This site will be decommissioned on January 30th 2025. After that date content will be available at techdocs.broadcom.com.

合規原則規則和動作

裝置不符合您的原則時,您可以強制執行規則,並採取動作。此清單與平台無關。

要瞭解適用於特定裝置的規則和動作,請導覽到裝置 > 合規策略 > 清單檢視,選擇新增按鈕,然後選擇平台以查看所有規則以及可以針對該平台執行的動作。

規則

設定 描述
應用程式清單 偵測已安裝在裝置中的特定封鎖清單應用程式,或偵測所有未列入允許清單的應用程式。您可禁止某些特定的應用程式 (例如社群媒體應用程式) 以及被廠商列入封鎖清單的應用程式,或僅准許使用您所指定的應用程式。

iOS:由於應用程式狀態在 iOS 裝置報告上的方式,應用程式僅在安裝程序全部完成後,才會達到「已安裝」狀態。因此,如果您正在建立用來測量 iOS 裝置應用程式清單的合規性規則,請考慮使用強制執行的動作以避免資料損毀。例如,企業擦除或裝置擦除。

macOS:對於 macOS 裝置,請確保採取以下步驟以使用包含已安裝應用程式清單的本機 MDM 範例。
1.設定隱私權設定。導覽到設定 > 裝置與使用者 > 一般 > 隱私權,並在「個人應用程式」下為指派的裝置選擇收集並顯示收集但不顯示
2.在定義原則時,輸入正確的「應用程式服務包 ID」。導覽到合規原則 > 清單檢視 > 新增。在規則索引標籤下(最右側的文字框),「應用程式標別碼」必須包含目標應用程式的原生「應用程式 ID」,而不是在部署應用程式時使用 Workspace ONE 產生的服務包 ID,您可以透過其語法 com.vmw.macos.{Package_Name} 識別該 ID。如果要對 macOS 裝置套用應用程式清單合規原則,請不要使用此服務包 ID。請使用原生應用程式 ID 填入規則索引標籤上的此文字方框。您可以導覽到目標 macOS 裝置上的裝置詳細資訊,找到該文字方塊,按一下應用程式,從清單中找到應用名稱並按一下以顯示應用程式資訊,然後使用顯示的「應用程式 ID」。您也可以透過在 macOS 裝置上檢查應用程式來取得此應用程式 ID。
防毒狀態 偵測防毒 APP 是否正在運作。合規性原則引擎會監控裝置的行動作業中心是否具有防毒解決方案。Windows 支援所有第三方防毒解決方案。
自動更新 偵測是否使用安裝的 Windows 更新設定檔啟動了 Windows 自動更新。如需詳細資訊,請參閱 Windows 更新設定檔。合規性原則引擎會監控裝置的行動作業中心是否具有更新解決方案。如果行動作業中心並未顯示您的第三方解決方案,系統就會回報為未監控。
行動數據/訊息/語音使用量 偵測出終端使用者的裝置,在什麼時候超過了指派的電信計劃之特定的閾值。

當使用量超過預先決定的臨界值時,UEM 將無法限制實際使用量,此時 Workspace ONE UEM 只能提供通知

為了讓此原則規則正常運作,您必須啟用進階電信,並將該電信方案指派給裝置。
合規屬性 將裝置中的屬性鍵與第三方端點安全性進行比對,傳回一個代表裝置合規性的布林值。僅適用於 Windows 桌面版裝置。
破解狀態 偵測裝置是否已遭破解。禁止使用已向 Workspace ONE UEM 註冊的越獄或根破解裝置。

越獄/根破解裝置會除去整體安全性設定,可能會將惡意軟體引入您的網路中,並提供存取企業資源的途徑。在 BYOD 環境下,員工擁有各種版本的裝置及作業系統,所以監控破解裝置狀態對此環境而言尤其重要。
Windows 副本 偵測目前在裝置上所執行的 Windows 版本是否為正版軟體。
裝置最後上線時間 偵測裝置是否未在配置的時間範圍內進行簽入。
裝置製造商 偵測裝置造商,讓您能夠辨別特定的 Android 裝置。您可以特別禁止特定製造商或僅准許您指定的特定製造商。
裝置標記 偵測裝置上是否存在裝置標籤。您可以使用一個規則檢查多個裝置標籤。
運算子:
- 包含所有
- 包含任何
- 不包含任何
加密 偵測裝置是否已啟用加密功能。Windows 支援所有第三方加密解決方案。
防火牆狀態 偵測防火牆 APP 是否正在運作。合規引擎會檢查裝置的行動作業中心是否具有防火牆解決方案。Windows 支援所有第三方防火牆解決方案。
可用磁碟空間 偵測裝置上可用的磁碟空間。
iBeacon 區域 偵測您的 iOS 裝置是否在 iBeacon 群組的區域內。
互動式憑證設定檔到期日 在指定的時間範圍內,偵測安裝在裝置上的設定檔何時會到期。
上次違規掃描 偵測裝置是否尚未在指定的時間排程內,呈報其破解狀態。
接受 MDM 使用條款 偵測終端使用者是否尚未在指定的時間內,接受目前的 MDM 使用條款。
型號 偵測裝置型號。您可以特別禁止特定型號或僅准許您指定的特定型號。
作業系統版本 偵測裝置的作業系統版本。您可以禁止特定的作業系統,或者僅准許您所指定的作業系統和版本。

