合規原則規則和動作
裝置不符合您的原則時,您可以強制執行規則,並採取動作。此清單與平台無關。
要瞭解適用於特定裝置的規則和動作,請導覽到裝置 > 合規策略 > 清單檢視,選擇新增按鈕,然後選擇平台以查看所有規則以及可以針對該平台執行的動作。
規則
| 設定 | 描述 |
|---|---|
| 應用程式清單 | 偵測已安裝在裝置中的特定封鎖清單應用程式,或偵測所有未列入允許清單的應用程式。您可禁止某些特定的應用程式 (例如社群媒體應用程式) 以及被廠商列入封鎖清單的應用程式,或僅准許使用您所指定的應用程式。 iOS:由於應用程式狀態在 iOS 裝置報告上的方式,應用程式僅在安裝程序全部完成後,才會達到「已安裝」狀態。因此,如果您正在建立用來測量 iOS 裝置應用程式清單的合規性規則,請考慮使用強制執行的動作以避免資料損毀。例如,企業擦除或裝置擦除。 macOS:對於 macOS 裝置,請確保採取以下步驟以使用包含已安裝應用程式清單的本機 MDM 範例。 1.設定隱私權設定。導覽到設定 > 裝置與使用者 > 一般 > 隱私權,並在「個人應用程式」下為指派的裝置選擇收集並顯示或收集但不顯示。 2.在定義原則時,輸入正確的「應用程式服務包 ID」。導覽到合規原則 > 清單檢視 > 新增。在規則索引標籤下(最右側的文字框),「應用程式標別碼」必須包含目標應用程式的原生「應用程式 ID」,而不是在部署應用程式時使用 Workspace ONE 產生的服務包 ID,您可以透過其語法 com.vmw.macos.{Package_Name} 識別該 ID。如果要對 macOS 裝置套用應用程式清單合規原則,請不要使用此服務包 ID。請使用原生應用程式 ID 填入規則索引標籤上的此文字方框。您可以導覽到目標 macOS 裝置上的裝置詳細資訊,找到該文字方塊,按一下應用程式,從清單中找到應用名稱並按一下以顯示應用程式資訊,然後使用顯示的「應用程式 ID」。您也可以透過在 macOS 裝置上檢查應用程式來取得此應用程式 ID。 |
| 防毒狀態 | 偵測防毒 APP 是否正在運作。合規性原則引擎會監控裝置的行動作業中心是否具有防毒解決方案。Windows 支援所有第三方防毒解決方案。 |
| 自動更新 | 偵測是否使用安裝的 Windows 更新設定檔啟動了 Windows 自動更新。如需詳細資訊,請參閱 Windows 更新設定檔。合規性原則引擎會監控裝置的行動作業中心是否具有更新解決方案。如果行動作業中心並未顯示您的第三方解決方案,系統就會回報為未監控。 |
| 行動數據/訊息/語音使用量 | 偵測出終端使用者的裝置,在什麼時候超過了指派的電信計劃之特定的閾值。 當使用量超過預先決定的臨界值時,UEM 將無法限制實際使用量,此時 Workspace ONE UEM 只能提供通知。 為了讓此原則規則正常運作,您必須啟用進階電信,並將該電信方案指派給裝置。 |
| 合規屬性 | 將裝置中的屬性鍵與第三方端點安全性進行比對,傳回一個代表裝置合規性的布林值。僅適用於 Windows 桌面版裝置。 |
| 破解狀態 | 偵測裝置是否已遭破解。禁止使用已向 Workspace ONE UEM 註冊的越獄或根破解裝置。 越獄/根破解裝置會除去整體安全性設定,可能會將惡意軟體引入您的網路中,並提供存取企業資源的途徑。在 BYOD 環境下,員工擁有各種版本的裝置及作業系統,所以監控破解裝置狀態對此環境而言尤其重要。 |
| Windows 副本 | 偵測目前在裝置上所執行的 Windows 版本是否為正版軟體。 |
| 裝置最後上線時間 | 偵測裝置是否未在配置的時間範圍內進行簽入。 |
| 裝置製造商 | 偵測裝置造商,讓您能夠辨別特定的 Android 裝置。您可以特別禁止特定製造商或僅准許您指定的特定製造商。 |
| 裝置標記 | 偵測裝置上是否存在裝置標籤。您可以使用一個規則檢查多個裝置標籤。 運算子: - 包含所有 - 包含任何 - 不包含任何 |
| 加密 | 偵測裝置是否已啟用加密功能。Windows 支援所有第三方加密解決方案。 |
| 防火牆狀態 | 偵測防火牆 APP 是否正在運作。合規引擎會檢查裝置的行動作業中心是否具有防火牆解決方案。Windows 支援所有第三方防火牆解決方案。 |
| 可用磁碟空間 | 偵測裝置上可用的磁碟空間。 |
| iBeacon 區域 | 偵測您的 iOS 裝置是否在 iBeacon 群組的區域內。 |
