Если устройства не соответствуют вашим политикам, вы можете применить правила и выполнить действия. Этот список не зависит от платформы. Перейдите в раздел Устройства > Политики соответствия > Список, нажмите кнопку Добавить и выберите платформу, чтобы просмотреть все правила и действия, которые можно задать для конкретной платформы.
Правила
| Настройка | Описание |
|---|---|
| Список приложений | Обнаруживает конкретные запрещенные приложения, установленные на устройстве, или все приложения, которые не разрешены. Можно запретить отдельные приложения (например, приложения социальных сетей) и приложения, добавленные поставщиками в запрещенный список или разрешить только выбранные приложения. Вследствие особенностей отображения статуса приложения на устройствах iOS приложение получает статус «Установлено» только после полного завершения процесса установки. Поэтому, если вы создаете правило соответствия, которое измеряет список приложений для устройств iOS, рассмотрите возможность применения действия, которое не приводит к уничтожению данных. Например, это может быть корпоративная очистка данных или очистка устройства. |
| Статус антивирусной защиты | Определяет, запущена ли антивирусная программа. Модуль политик соответствия отслеживает защиту антивирусом в центре поддержки. Windows поддерживает все сторонние антивирусные решения. |
| Мобильные данные/сообщение/голосовая связь | Обнаруживает превышение устройством пользователя определенного порогового значения в назначенном плане мобильной связи. Workspace ONE UEM может предоставлять только уведомления, когда использование превышает предварительно заданное пороговое значение. UEM не может ограничить фактическое использование. Чтобы это правило политики функционировало надлежащим образом, необходимо включить Расширенный профиль мобильной связи и назначить этот план мобильной связи устройству. |
| Атрибут соответствия | Сравнивает ключи атрибутов устройства со средствами защиты конечных точек от других производителей, возвращая логическое значение. Это значение характеризует соответствие устройства нормативным требованиям. Доступно только для устройств под управлением Windows Desktop. |
| Статус уязвимости | Обнаруживает наличие уязвимости устройства. Позволяет запретить использование устройств со снятой защитой или с административным доступом, зарегистрированных с помощью Workspace ONE UEM. На таких устройствах отключены встроенные настройки безопасности, поэтому с них в вашу сеть могут попасть вредоносные программы, открыв несанкционированный доступ к ресурсам вашего предприятия. Наблюдение за статусом уязвимости устройства особенно важно в BYOD-средах, где сотрудники используют различные версии устройств и операционных систем. |
| Последнее подключение устройства | Обнаруживает устройства, которые не подключились к серверу за выделенный промежуток времени. |
| Производитель устройства | Определяет производителя, позволяя идентифицировать конкретные устройства Android. Можно отдельно запретить определенных производителей или разрешить только указанных. |
| Шифрование | Определяет, включено ли шифрование на устройстве. Windows поддерживает все сторонние решения для шифрования. |
| Состояние брандмауэра | Определяет, запущен ли брандмауэр. Модуль политик соответствия запрашивает защиту брандмауэром в центре поддержки. Windows поддерживает все брандмауэры сторонних производителей. |
| Свободное место на диске | Обнаруживает свободное место на жестком диске устройства. |
| Геозона iBeacon | Определяет, находится ли iOS-устройство в зоне группы iBeacon. |
| Окончание срока действия интерактивного профиля | Обнаруживает профили устройств с истекающими сроками действия в определенный промежуток времени. |
| Последнее сканирование на уязвимость | Обнаруживает устройства, не сообщившие о статусе уязвимости в течение определенного периода времени. |
| Принятие условий использования MDM | Определяет устройства, на которых пользователь не принял текущие условия использования MDM в течение указанного периода времени. |
| Модель | Определяет модель устройства. Можно отдельно запретить определенные модели или разрешить только указанные. |
| Версия ОС | Определяет версию ОС устройства. Можно запретить определенные версии ОС или разрешить только указанные. |