如果要強制執行最新的作業系統版本,則必須使用每個新作業系統版本更新作業系統版本合規性原則,然後將更新的原則推送到相關裝置。對現有原則所做的任何編輯都會導致上報排程等選項被重設。
密碼 偵測裝置上是否設有密碼。
漫遊 偵測裝置是否處於漫遊狀態。僅限電信進階使用者使用。
漫遊行動數據使用量 針對靜態數據量 (以 MB 或 GB 為測量單位) 來偵測漫遊行動數據的使用量。僅限電信進階使用者使用。
安全性修補版本 偵測 Google 上最新的 Android 裝置安全性修補日期。僅適用於 Android 6.0 版及更新版本。
SIM 卡變更 偵測 SIM 卡是否已被取代。僅限電信進階使用者使用。
系統完整性保護 即便由根使用者或具根權限的使用者執行的情況下,也可偵測 macOS 系統所擁有的檔案和目錄的專屬保護狀態,以防止無特定「權利」的程序修改。

動作

應用程式

  • 封鎖/移除受管理 APP
  • 封鎖/移除所有受管的應用程式

    當 [封鎖/移除應用程式] 動作套用至不合規的裝置時,Workspace ONE UEM console 會移除指定的應用程式,並在下次可能的裝置同步開始進行前啟動 2 小時計時器。每次執行裝置同步時,都會根據使用中的合規原則來計算要新增和移除的應用程式。在計時 2 小時後執行裝置同步,並探索到相同的應用程式時,則會移除應用程式。

    不過,在這 2 小時內,終端使用者可嘗試執行合規動作,並重新安裝遭到封鎖的應用程式。例如,如果他們從 Play Store 側載 APK 檔案或安裝公用應用程式,則可能不會觸發合規動作。請考慮建立裝置設定檔,以防止終端使用者安裝應用程式。

    當您在資源 > 設定檔與基準 > 設定檔中建立裝置設定檔時,有兩種方式可執行此操作。

    • 僅 Android – 新增應用程式控制裝載,以停用對遭拒應用程式的存取權。為使此裝載正常運作,您必須在資源 > 應用程式 > 設定 > 應用程式群組中建立封鎖清單應用程式群組,並將其指派給有問題的裝置。
    • 新增限制裝載,並停用允許安裝應用程式的滑桿。

指令

  • 變更漫遊設定
  • 企業抹除 - 此動作會造成在裝置回報合規狀態前,無法傳送設定檔。
  • 企業重設
  • 作業系統更新 - iOS 9 到 10.2.1 版本的受監管 DEP 註冊裝置可執行作業系統更新。iOS 10.3 及更新版本的裝置只需受監管。
  • 請求裝置簽入
  • 撤銷 Azure Token - 此動作會影響特定使用者的所有裝置,停用所有依賴 Azure Token 的 APP。

    • 此動作需要啟用「Azure AD 整合」和「將 Azure AD 用於身分識別服務」,這兩個選項可在伺服器標籤之下的設定 > 系統 > 企業整合 > 目錄服務中找到。
    • 為了使撤銷 Azure Token 起作用,使用者主體名稱是必填的使用者帳戶欄位,因此請使用以下一種方法來確保其具有正確的值。

      1. 導航到帳戶 > 使用者 > 清單檢視,然後使用他們用於登入 Azure 帳戶的相同電子郵件地址編輯目標使用者帳戶的使用者主體名稱(在進階標籤之下)。

      或 1.導航到群組與設定 > 所有設定 > 系統 > 企業整合 > 目錄服務,選擇使用者標籤,然後選擇進階下拉區段。2.向下捲動到使用者主體名稱,然後輸入與他們用於登入 Azure 帳戶的電子郵件地址相對應的查詢值。

Email

  • 封鎖 Email

通知

  • 將 Email 傳送給使用者 - 包含寄送副本給使用者管理員的選項。
  • 將 SMS 傳送給裝置
  • 將推播通知傳送給裝置
  • 將 Email 傳送給管理員

設定檔

  • 安裝合規設定檔
  • 封鎖/移除設定檔
  • 封鎖/移除設定檔類型
  • 封鎖/移除所有設定檔 - 在裝置回報合規狀態前,無法傳送設定檔。
check-circle-line exclamation-circle-line close-line
Scroll to top icon