您可以使用應用程式群組和合規性原則來保護 Workspace ONE UEM 環境中的資源。應用程式群組可識別受到允許和限制的應用程式,讓合規原則可以在未遵照保護標準的裝置上作用。

您可配置數種平台的 APP 群組,但不能透過合規原則加以合併。針對您無法透過合規原則來合併的那些平台,請套用應用程式控管設定檔。

表 1. 依平台區分的應用程式群組和合規性原則
應用程式群組平台 配合合規原則使用 配合應用程式控制設定檔使用
Android
Apple iOS
Windows Phone

您不需配置應用程式群組。但是,應用程式只需極少的配置即可加強功效並達到您合規原則的要求。

表 2. 應用程式群組及合規原則之間的關係
應用程式群組 描述 合規原則 動作
白名單的 受管裝置可透過 AirWatch Catalog 安裝這些應用程式。

任何未列入清單中的應用程式,都不允許安裝在受管裝置上。

包含未列入白名單的 APP 合規引擎可辨識已安裝在裝置上且尚未列入白名單 APP 群組的應用程式,並依合規規則的配置來套用對應的動作。
黑名單的 受管裝置不會從 AirWatch Catalog 安裝這些應用程式。

列於此清單中的任何應用程式,都不允許存在於受管裝置上。

包含列入黑名單的 APP 合規引擎可辨識裝置上已列入黑名單 APP 群組的應用程式,並依合規規則的配置來套用對應的動作。
必要的 受管裝置必須從 AirWatch Catalog 中安裝這些應用程式。

使用者必須將列於此清單中的所有應用程式都安裝到受管裝置上。

不包含必要的 APP 合規引擎可辨識裝置上所缺乏之必要 APP 群組中的應用程式,並依合規規則的配置來套用對應的動作。
備註: 在 UEM console 中設定為自動部署模式的應用程式,於下列情形中不會自動部署:
  • 新增應用程式至已指派至裝置的黑名單應用程式群組。
  • 不包含已指派至裝置的白名單應用程式群組中的應用程式。

隱私權設定對應用程式清單合規性和應用程式控制設定檔的影響

Workspace ONE UEM console 中,如果您將個人應用程式的隱私權設定設為不收集,則系統不會從裝置收集個人應用程式資訊。也就是說,不會從終端使用者的裝置上傳輸個人應用程式資訊。

不過,隱私權設定有以下注意事項,會影響應用程式清單合規性和應用程式控制設定檔的設定:

  • 應用程式清單的合規性原則會檢查確認裝置具有適當的應用程式 (列入黑名單、列入白名單或列為必要)。如果系統未查詢應用程式清單,就可能不會檢查這些應用程式。因此,包含特定黑名單應用程式的裝置不會標記為「不合規」。同樣的,包含特定「必要」(個人) 應用程式的裝置則會標記為「不合規」。
  • 應用程式控制設定檔在「黑名單」應用程式上所執行的動作,不會套用至將個人應用程式隱私權設為不收集的裝置上,僅會套用至我們收集個人應用程式資訊的裝置。
如果您想要對終端使用者的個人應用程式清單採取行動,請追蹤所有企業群組中針對相關裝置擁有權類型所設定的個人應用程式隱私權組態,並確認下列事項:
  • 確保未將組態設為不收集。如果您想要確保終端使用者隱私權並偵測任何惡意應用程式,請將隱私權組態設為收集但不顯示
  • 確保您的終端使用者裝置有權接收您想要從 Workspace ONE UEM 執行動作的應用程式。

設定您的應用程式群組

配置應用程式群組 (或 APP 群組),以便在合規原則中使用群組。針對未遵循安裝、更新或移除應用程式的裝置,採取已設定的動作。您需將應用程式群組指派給企業群組。將應用程式群組指派給父級企業群組時,子級企業群組會繼承應用程式群組配置。

  1. 導覽至資源 > 應用程式 > 設定 > 應用程式群組
  2. 選擇新增群組
  3. 完成清單標籤中的選項。
    設定 描述
    類型 根據所要的結果選擇您要建立的 APP 群組類型:允許應用程式、封鎖應用程式,或需要安裝應用程式。

