关于识别越狱设备
越狱设备使用户获得更多权限,在企业中使用此类设备增加了安全风险,必须删除这些设备中的公司数据。MDM将在注册和每次扫描时识别越狱设备,检测到越狱设备后,注册失败或将设备从管理中移除(如果之前管理过该设备)。
ManageEngine MDM应用需要检测越狱设备、分发文档、远程查看设备屏幕和跟踪被管设备的位置。默认开启“将ME MDM应用分发到被管iOS设备”选项,确保所有被管iOS设备上都安装ManageEngine MDM应用。如果需要,您还可以配置邮件模板来分发应用。此外,还可以使用ManageEngine MDM应用保护电子邮件附件安全,请参阅这里。
注意:如果用户还没有登录到设备上的iTunes帐户,那么ManageEngine MDM应用将在应用目录中可用。用户应该输入iTunes凭证来完成应用安装。安装ManageEngine MDM应用后,应用目录将从设备中移除。
管理安卓设备需要配置MDM应用设置。该应用安装在所有被管安卓设备中。您可以自定义以下内容:
管理员可以使用以下设置,确保如果设备被破坏,则从设备中删除企业数据。在注册期间和每次扫描期间都要检查设备,如果发现不合规设备,则取消管理设备,并删除设备中数据。如果在注册过程中检查到不合规设备,将导致设备注册失败。
已Root设备为用户提供了更多权限,如删除由MDM分发的配置文件或从MDM中删除设备。因此,对于组织来说,允许已Root设备访问公司数据是不安全的,这可能导致数据泄露。MDM识别已Root设备后,将这些设备从管理中删除。从管理中删除设备也会删除设备中的企业数据。
安卓的基本完整性检查监控设备是否已Root、虚拟设备或包含虚拟ROM,如果以上任何一个条件为真,设备的基本完整性检查失败。在注册过程中,如果设备基本完整性检查不合格,设备将无法注册。如果注册的设备没有通过基本完整性检查,该设备将从管理中删除,数据也将从设备中删除。
谷歌基于其兼容性测试套件对设备进行认证,其中包含了谷歌对企业设备认证的基本要求。如果选择此选项,设备将注册只有他们通过谷歌认证。点击这里 了解谷歌认证设备的详细列表。
注意:谷歌认证还会检查设备的基本完整性。但是,当选择基本完整性检查时,设备可能通过基本完整性检查,但不能通过谷歌认证。
每次您将策略和限制的配置文件分发到某些设备时,终端用户都会被通知接受该策略。这可以通过指定最终用户接受策略的时间限制来自定义。如果该策略没有在指定的时间内安装,则该策略将被移动到“违反策略”。如果用户接受该策略,则将其移动到已实施策略。 如果密码 策略已下发到设备,且在指定的时间内未按照配置的策略设置密码,则设备中除ME MDM应用、设置和启动器应用外的所有应用都将被禁用。用户设置密码后,禁用的应用将被启用。这是为了在违反公司策略时保护公司数据。
您可以自定义ME MDM应用设置,如允许用户删除应用,对管理设备隐藏应用等等。
如果用户从设备中删除了ME MDM应用,该设备将成为非被管设备,即IT管理员不能再管理用户的设备,因为设备管理必须使用ME MDM应用。如果您仍然希望允许用户删除MDM应用,您也可以配置一个告警,当用户试图删除MDM应用时,显示该告警。不适用于配置为配置文件所有者(工作配置文件)的设备。
您可以限制用户删除ME MDM应用。支持运行5.0或更高版本的安卓设备,设备应该配置为设备所有者。对于通过DEP注册的设备,可以限制用户删除ME MDM应用,请参阅这里。 |
您可以选择在被管设备中隐藏ME MDM应用。在这种情况下,用户无法打开ME MDM应用,访问应用内部的应用目录,也就无法下载通过应用目录分发的应用。
通常情况下,当设备未被管理时,用户可以手动删除设备中存在的ME MDM应用。包括所有的配置文件和应用程序数据被自动删除。但在某些情况下,如果您从设备管理中删除了一个设备,当设备上隐藏了ME MDM应用时,由于服务器连接问题,该应用不会从设备中删除。为了避免这些问题,可以参考以下几点:
现在,使用撤销管理密码禁用ME MDM应用的设备管理员权限然后删除。
按照以下步骤设置撤销管理密码:
撤销管理密码可用于以下场景:
要在设备上输入撤销管理密码,首先单击ME MDM应用图标,然后在可以看到应用名称的顶部窗格中单击4次。出现密码提示对话框,可以输入密码。
默认情况下,撤销管理密码已经设置,可以点击 图标查看。
如果您希望将您的企业logo作为ME MDM应用的图标,或者将ME MDM应用重命名,则可以使用该功能。MDM应用可以换标、可以重命名应用的显示名、可以修改应用图标,甚至可以定制启动屏幕图像。按照以下步骤重新命名ME MDM应用:
现在您可以看到ME MDM应用已根据您的选择重命名。
您可以选择以下通信方式之一,以便在MDM服务器和被管移动设备之间进行有效通信。
即时方式
当服务器-设备通信有不间断的互联网访问时,您可以选择这种通信方式。MDM服务器和被管移动设备之间的所有通信都将通过Firebase Cloud Messaging(FCM)立即进行。
在选择即时方式时,您应该选择Google Play
Store或MDM服务器下载ME MDM应用,并注册设备。
|
周期方式是即时方式的另一种选择,当您的组织内部公共互联网访问有限或无法访问谷歌应用或服务时,这是MDM服务器和移动设备之间通信的首选方式。在这种方式下,被管移动设备每60分钟与MDM服务器通信一次,因此不可能立即执行远程锁定、彻底清除等按需操作。
选择此选项后,用于设备注册的ME MDM应用,默认只能从MDM服务器下载。
|
作为注册的一部分,每个设备都需要下载ME MDM应用。ME MDM应用可以从Google Play Store或MDM服务器下载。您可以选择配置应该从中进行下载的方式。您可以通过以下步骤进行配置:
如果选择周期方式,则必须确保服务器可访问端口8020/9020,以便用户启动下载。 |
您已成功配置了ME MDM应用的下载方式。
当用户不再需要该设备或离职时,必须从移动设备中删除企业的所有信息。启用该选项后,用户可以在设备上删除MDM工作空间账户。
如果允许用户从设备中删除MDM工作空间账户,则该账户删除后,设备将托管。因此,建议禁用此选项。
您可以选择以下通信方式之一,以便在MDM服务器和被管移动设备之间进行有效通信。
即时方式
当服务器-设备通信有不间断的互联网访问时,您可以选择这种通信方式。MDM服务器和被管移动设备之间的所有通信都将通过Windows Notification Service(WNS)立即进行。
周期方式是即时方式的另一种选择,并且是MDM服务器和移动设备之间通信的首选方式,如果您的组织内部公共互联网访问有限制,或者该组织具有严格的安全标准。在这种方式下,被管移动设备每60分钟与MDM服务器通信一次,因此不可能立即执行远程锁定、彻底清除等按需操作。
|
如果允许用户从设备中删除MDM工作空间账户,则则该账户删除后,设备将托管。因此,建议禁用此选项。