| Секретный код: | Обнаруживает наличие секретного кода для устройства. |
| Роуминг | Определяет, находится ли устройство в роуминге. Доступно только для пользователей расширенного профиля мобильной связи. |
| Использование трафика в роуминге | Измеряет использование трафика в роуминге в заданных единицах (МБ или ГБ). Доступно только для пользователей расширенного профиля мобильной связи. |
| Версия исправления безопасности | Определяет дату последнего исправления безопасности от Google для устройств Android. Применимо только для Android версии 6.0 и позже. |
| Замена SIM карты | Определяет, заменялась ли SIM-карта. Доступно только для пользователей расширенного профиля мобильной связи. |
| Защита целостности системы | Определяет статус проприетарной защиты системных файлов и каталогов macOS от изменений процессами без определенного права, даже при их выполнении привилегированным пользователем (root) или пользователем с привилегиями root. |
| Статус автоматического обновления Windows | Определяет, было ли активировано автоматическое обновление Windows. Модуль политик соответствия отслеживает обновления в центре поддержки. Если решение от сторонних производителей не отображается в центре поддержки, оно помечается как неотслеживаемое. |
| Проверка подлинности копии Windows | Проверяет подлинность установленной на устройстве копии Windows. |
Действия
Приложение
-
Заблокировать/удалить управляемое приложение
-
Заблокировать/удалить все управляемые приложения
Если действие «Заблокировать/удалить приложение» применяется к несоответствующее устройству, Workspace ONE UEM Console удаляет приложения из списка и запускает 2-часовой таймер до следующей возможной синхронизации устройств. Каждый раз при синхронизации устройства рассчитываются приложения для добавления и удаления с учетом активных политик соответствия. Если при синхронизации устройства через 2-часовой таймер обнаруживается то же приложение, то это приложение удаляется.
В течение этого 2-часового периода пользователь может обойти действие по проверке соответствия нормативным требованиям и переустановить заблокированные приложения. Например, если они загружают файл APK неопубликованных приложений или устанавливают общедоступное приложение из Play Store, действие по проверке соответствия не может быть запущено. Чтобы запретить пользователю установку приложений рекомендуем создать профиль устройства.
Существует два способа сделать это при создании профиля устройства на странице Ресурсы > Профили и базовые показатели > Профили.
- Только для Android — добавьте полезные данные Управление приложениями, чтобы деактивировать доступ к запрещенным приложениям. Чтобы эти полезные данные работали, необходимо создать группу запрещенного списка в приложении Ресурсы > Приложения > Настройки > Группы приложений и назначить ее нужному устройству.
- Добавьте полезные данные Ограничения, отключив ползунок для параметра Разрешить установку приложений.
Команда
- Изменить настройки роуминга
- Очистка корпоративных данных — не позволяет доставлять профили, пока устройство не сообщит статус, соответствующий требованиям.
- Корпоративный сброс
- Обновления ОС — доступно для устройств с iOS версий с 9 по 10.2.1, если они находятся под управлением и зарегистрированы с помощью DEP. Для устройств с iOS 10.3 и более поздними версиями требуется только то, чтобы они находились под управлением.
- Запросить возврат устройства
- Отозвать маркеры Azure — необходимо включить параметр «Использовать Azure AD для служб идентификации» в разделе Настройки > Система > Интеграция предприятий > Службы каталогов > Дополнительно. Применяется ко всем устройствам пользователя, отключая любое приложение, использующее маркер Azure.
Эл. почта
- Блокировать эл. почту
Уведомление
- Отправить электронное сообщение пользователю — включает возможность отправлять копию сообщения руководителю пользователя.
- Отправить SMS на устройство
- Отправить push-уведомление на устройство
- Отправить эл. письмо администратору
Профиль
- Установить профиль соответствия.
- Заблокировать/удалить профиль
- Заблокировать/удалить тип профиля
- Заблокировать/удалить все профили — не позволяют доставлять профили, пока устройство не сообщит статус, соответствующий требованиям.
Исходная тема: Правила и действия политик соответствия
