Standard-Complianceregeln
Wenn ein Gerät oder Arbeitsprofil eine der unten aufgeführten Richtlinieneinstellungen nicht erfüllt, blockiert die Android Device Policy die Nutzung des Geräts oder Arbeitsprofils standardmäßig sofort.
passwordPoliciesencryptionPolicykeyguardDisabledpermittedInputMethodspermittedAccessibilityServicesminApiLevel
Wenn das Gerät oder Arbeitsprofil nach 10 Tagen immer noch nicht konform ist, wird das Gerät über die Android Device Policy auf die Werkseinstellungen zurückgesetzt oder das Arbeitsprofil wird gelöscht.
| Sofort | Nach 10 Tagen | |
|---|---|---|
| Gerät | Blockiert die Gerätenutzung. Wenn möglich, wird eine Nachricht mit einer Anleitung dazu angezeigt, wie die Richtlinieneinstellungen eingehalten werden. | Setzt das Gerät auf die Werkseinstellungen zurück. Die Schutzdaten für zurückgesetzte Geräte bleiben nicht erhalten. |
| Arbeitsprofil | Die Nutzung des Arbeitsprofils wird blockiert. Wenn möglich, wird eine Nachricht mit einer Anleitung dazu angezeigt, wie die Richtlinieneinstellungen eingehalten werden. | Löscht das Arbeitsprofil. |
Diese Regeln für die Complianceerzwingung werden standardmäßig erzwungen, können aber geändert werden. Informationen zum Ändern dieser Regeln und zum Festlegen zusätzlicher Complianceregeln finden Sie im nächsten Abschnitt.
Benutzerdefinierte Complianceregeln festlegen
Mit policyEnforcementRules können Sie benutzerdefinierte Aktionen für Richtlinienverstöße auf oberster Ebene festlegen. In policyEnforcementRules definierte Einstellungen überschreiben die Standard-Complianceregeln der Android Device Policy.
Jede Regel enthält den Namen der Richtlinieneinstellung (settingName) und muss die Anzahl der Tage angeben, für die ein Gerät oder Arbeitsprofil diese Einstellung nicht einhalten darf, bevor es blockiert (blockAfterDays) und dann gelöscht wird (wipeAfterDays).
{
"policyEnforcementRules":[
{
"settingName":"alwaysOnVpnPackage",
"blockAction":{
"blockAfterDays":3
},
"wipeAction":{
"wipeAfterDays":10,
"preserveFrp":true
}
}
]
}
Im obigen Beispiel für policyEnforcementRules gilt:
- Wenn ein Gerät eine Einstellung in
alwaysOnVpnPackagenicht erfüllt, wird die Gerätenutzung nach drei Tagen blockiert. - Wenn ein Gerät 10 Tage lang keiner Einstellung in
alwaysOnVpnPackageentspricht, werden die Daten auf dem Gerät gelöscht. In diesem Fall bleiben die Schutzdaten für das Zurücksetzen auf die Werkseinstellungen jedoch erhalten (preserveFrpisttrue).
Best Practices für benutzerdefinierte Complianceregeln
blockAfterDaysundwipeAfterDaysdürfen nicht größer als30sein.wipeAfterDaysmuss größer alsblockAfterDayssein.- Wenn Sie die Nutzung des Geräts oder Arbeitsprofils sofort blockieren möchten, setzen Sie
blockAfterDaysauf0.
Benachrichtigungen zu Richtlinienverstößen erhalten
Wenn ein Gerät (unabhängig von den Erzwingungsregeln) eine Richtlinieneinstellung nicht erfüllt, wird eine Benachrichtigung über die Nichtcompliance mit folgendem Hinweis generiert:
- Die Richtlinieneinstellung, die das Gerät oder Arbeitsprofil nicht erfüllt.
- Grund, dass das Gerät oder Arbeitsprofil nicht der Einstellung entspricht.
So konfigurieren Sie ein Unternehmen für den Empfang von Benachrichtigungen zu Richtlinienverstößen:
- Fügen Sie
STATUS_REPORTinenabledNotificationTypes[]ein, wenn Sie das Unternehmen erstellen oder aktualisieren. - Aktivieren Sie Pub/Sub-Benachrichtigungen.
Migrieren Sie zu policyEnforcementRules
Wenn Sie die Android Management API vor dem 7. Mai 2019 aktiviert haben, werden von der Android Device Policy keine Standard-Complianceregeln erzwungen.
Definieren Sie zum Aktualisieren Ihrer Richtlinien Ihre Compliance-Logik mit policyEnforcementRules.
policyEnforcementRules überschreibt complianceRules (jetzt verworfen). Entfernen Sie complianceRules jedoch nicht aus den Richtlinien.