管理您的應用程式群組及合規性
您可以使用應用程式群組 (app 群組) 和合規性原則來保護 Workspace ONE UEM 環境中的資源。應用程式群組可以辨識已經核准的和受限的應用程式,所以合規原則可以在未遵循防護標準的裝置上採取行動。
您可配置數種平台的 APP 群組,但不能透過合規原則加以合併。針對您無法透過合規原則來合併的那些平台,請套用應用程式控管設定檔。
| 應用程式群組平台 | 配合合規原則使用 | 配合應用程式控制設定檔使用 |
|---|---|---|
| Android | 是 | 是 |
| Apple iOS | 是 | 否 |
| Windows Phone | 否 | 是 |
您不需配置應用程式群組。但是,應用程式只需極少的配置即可加強功效並達到您合規原則的要求。
應用程式群組及合規原則之間的關係
| 應用程式群組 | 描述 | 合規原則 | 動作 |
|---|---|---|---|
| 允許清單 | 受管裝置可透過 AirWatch Catalog 安裝這些應用程式。 任何未列入清單中的應用程式,都不允許安裝在受管裝置上。 |
包含未列入允許清單的應用程式 | 合規引擎會辨識已安裝在裝置上但未列入允許清單應用程式群組的應用程式,並依合規性規則的設定來套用對應的動作。 |
| 封鎖清單 | 受管裝置不會透過 AirWatch Catalog 安裝這些應用程式。 列於此清單中的任何應用程式,都不允許存在於受管裝置上。 |
包含列入封鎖清單的應用程式 | 合規引擎可辨識裝置上已列入封鎖清單應用程式群組的應用程式,並依合規性規則的設定來套用對應的動作。 |
| 必要 | 受管裝置必須透過 AirWatch Catalog 安裝這些應用程式。 使用者必須將列於此清單中的應用程式安裝到受管裝置上。 |
不包含必要的 APP | 合規引擎可辨識裝置上所缺乏之必要 APP 群組中的應用程式,並依合規規則的配置來套用對應的動作。 |
注意: 在 UEM console 中設定為自動部署模式的應用程式,於下列情形中不會自動部署:
- 將應用程式新增至已指派給裝置的封鎖清單應用程式群組。
- 排除已指派給裝置的允許清單應用程式群組中的應用程式。
隱私權設定對應用程式清單合規性和應用程式控制設定檔的影響
在 Workspace ONE UEM Console 中,如果您將個人應用程式的隱私權設定設為不收集,則系統不會從裝置收集個人應用程式資訊。也就是說,不會從終端使用者的裝置上傳輸個人應用程式資訊。
不過,隱私權設定有以下注意事項,會影響應用程式清單合規性和應用程式控制設定檔的設定:
- 應用程式清單的合規性原則會進行檢查,以確認裝置具有適當的應用程式 (列入封鎖清單、允許清單或列為必要者)。如果系統未查詢應用程式清單,就可能不會檢查這些應用程式。因此,包含封鎖清單群組中特定應用程式的裝置不會被標記為「不合規」。同樣的,包含特定「必要」(個人) 應用程式的裝置則會標記為「不合規」。
- 應用程式控制設定檔在「封鎖清單」應用程式上所執行的動作,不會套用至將個人應用程式隱私權設為不收集的裝置,僅會套用至我們收集個人應用程式資訊的裝置。
如果您想要對終端使用者的個人應用程式清單採取行動,請追蹤所有企業群組中針對相關裝置擁有權類型所設定的個人應用程式隱私權組態,並確認下列事項:
- 確保未將組態設為不收集。如果您想要確保終端使用者隱私權並偵測任何惡意應用程式,請將隱私權組態設為收集但不顯示。
- 確保您的終端使用者裝置有權接收您想要從 Workspace ONE UEM 執行動作的應用程式。
設定您的應用程式群組
配置應用程式群組 (或 APP 群組),以便在合規原則中使用群組。針對未遵循安裝、更新或移除應用程式的裝置,採取已設定的動作。您需將應用程式群組指派給企業群組。將應用程式群組指派給父級企業群組時,子級企業群組會繼承應用程式群組配置。
-
導覽至資源 > 應用程式 > 設定 > 應用程式群組。
-
選擇新增群組。
-
