Для защиты ресурсов в среде Workspace ONE UEM можно использовать группы приложений и политики соответствия. Группы приложений определяют разрешенные и запрещенные приложения, чтобы политики соответствия могли действовать на устройствах, которые не следуют стандартам защиты.

Группы приложений можно настроить для нескольких платформ, но вы не можете комбинировать их с политиками соответствия. Для тех платформ, которые вы не можете комбинировать с политиками соответствия, примените профиль управления приложениями.

Платформа группы приложений Работает с политиками соответствия Работает с профилями управления приложениями
Android Дa Дa
Apple iOS Дa Нет
Windows Phone Нет Дa

Настройка групп приложений не требуется. Тем не менее группы приложений повышают эффективность и охват политик соответствия с минимальными конфигурациями.

Взаимосвязи между группами приложений и политиками соответствия

Группа приложений Описание Политики соответствия Действие
Белый список Управляемые устройства могут устанавливать эти приложения из AirWatch Catalog.
Если приложение не в списке, оно не является разрешенным на управляемых устройствах.
Содержит приложения не из белого списка Модуль соответствия определяет приложения, установленные на устройства, которые не включены в белый список приложений, и применяет действия, настроенные в Правилах соответствия.
Черный список Управляемые устройства не устанавливают эти приложения с AirWatch Catalog.
Если приложение находится в запрещенном списке, оно не разрешено на управляемых устройствах.
Содержит приложения из черного списка Модуль соответствия определяет приложения, установленные на устройства, которые включены в черный список приложений, и применяет действия, настроенные в Правилах соответствия.
Обязательные Управляемые устройства должны устанавливать эти приложения с AirWatch Catalog.
Если приложение находится в этом списке, пользователи должны установить его на управляемые устройства.
Не содержит обязательных приложений Модуль соответствия определяет приложения, включенные в обязательный список, но не установленные на устройства, и применяет действия, настроенные в Правилах соответствия.

Примечание. Приложение, для которого в UEM Console настроен режим автоматического развертывания, не развертывается автоматически в следующих случаях:

  • Добавление приложения в группу приложений из черного списка, назначенную устройству.
  • Исключение приложения из группы приложений из белого списка, назначенную устройству.

Влияние настроек конфиденциальности на профиль соответствия для списка приложений и профиль управления приложениями

Если в настройках конфиденциальности в Workspace ONE UEM Console для личного приложения указано Не собирать, то система не собирает данные о личных приложениях с устройств. Это значит, что данные о личных приложениях конечных пользователей не передаются с их устройств.

При настройке конфиденциальности должны быть соблюдены следующие предупреждения, влияющие на профиль соответствия для списка приложений и профиль управления приложениями.

  • Политика соответствия для списка приложений проверяет, есть ли на устройстве соответствующие приложения (черный список, белый список, необходимые приложения). Если система не запрашивает список приложений, она может не проверять наличие таких приложений. В результате устройства, содержащие некоторые приложения из черного списка, не помечаются как «не соответствует нормативным требованиям». Аналогично устройства, которые содержат определенные необходимые (личные) приложения, помечаются как «не соответствует нормативным требованиям».
  • Профиль управления приложениями не применяет действия к приложениям из черного списка на устройствах, в которых для конфиденциальности личных приложений установлен режим Не собирать и применяет к остальным устройствам, для которых собираются сведения о персональных приложениях.

Если необходимо выполнить действия в списке личных приложений конечного пользователя, сохраните параметры конфиденциальности личных приложений для конкретного типа принадлежности устройства во всех ОГ и проверьте следующее.

  • Убедитесь, что в конфигурации не установлено значение Не собирать. Если необходимо обеспечить конфиденциальность конечных пользователей и обнаружить вредоносные приложения, задайте в конфигурации конфиденциальности значение Собирать, но не отображать.
  • Убедитесь, что у устройств конечного пользователя есть права на получение приложений, с которыми вы собираетесь выполнять действия, от Workspace ONE UEM.

Настройка группы приложений

Настраивайте группы приложений таким образом, чтобы использовать эти группы в политиках соответствия. Примените заданные действия для устройств, которые не соответствуют установке, обновлению или удалению приложений. Группы приложений назначаются организационным группам. При назначении группы приложений родительской организационной группе, дочерние организационные группы наследуют настройки группы приложений.

  1. Перейдите в раздел Ресурсы > Приложения > Настройки > Группы приложений.

  2. Выберите Добавить группу.

  3. Выберите опции на вкладке Список.