    如果您的目標是要將自訂 MDM 應用程式分組,請選擇 MDM 應用程式。您必須啟用此選項才能顯示在功能表上。

    平台 選擇應用程式群組的平台。
    名稱 Workspace ONE UEM Console 中輸入應用程式群組的顯示名稱。
    新增應用程式 顯示一個能夠讓您搜尋應用程式並將它加入 APP 群組的欄位。
    應用程式名稱 輸入應用程式名稱,以便在相關的 APP 商店中進行搜尋。
    應用程式 ID 檢閱當您從 APP 商店中,使用搜尋的功能來尋找 APP 時會自動填入的字串。
    新增發行者 - Windows Phone 為 Windows Phone 做選擇,將數位發行者加入應用程式群組。

    發行者就是建立應用程式的企業。

    將此選項與新增應用程式的項目合併使用,以針對 Windows Phone 上的詳細白名單和黑名單,建立發行者項目的例外狀況。

  4. 選擇下一步,導覽至應用程式控管設定檔。您必須完成並套用一個 Windows Phone 之應用程式控管設定檔。您可在 Android 裝置上使用應用程式控管設定檔。
  5. 指派標籤中完成設定。
    描述 輸入應用程式群組的目的或任何其他相關資訊。
    裝置所有權 選擇應用程式群組適用的裝置類型。
    型號 選擇應用程式群組要套用的裝置型號。
    作業系統 選擇應用程式群組要套用的作業系統。
    管理者 檢視或編輯管理此應用程式群組的企業群組。
    企業群組 新增更多應用程式群組適用的企業群組。
    使用者群組 新增應用程式群組適用的使用者群組。
  6. 選擇完成以完成配置。

編輯您的應用程式群組和應用程式控制設定檔

您可以編輯應用程式群組和應用程式控制設定檔。當您編輯適用於 Android 和 Windows Phone 的應用程式群組時,請先編輯應用程式群組,再編輯應用程式設定檔。

  1. 先編輯 APP 群組。
  2. 編輯應用程式設定檔以建立新的版本。
  3. 將新版本的應用程式設定檔儲存並發佈至裝置。

除非將新版本的應用程式控管設定檔部署至裝置,否則系統不會反映針對 APP 群組所做的變更。

建立 AirWatch Catalog 的必要清單

您可以使用應用程式群組,將應用程式通知推送至您要求裝置安裝的應用程式目錄。

  1. 導覽至資源 > 應用程式 > 設定 > 應用程式群組
  2. 新增或編輯一個 APP 群組。
  3. 清單標籤上,將類型選為必要
  4. 指派標籤上,選擇適當的企業群組和使用者群組,其中包括您要推播必要應用程式的目標裝置。

啟用您的應用程式群組的自訂 MDM 應用程式

自訂 MDM 應用程式是一種 APP 群組類型,特別定製並用來追蹤位置或越獄狀態等裝置資訊。啟用 Workspace ONE UEM 以辨識自訂 MDM 應用程式,讓您能夠將這些應用程式指派給特別的應用程式群組,以便收集資訊、疑難排解和追蹤資產。

Workspace ONE UEM 可支援專為 Android 和 Apple iOS 平台打造的自訂 MDM 應用程式。將其上傳為內部應用程式。

啟用 [使用自訂 MDM 應用程式],如此您便可在 Workspace ONE UEM 的應用程式群組功能表中選擇此選項。在合規引擎偵測到裝置上的自訂 MDM 應用程式後,Workspace ONE UEM 便不會移除這些應用程式。這些應用程式是用來執行稽查、追蹤和疑難排解的。

  1. 導覽至群組與設定 > 所有設定 > 裝置 & 使用者 > 一般 > 註冊
  2. 選擇自訂
  3. 啟用使用自訂 MDM 應用程式

應用程式的合規性原則

合規原則能夠讓您針對不合乎已設定的標準之裝置,採取行動。例如:您可建立合規原則,來偵測使用者什麼時候安裝了禁用的應用程式。然後,配置系統自動針對含有不合規狀態的裝置採取行動。

您可使用「合規清單檢視」來為單一的應用程式建立合規原則;也可使用應用程式群組來為幾組應用程式建立合規原則。雖然並不要求您使用應用程式群組,但是使用這些群組可以讓您防範大規模的不合規裝置。

合規原則動作的範例:合規引擎可以偵測使用者是否裝有遊戲類應用程式,而這些程式是封鎖名單應用程式群組清單中的封鎖名單應用程式。您可配置合規引擎來採取各種措施。
  • 傳送推播通知給使用者,提醒使用者移除此應用程式。
  • 從裝置中移除某些功能,例如 Wi-Fi、 VPN 或 Email 設定檔。
  • 移除特定的受管應用程式和設定檔。
  • 向使用者傳送一個 Email 通知做為最後通牒,同時也複製一份給 IT 保全和 HR 部門。