完成清單標籤中的選項。
設定 描述 類型 根據所要的結果選取您要建立的應用程式群組類型:允許應用程式、封鎖應用程式,或需要安裝應用程式。
如果您的目標是要將自訂 MDM 應用程式分組,請選取 MDM 應用程式。您必須啟用此選項才能顯示在功能表上。平台 選擇應用程式群組的平台。 名稱 為應用程式群組輸入要顯示在 Workspace ONE UEM 主控台中的名稱。 新增應用程式 顯示一個能夠讓您搜尋應用程式並將它加入 APP 群組的欄位。 應用程式名稱 輸入應用程式名稱,以便在相關的 APP 商店中進行搜尋。 應用程式 ID 檢閱當您從 APP 商店中,使用搜尋的功能來尋找 APP 時會自動填入的字串。 新增發行者 - Windows Phone 為 Windows Phone 做選擇,將數位發行者加入應用程式群組。發佈者就是建立應用程式的組織。
將此選項與 [新增應用程式] 的項目合併使用,即可針對 Windows Phone 上的詳細允許清單和封鎖清單建立發佈者項目的例外狀況。 -
選擇下一步,導覽至應用程式控管設定檔。您必須完成並套用一個 Windows Phone 之應用程式控管設定檔。您可在 Android 裝置上使用應用程式控管設定檔。
-
在指派標籤中完成設定。
設定 描述 描述 輸入應用程式群組的目的或任何其他相關資訊。 裝置所有權 選擇應用程式群組適用的裝置類型。 型號 選擇應用程式群組要套用的裝置型號。 作業系統 選擇應用程式群組要套用的作業系統。 管理者 檢視或編輯管理此應用程式群組的企業群組。 企業群組 新增更多應用程式群組適用的企業群組。 使用者群組 新增應用程式群組適用的使用者群組。 -
選擇完成以完成配置。
編輯您的應用程式群組和應用程式控制設定檔
您可以編輯應用程式群組和應用程式控制設定檔。當您編輯適用於 Android 和 Windows Phone 的應用程式群組時,請先編輯應用程式群組,再編輯應用程式設定檔。
- 先編輯 APP 群組。
- 編輯應用程式設定檔以建立新的版本。
- 將新版本的應用程式設定檔儲存並發佈至裝置。除非將新版本的應用程式控管設定檔部署至裝置,否則系統不會反映針對 APP 群組所做的變更。
建立 AirWatch Catalog 的必要清單
您可以使用應用程式群組,將應用程式通知推送至您要求裝置安裝的應用程式目錄。
- 導覽至資源 > 應用程式 > 設定 > 應用程式群組。
- 新增或編輯一個 APP 群組。
- 在清單標籤上,將類型選為必要。
- 在指派標籤上,選擇適當的企業群組和使用者群組,其中包括您要推播必要應用程式的目標裝置。
啟用您的應用程式群組的自訂 MDM 應用程式
自訂 MDM 應用程式是一種 APP 群組類型,特別定製並用來追蹤位置或越獄狀態等裝置資訊。啟用 Workspace ONE UEM 以辨識自訂 MDM 應用程式,讓您能夠將這些應用程式指派給特別的應用程式群組,以便收集資訊、疑難排解和追蹤資產。Workspace ONE UEM 主控台支援專為 Android 和 Apple iOS 平台打造的 MDM 應用程式。將其上傳為內部應用程式。
啟用 [使用自訂 MDM 應用程式],這樣您就可以在 Workspace ONE UEM 的應用程式群組功能表中選擇選項。當合規引擎偵測到裝置上有自訂的 MDM 應用程式時,Workspace ONE UEM 不會將這些應用程式移除。這些應用程式是用來執行稽查、追蹤和疑難排解的。
- 導覽至群組與設定 > 所有設定 > 裝置 & 使用者 > 一般 > 註冊。
- 選擇自訂。
- 啟用使用自訂 MDM 應用程式。
應用程式的合規性原則
合規原則能夠讓您針對不合乎已設定的標準之裝置,採取行動。例如:您可建立合規原則,來偵測使用者什麼時候安裝了禁用的應用程式。然後,配置系統自動針對含有不合規狀態的裝置採取行動。
您可使用「合規清單檢視」來為單一的應用程式建立合規原則;也可使用應用程式群組來為幾組應用程式建立合規原則。雖然並不要求您使用應用程式群組,但是使用這些群組可以讓您防範大規模的不合規裝置。