    Настройки Описание
    Тип Выберите тип группы приложений, которую вы хотите создать, в зависимости от желаемого результата: разрешать приложения, блокировать приложения или требовать установку приложений.
    Чтобы сгруппировать настраиваемые MDM-приложения, выберите раздел «Приложение MDM». Необходимо включить эту опцию, чтобы она отображалась в меню.
    Платформа Выберите платформу для группы приложений.
    Имя Введите название для группы приложений, которое будет отображено на консоли Workspace ONE UEM Console.
    Добавить приложение Отобразите поля, позволяющие вам выполнять поиск приложений, чтобы добавить их в группу приложений.
    Название приложения Введите название приложения, чтобы выполнить поиск приложения в магазине приложений.
    ID приложения Просмотрите строку, которая автоматически заполняется, когда вы используете функцию поиска для поиска приложения в магазине приложений.
    Добавить издателя — Windows Phone Выберите "Добавить издателя" для Windows Phone, чтобы добавить несколько издателей в группы приложений. Издатели — это организации, создающие приложения.
    Объедините этот параметр с записью «Добавить приложение», чтобы создать исключения для записей издателей для подробных разрешенных и запрещенных списков для Windows Phone.
  4. Выберите Дальше, чтобы перейти на профиль управления устройством. Вы должны заполнить и применить профиль управления устройством для Windows Phone. Вы можете использовать профиль управления приложениями для устройств Android.

  5. Настройте параметры на вкладке Назначение.

    Настройки Описание
    Описание Введите цель группы приложений или любую другую полезную информацию.
    Тип владения устройством Выберите тип устройств, к которым применяется группа приложений.
    Модель Выберите определенные модели устройств, к которым применяется группа приложений.
    Операционная система Выберите операционные системы, к которым применяется группа приложений.
    Под управлением Просмотрите или измените орг. группу, которая управляет группой приложений.
    Организационная группа Добавьте орг. группы, к которым применяется группа приложений.
    Группа пользователей Добавьте группы пользователей, к которым применяется группа приложений.
  6. Нажмите Завершить, чтобы завершить настройки.

Изменение групп приложений и профиля управления приложениями

Можно изменять группы приложений и профиль управления приложениями. При изменении групп приложений для Android и Windows Phone сначала отредактируйте группу приложений, а затем профиль приложения.

  1. Сначала измените группу приложений.
  2. Измените профиль приложения для создания его новой версии.
  3. Сохраните и опубликуйте новую версию профиля приложения на устройствах. Система не будет отражать изменения для группы приложений, пока новая версия профиля управления приложениями не будет развернута на устройствах.

Создание обязательных списков для каталога AirWatch

Используйте группы приложений, чтобы распространить уведомления в каталоги приложений о приложениях, которые устройства должны установить.

  1. Перейдите в раздел Ресурсы > Приложения > Настройки > Группы приложений.
  2. Добавьте или отредактируйте группу приложений.
  3. На вкладке Список выберите Тип как Обязательный.
  4. На вкладке Назначения выберите соответствующую организационную группу и группу пользователей, которая включает устройства, на которые вы хотите отправить обязательные приложения.

Включение настраиваемых приложений MDM для групп приложений

Кастомизируемые приложения MDM представляют собой тип группы приложений, и они настраиваются для отслеживания информации об устройстве, например статус местоположения и джейлбрейка. Включите Workspace ONE UEM для распознавания настраиваемых приложений MDM, чтобы назначить их специальным группам приложений для сбора информации, устранения неполадок и отслеживания ресурсов. Workspace ONE UEM поддерживает кастомизируемые приложения MDM, созданные для платформ Android и Apple iOS. Отправьте их как внутренние приложения.

Включите параметр «Использовать настраиваемые приложения MDM», чтобы вы могли выбрать этот параметр в меню группы приложений Workspace ONE UEM. Workspace ONE UEM удаляет кастомизируемые MDM-приложения, когда модуль соответствия обнаруживает их на устройствах. Эти приложения предназначены для аудита, отслеживания и устранения неполадок.

  1. Откройте Группы и настройки > Все настройки > Устройства и пользователи > Общее > Регистрация.
  2. Выберите вкладку Настройка.
  3. Включите Использовать кастомизируемые MDM-приложения.

Политики соответствия для приложения

Политики соответствия позволяют вам работать на устройствах, которые не соответствуют установленным стандартам. Например, вы можете создать политики соответствия, которые определяют, когда пользователи устанавливают запрещенные приложения. Затем настроить автоматическую работу системы на устройствах, не соответствующих требованиям.

Вы можете создавать политики соответствия для отдельных приложений, используя раздел Список соответствия, а также для списка приложений, используя группы приложений. Хотя вам не обязательно использовать группы приложений, эти группы дают возможность предпринимать профилактические действия на большом количестве устройств вне соответствия.

Примеры действий политики соответствия Модуль соответствия определяет пользователя с приложением игрового типа, которое принадлежит к списку запрещенных приложений. Вы можете настроить модуль соответствия, чтобы выполнить разные действия.

  • Отправить уведомление пользователю с просьбой удалить приложение.
  • Отключить на устройстве определенные функции устройства, например Wi-Fi, VPN или профили эл. почты.
  • Удалить определенные управляемые приложения и профили.
  • Отправить последнее письмо пользователю с копиями в отдел IT-безопасности и отдел кадров.

Вы можете настроить политики соответствия для списка приложений для нескольких платформ, которые действуют на устройствах, не соответствующих требованиям.

