Можно либо запретить отдельные приложения (например, приложения социальных сетей) и приложения, внесенные поставщиками в запрещенный список, либо разрешить только указанные приложения. iOS: Из-за способа отображения статуса приложения на устройствах iOS приложение получает статус «Установлено» только после полного завершения процесса установки. Поэтому, если вы создаете правило соответствия, которое измеряет список приложений для устройств iOS, рассмотрите возможность применения действия, которое не приводит к уничтожению данных. Например, это может быть корпоративная очистка данных или очистка устройства. macOS: На устройствах macOS убедитесь, что выполнена следующая процедура, чтобы использовать встроенный образец MDM, содержащий список установленных приложений. 1. Конфигурация настроек конфиденциальности. Выберите Настройки > Устройства и пользователи > Общие > Конфиденциальность, а затем в разделе «Личные приложения» выберите Собрать и отобразить или Собрать, не отображать для назначенных устройств. 2. При определении политики введите правильный «Идентификатор пакета приложений». Перейдите в раздел Политики утверждения > Список > Добавить. На вкладке Правила текстовое поле «Идентификатор приложения» справа должно содержать «Идентификатор нативного приложения» для целевого приложения, а не идентификатор пакета Workspace ONE, используемого при развертывании приложения, который можно определить по синтаксису com.vmw.macos.{Package_Name}. Не используйте этот пакет, если хотите применить политику соответствия для списка приложений для устройств macOS. Вместо этого заполните это текстовое поле на вкладке Правила идентификатора нативного приложения, который можно найти в разделе Сведения об устройстве на целевом устройстве macOS, выберите Приложения, найдите имя приложения в списке и щелкните его один раз для отображения сведений о приложении, а затем используйте отображаемый «Идентификатор приложения». Вы также можете получить этот идентификатор приложения, проверив приложение на macOS устройстве. |
| Статус антивирусной защиты | Определяет, запущено ли антивирусное приложение. Модуль политик соответствия отслеживает защиту антивирусом в центре поддержки. Windows поддерживает все сторонние антивирусные решения. |
| Мобильные данные/сообщение/голосовая связь | Обнаруживает превышение устройством пользователя определенного порогового значения в назначенном плане телекоммуникаций. Workspace ONE UEM может только отправить уведомление, когда использование превышает предварительно заданное пороговое значение. UEM не может ограничить фактическое использование. Чтобы это правило политики работало должным образом, необходимо включить расширенную телефонную связь, а затем назначить этот телефонный план устройству. |
| Атрибут соответствия | Сравнивает ключи атрибутов устройства со средствами защиты конечных точек от других производителей, возвращая логическое значение. Это значение характеризует соответствие устройства нормативным требованиям. Доступно только для устройств под управлением Windows Desktop. |
| Статус уязвимости | Обнаруживает наличие уязвимости устройства. Позволяет запретить использование устройств с отключенной защитой и с административным доступом, зарегистрированных через Workspace ONE UEM. На таких устройствах отключены встроенные настройки безопасности, поэтому с них в вашу сеть могут попасть вредоносные программы, открыв несанкционированный доступ к ресурсам вашего предприятия. Наблюдение за статусом уязвимости устройства особенно важно в BYOD-средах, где сотрудники используют различные версии устройств и операционных систем. |
| Последнее подключение устройства | Обнаруживает устройства, которые не подключились к серверу за выделенный промежуток времени. |
| Производитель устройства | Определяет производителя, позволяя идентифицировать конкретные устройства Android. Можно отдельно запретить определенных производителей или разрешить только указанных. |
| Шифрование | Определяет, включено ли шифрование на устройстве. Windows поддерживает все сторонние решения для шифрования. |
| Состояние брандмауэра | Определяет, запущен ли брандмауэр. Модуль политик соответствия запрашивает защиту брандмауэром в центре поддержки. Windows поддерживает все брандмауэры сторонних производителей. |
| Свободное место на диске | Обнаруживает свободное место на жестком диске устройства. |
| Геозона iBeacon | Определяет, находится ли iOS-устройство в зоне группы iBeacon. |
| Окончание срока действия интерактивного профиля | Обнаруживает профили устройств с истекающими сроками действия в определенный промежуток времени. |
| Последнее сканирование на уязвимость | Обнаруживает устройства, не сообщившие о статусе уязвимости в течение определенного периода времени. |
| Принятие условий использования MDM | Определяет устройства, на которых пользователь не принял текущие условия использования MDM в течение указанного периода времени. |
| Модель | Определяет модель устройства. Можно отдельно запретить определенные модели или разрешить только указанные. |
| Версия ОС | Определяет версию ОС устройства. Можно запретить определенные версии ОС или разрешить только указанные. |