合規原則動作的範例:合規引擎偵測到使用者裝有一款遊戲類應用程式,而這個應用程式被列在封鎖的應用程式群組清單中。您可配置合規引擎來採取各種措施。
- 傳送推播通知給使用者,提醒使用者移除此應用程式。
- 從裝置中移除某些功能,例如 Wi-Fi、 VPN 或 Email 設定檔。
- 移除特定的受管應用程式和設定檔。
- 向使用者傳送一個 Email 通知做為最後通牒,同時也複製一份給 IT 保全和 HR 部門。
您可以爲許多針對不合規裝置採取行動的平台,配置應用程式清單的合規原則。
提供合規原則和應用程式支援的平台:
- Android
- Apple iOS
- macOS
建立應用程式合規原則
新增適用於 APP 群組的合規原則,來爲行動網路再添一層的安全性。原則配置可讓 Workspace ONE UEM 合規引擎在不合規的裝置上採取已設定的動作。
- 導覽至裝置 > 合規原則 > 清單檢視。選取新增。
- 選擇 Android、Apple iOS 或 Apple macOS 等平台。
- 在規則標籤上,選擇應用程式清單。
-
選擇可反映所要的合規目標之選項。
設定 描述 包含 新增應用程式識別碼,將合規引擎設定為監控應用程式在裝置上是否存在。
如果引擎偵測出應用程式已安裝於被指派到合規規則的裝置,該引擎即會執行規則中所設定的動作。不包含 新增應用程式識別碼,將合規引擎設定為監控應用程式在裝置上是否存在。
如果引擎偵測出應用程式未安裝於被指派到合規規則的裝置,該引擎即會執行規則中所設定的動作。包含被封鎖的應用程式 如果引擎偵測出封鎖清單應用程式群組中的應用程式安裝於被指派到合規性規則的裝置,該引擎即會執行規則中所設定的動作。 包含非允許的應用程式 如果引擎偵測出未列入白名單 APP 群組中的應用程式安裝於被指派到合規原則的裝置,該引擎即會執行原則中所配置的動作。 不包含必要的 APP 如果引擎偵測出被指派到合規原則的裝置上,缺乏必要的 APP 群組中所需的應用程式,該引擎即會執行原則中所配置的動作。 不包含版本 新增應用程式識別碼和合規引擎監控裝置的應用程式版本,以確認裝置上安裝正確的應用程式版本。
如果引擎偵測出被指派到合規規則的裝置上安裝的應用程式版本錯誤,該引擎即會執行規則中設定的動作。
您可從 App Store 或 Workspace ONE UEM 主控台的記錄中取得應用程式識別碼。導覽至資源 > 應用程式 > 清單檢視 > 內部用或公用。在應用程式的動作功能表中選擇檢視,然後尋找應用程式 ID 資訊。
-
選擇動作標籤,設定在使用者未遵循根據應用程式設定的原則時,所要執行的升級動作。第一個動作是立即性的,但不是強制性設定。您可以使用它或將它刪除。您可透過新增升級功能,進一步地延後行動,增加或取代立即行動。
設定 描述 標記為不合規 選擇該核取方塊,標記違反此規則的裝置;然而,一旦裝置被標記為不合規後,依照升級行動而定,系統可能會封鎖裝置存取資源,也可能會封鎖管理員對裝置採取一些動作。
如果不想立刻隔離此裝置,請取消選擇此選項。應用程式 選取以移除受管理的應用程式。 指令 選擇此項,以配置系統來命令裝置簽入主控台、執行企業抹除或變更漫遊設定。 Email 選擇此項,以封鎖不合規裝置上的 Email。 通知 選擇此項,利用您的預設範本,透過 Email、簡訊或推送通知來通知不合規的裝置。
您也可將有關違反規則的訊息傳送給管理員。設定檔 選擇此項,使用 Workspace ONE UEM 設定檔來限制裝置的功能。 -
選擇指派標籤,以指派合規原則給智慧群組。
設定 描述 管理者 檢視或編輯管理和強制此規則的群組。 已指派的群組 鍵入以新增可套用此規則的智慧群組。 排除項目 選擇「是」,從規則中排除群組。 檢視裝置指派 選擇此項,以檢視受此規則所影響的裝置。 -
選擇摘要標籤,為原則命名並簡要敘述原則。
- 選擇完成並啓動,強制執行新建立的原則。