Поддерживаемые платформы для политик соответствия и приложений:

  • Android
  • Apple iOS
  • macOS

Составление политики соответствия для приложений

Добавьте политики соответствия, которые работают с группами приложений, чтобы добавить уровень безопасности в мобильную сеть. настройки политик позволяют модулю соответствия Workspace ONE UEM применять заданные действия на несоответствующих устройствах.

  1. Перейдите в раздел Устройства > Политики соответствия > Список. Нажмите Добавить.

  2. Выберите платформу Android, Apple iOS или Apple macOS.

  3. Выберите Список приложений на вкладке Правила.

  4. Выберите параметры, которые отражают требуемые цели соответствия.

    Настройка Описание
    Содержит Добавьте идентификатор приложения, чтобы настроить модуль соответствия для мониторинга его присутствия на устройствах.
    Если модуль обнаруживает, что приложение установлено на устройства, которые назначены правилу соответствия, модуль выполняет действия согласно этому правилу.
    Не содержит Добавьте идентификатор приложения, чтобы настроить модуль соответствия для мониторинга его присутствия на устройствах.
    Если модуль обнаруживает, что приложение не установлено на устройства, которые назначены правилу соответствия, модуль выполняет действия согласно этому правилу.
    Содержит приложения из черного списка Если модуль находит приложение из черного списка на устройствах, которые назначены в правило соответствия, модуль выполняет действия согласно этому правилу.
    Содержит приложения поставщика из черного списка Добавьте приложения, чтобы настроить модуль соответствия для мониторинга их присутствия на устройствах.
    Если модуль обнаруживает, что приложение принадлежит к списку запрещенных приложений на устройствах, которые назначены правилу соответствия, модуль выполняет действия согласно этому правилу.
    Используйте этот вариант при интеграции службы сканирования приложений с Workspace ONE UEM. Необходимо включить эту опцию, чтобы она отображалась в меню. Это дополнительная функция управления приложениями, для которой необходим правильный SKU.
    Содержит приложения не из белого списка Если модуль находит приложение не из белого списка на устройствах, которые назначены в правило соответствия, модуль выполняет действия согласно этому правилу.
    Не содержит обязательных приложений Если модуль обнаруживает, что на устройствах с назначенным правилом соответствия отсутствуют приложения из группы обязательных приложений, модуль выполняет действия согласно правилу.
    Не содержит версии Добавьте идентификатор приложения и версию приложения. Модуль соответствия отслеживает устройство, чтобы убедиться, что на устройствах установлена правильная версия приложения.
    Если модуль обнаруживает, что на устройства, которые назначены правилу соответствия, установлена неправильная версия приложения, модуль выполняет действия согласно правилу.

    Идентификатор приложения можно получить из магазина приложений или из записи на консоли Workspace ONE UEM Console. Перейдите в раздел Ресурсы > Приложения > Список > Внутренние или Общедоступные. Выберите Смотреть из меню действий для приложений, затем найдите сведения по ID приложения.

  5. Выберите вкладку Действия для установки выполнимых действий по эскалации, если пользователь не придерживается правила соответствия. Первое действие выполняется немедленно, однако его настройка не является обязательной. Используйте его или удалите. Вы можете ускорить или заменить немедленное действие с помощью отложенных действий, используя функцию Добавить эскалации.

    Настройки Описание
    Отметить как несоответствующее Включите флажок для добавления тегов устройствам, которые нарушают это правило. После того как устройство было отмечено флажком как несоответствующее и в зависимости от действий эскалации, система может заблокировать доступ устройства к ресурсам, а также заблокировать выполнения действий администраторами на устройстве.
    Отключите этот параметр, если не требуется немедленно помещать устройство в карантин.
    Приложение Выберите, чтобы удалить управляемое приложение.
    Команда Выберите, чтобы настроить систему для отправки команды на устройство, зайти на консоль, выполнить корпоративную очистку или изменить настройки роуминга.
    Эл. почта Выберите, чтобы заблокировать эл. почту на несоответствующих устройствах.
    Уведомление Выберите, чтобы оповещать несоответствующие устройства с помощью эл. почты, SMS-сообщений или push-уведомлений, используя шаблон по умолчанию.
    Также можно отправить администратору сообщение о нарушении правила.
    Профиль Выберите, чтобы использовать профили Workspace ONE UEM для ограничения функциональности на устройстве.
  6. Выберите вкладку Назначение, чтобы назначить правило соответствия в смарт-группу.

    Настройка Описание
    Под управлением Просмотрите или измените имя орг. группы, которая управляет правилом и контролирует его.
    Назначенные группы Начните печатать, чтобы добавить смарт-группы, к которым применимо правило.
    Исключения Выберите "Да", чтобы исключить группы из правила.
    Просмотр назначения устройств Выберите, чтобы просмотреть устройства, на которые распространяется это правило.
  7. Выберите вкладку Сводка, чтобы назвать правило и дать его короткое описание.

  8. Нажмите Завершить и активировать, чтобы новое правило вступило в силу.

check-circle-line exclamation-circle-line close-line
Scroll to top icon