| Секретный код: | Обнаруживает наличие секретного кода для устройства. |
| Роуминг | Определяет, находится ли устройство в роуминге. Доступно только для пользователей расширенного профиля мобильной связи. |
| Использование трафика в роуминге | Измеряет использование трафика в роуминге в заданных единицах (МБ или ГБ). Доступно только для пользователей расширенного профиля мобильной связи. |
| Версия исправления безопасности | Определяет дату последнего исправления безопасности от Google для устройств Android. Применимо только для Android версии 6.0 и позже. |
| Замена SIM карты | Определяет, заменялась ли SIM-карта. Доступно только для пользователей расширенного профиля мобильной связи. |
| Защита целостности системы | Определяет статус проприетарной защиты системных файлов и каталогов macOS от изменений процессами без определенного права, даже при их выполнении привилегированным пользователем (root) или пользователем с привилегиями root. |
| Статус автоматического обновления Windows | Определяет, было ли активировано автоматическое обновление Windows. Модуль политик соответствия отслеживает обновления в центре поддержки. Если решение от сторонних производителей не отображается в центре поддержки, оно помечается как неотслеживаемое. |
| Проверка подлинности копии Windows | Проверяет подлинность установленной на устройстве копии Windows. |
Действия
Приложение
- Заблокировать/удалить управляемое приложение
-
Заблокировать/удалить все управляемые приложения
Если действие «Заблокировать/удалить приложение» применяется к несоответствующее устройству, Workspace ONE UEM Console удаляет приложения из списка и запускает 2-часовой таймер до следующей возможной синхронизации устройств. Каждый раз при синхронизации устройства рассчитываются приложения для добавления и удаления с учетом активных политик соответствия. Если при синхронизации устройства через двухчасовой таймер обнаруживается то же приложение, то это приложение удаляется.
В течение этого двухчасового периода пользователь может обойти действие по проверке соответствия нормативным требованиям и переустановить заблокированные приложения. Например, если они загружают файл APK неопубликованных приложений или устанавливают общедоступное приложение из Play Store, действие по проверке соответствия может быть не запущено. Чтобы запретить пользователю установку приложений рекомендуем создать профиль устройства.
Существует два способа сделать это при создании профиля устройства на странице Ресурсы > Профили и базовые показатели > Профили.
- Только для Android — добавьте полезные данные Управление приложениями, чтобы деактивировать доступ к запрещенным приложениям. Чтобы эти полезные данные работали, необходимо создать группу запрещенного списка в приложении Ресурсы > Приложения > Настройки > Группы приложений и назначить ее нужному устройству.
- Добавьте полезные данные Ограничения, отключив ползунок для параметра Разрешить установку приложений.
Команда
- Изменить настройки роуминга
- Очистка корпоративных данных — не позволяет доставлять профили, пока устройство не сообщит статус, соответствующий требованиям.
- Корпоративный сброс
- Обновления ОС — доступно для устройств с iOS версий с 9 по 10.2.1, если они находятся под управлением и зарегистрированы с помощью DEP. Для устройств с iOS 10.3 и более поздними версиями требуется только то, чтобы они находились под управлением.
- Запросить возврат устройства
-
Отозвать маркеры Azure — это действие применяется ко всем устройствам конкретного пользователя, отключая любое приложение, использующее маркер Azure.
- Для этого действия требуется активировать интеграцию Azure AD и включить параметр «Использовать Azure AD для служб идентификации». Оба параметра доступны в разделе Настройки > Интеграция предприятий > Службы каталогов на вкладке Сервер.
-
Чтобы выполнить отзыв маркера Azure, Основное имя пользователя является обязательным полем учетной записи пользователя, поэтому используйте один из следующих способов, чтобы убедиться, что в поле указано правильное значение.
- Перейдите в раздел Аккаунты > Пользователи > Вид спискаи измените имя субъекта пользователя целевой учетной записи Основное имя пользователя (на вкладке Дополнительно) с тем же адресом электронной почты, который они используют для входа в учетную запись Azure.
ИЛИ 1. Выберите Группы и настройки > Все настройки > Система > Интеграция предприятий > Службы каталогов, затем перейдите на вкладку Пользователь и выберите раскрывающийся раздел Дополнительно. 2. Прокрутите страницу вниз до Основное имя пользователя и введите значение подстановки, соответствующее адресу электронной почты, используемому для входа в учетную запись Azure.
Эл. почта
- Блокировать эл. почту
Уведомление
- Отправить электронное письмо пользователю — включает возможность отправлять копию сообщения руководителю пользователя.
- Отправить SMS на устройство
- Отправить push-уведомление на устройство
- Отправить эл. письмо администратору
Профиль
- Установить профиль соответствия.
- Заблокировать/удалить профиль
- Заблокировать/удалить тип профиля
- Заблокировать/удалить все профили — не позволяют доставлять профили, пока устройство не сообщит статус, соответствующий требованиям.