您可以爲許多針對不合規裝置採取行動的平台,配置應用程式清單的合規原則。

提供合規原則和應用程式支援的平台:

  • Android
  • Apple iOS
  • macOS

建立應用程式合規原則

新增適用於 APP 群組的合規原則,來爲行動網路再添一層的安全性。原則配置可讓 Workspace ONE UEM 合規引擎在不合規的裝置上採取已設定的動作。

  1. 導覽至 裝置 > 合規原則 > 清單檢視,然後選取新增
  2. 選擇 AndroidApple iOSApple macOS 等平台。
  3. 規則標籤上,選擇應用程式清單
  4. 選擇可反映所要的合規目標之選項。
    表 3.
    設定 描述
    包含 新增應用程式識別碼以配置合規引擎,並監控識別碼是否出現在裝置上。

    如果引擎偵測出應用程式已安裝於被指派到合規原則的裝置,該引擎即會執行原則中所配置的動作。

    不包含 新增應用程式識別碼以配置合規引擎,並監控識別碼是否出現在裝置上。

    如果引擎偵測出應用程式未安裝於被指派到合規原則的裝置,該引擎即會執行原則中所配置的動作。

    包含列入黑名單的 APP 如果引擎偵測出黑名單 APP 群組中的應用程式安裝於被指派到合規原則的裝置,該引擎即會執行原則中所配置的動作。
    包含被廠商列入黑名單的 APP 從您的應用程式評價掃描系統上新增應用程式,以配置合規引擎來監控它是否出現在裝置上。

    如果引擎偵測出這些獨特黑名單 APP 群組中的應用程式安裝於被指派到合規原則的裝置,該引擎即會執行原則中所配置的動作。

    如果您將應用程式掃描服務與 Workspace ONE UEM 加以整合 ,請使用此選項。您必須啟用此選項,才能在功能表上進行檢視。這是一種進階應用程式管理功能,必須有正確的 SKU 才能使用。

    包含未列入白名單的 APP 如果引擎偵測出未列入白名單 APP 群組中的應用程式安裝於被指派到合規原則的裝置,該引擎即會執行原則中所配置的動作。
    不包含必要的 APP 如果引擎偵測出被指派到合規原則的裝置上,缺乏必要的 APP 群組中所需的應用程式,該引擎即會執行原則中所配置的動作。
    不包含版本 新增合規引擎用來對裝置進行監控的應用程式識別碼和應用程式版本,以確保裝置已安裝了正確的應用程式版本。

    如果引擎偵測出被指派到合規原則的裝置上安裝版本錯誤的應用程式,該引擎即會執行原則中所配置的動作。

    您可從 App Store 或 Workspace ONE UEM Console 的記錄中取得應用程式識別碼。導覽至資源 > 應用程式 > 清單檢視 > 內部用公用。在應用程式的動作功能表中選擇檢視,然後尋找應用程式 ID 資訊。

  5. 選擇動作標籤,設定在使用者未遵循根據應用程式設定的原則時,所要執行的升級動作。第一個動作是立即性的,但不是強制性設定。您可以使用它或將它刪除。您可透過新增升級功能,進一步地延後行動,增加或取代立即行動。
    表 4.
    設定 描述
    標記為不合規 啟用該核取方塊,標記違反此規則的裝置;一旦裝置被標記為不合規後,依照升級行動而定,系統可能會封鎖裝置存取資源,也可能會封鎖管理員對裝置採取一些動作。

    如果您不想立即隔離裝置,請停用此選項。

    應用程式 選取以移除受管理的應用程式。
    指令 選擇此項,以配置系統來命令裝置簽入主控台、執行企業抹除或變更漫遊設定。
    Email 選擇此項,以封鎖不合規裝置上的 Email。
    通知 選擇此項,利用您的預設範本,透過 Email、簡訊或推播通知來通知不合規的裝置。

    您也可將有關違反規則的訊息傳送給管理員。

    設定檔 選擇以使用 Workspace ONE UEM 設定檔在裝置上限制功能。
  6. 選擇指派標籤,以指派合規原則給智慧群組。
    設定 描述
    管理者 檢視或編輯管理和強制此規則的群組。
    已指派的群組 鍵入以新增可套用此規則的智慧群組。
    排除項目 選擇「是」,從規則中排除群組。
    檢視裝置指派 選擇此項,以檢視受此規則所影響的裝置。
  7. 選擇摘要標籤,為原則命名並簡要敘述原則。
  8. 選擇完成並啓動,強制執行新建立的原則。