| 互動式憑證設定檔到期日 | 在指定的時間範圍內,偵測安裝在裝置上的設定檔何時會到期。 |
| 上次違規掃描 | 偵測裝置是否尚未在指定的時間排程內,呈報其破解狀態。 |
| 接受 MDM 使用條款 | 偵測終端使用者是否尚未在指定的時間內,接受目前的 MDM 使用條款。 |
| 型號 | 偵測裝置型號。您可以特別禁止特定型號或僅准許您指定的特定型號。 |
| 作業系統版本 | 偵測裝置的作業系統版本。您可以禁止特定的作業系統,或者僅准許您所指定的作業系統和版本。 如果要強制執行最新的作業系統版本,則必須使用每個新作業系統版本更新作業系統版本合規性原則,然後將更新的原則推送到相關裝置。對現有原則所做的任何編輯都會導致上報排程等選項被重設。 |
| 密碼 | 偵測裝置上是否設有密碼。 |
| 漫遊 | 偵測裝置是否處於漫遊狀態。僅限電信進階使用者使用。 |
| 漫遊行動數據使用量 | 針對靜態數據量 (以 MB 或 GB 為測量單位) 來偵測漫遊行動數據的使用量。僅限電信進階使用者使用。 |
| 安全性修補版本 | 偵測 Google 上最新的 Android 裝置安全性修補日期。僅適用於 Android 6.0 版及更新版本。 |
| SIM 卡變更 | 偵測 SIM 卡是否已被取代。僅限電信進階使用者使用。 |
| 系統完整性保護 | 即便由根使用者或具根權限的使用者執行的情況下,也可偵測 macOS 系統所擁有的檔案和目錄的專屬保護狀態,以防止無特定「權利」的程序修改。 |
動作
應用程式
- 封鎖/移除受管理 APP
-
封鎖/移除所有受管的應用程式
當 [封鎖/移除應用程式] 動作套用至不合規的裝置時,Workspace ONE UEM console 會移除指定的應用程式,並在下次可能的裝置同步開始進行前啟動 2 小時計時器。每次執行裝置同步時,都會根據使用中的合規原則來計算要新增和移除的應用程式。在計時 2 小時後執行裝置同步,並探索到相同的應用程式時,則會移除應用程式。
不過,在這 2 小時內,終端使用者可嘗試執行合規動作,並重新安裝遭到封鎖的應用程式。例如,如果他們從 Play Store 側載 APK 檔案或安裝公用應用程式,則可能不會觸發合規動作。請考慮建立裝置設定檔,以防止終端使用者安裝應用程式。
當您在資源 > 設定檔與基準 > 設定檔中建立裝置設定檔時,有兩種方式可執行此操作。
- 僅 Android – 新增應用程式控制裝載,以停用對遭拒應用程式的存取權。為使此裝載正常運作,您必須在資源 > 應用程式 > 設定 > 應用程式群組中建立封鎖清單應用程式群組,並將其指派給有問題的裝置。
- 新增限制裝載,並停用允許安裝應用程式的滑桿。
指令
- 變更漫遊設定
- 企業抹除 - 此動作會造成在裝置回報合規狀態前,無法傳送設定檔。
- 企業重設
- 作業系統更新 - iOS 9 到 10.2.1 版本的受監管 DEP 註冊裝置可執行作業系統更新。iOS 10.3 及更新版本的裝置只需受監管。
- 請求裝置簽入
-
撤銷 Azure Token - 此動作會影響特定使用者的所有裝置,停用所有依賴 Azure Token 的 APP。
- 此動作需要啟用「Azure AD 整合」和「將 Azure AD 用於身分識別服務」,這兩個選項可在伺服器標籤之下的設定 > 系統 > 企業整合 > 目錄服務中找到。
-
為了使撤銷 Azure Token 起作用,使用者主體名稱是必填的使用者帳戶欄位,因此請使用以下一種方法來確保其具有正確的值。
- 導航到帳戶 > 使用者 > 清單檢視,然後使用他們用於登入 Azure 帳戶的相同電子郵件地址編輯目標使用者帳戶的使用者主體名稱(在進階標籤之下)。
或 1.導航到群組與設定 > 所有設定 > 系統 > 企業整合 > 目錄服務,選擇使用者標籤,然後選擇進階下拉區段。2.向下捲動到使用者主體名稱,然後輸入與他們用於登入 Azure 帳戶的電子郵件地址相對應的查詢值。
- 封鎖 Email
通知
- 將 Email 傳送給使用者 - 包含寄送副本給使用者管理員的選項。
- 將 SMS 傳送給裝置
- 將推播通知傳送給裝置
- 將 Email 傳送給管理員
設定檔
- 安裝合規設定檔。
- 封鎖/移除設定檔
- 封鎖/移除設定檔類型
- 封鎖/移除所有設定檔 - 在裝置回報合規狀態前,無法傳送設定檔。
