Standard-Complianceregeln
Wenn ein Gerät oder Arbeitsprofil eine der unten aufgeführten Richtlinieneinstellungen nicht erfüllt, blockiert die Android Device Policy die Nutzung des Geräts oder Arbeitsprofils standardmäßig sofort.
passwordPolicies
encryptionPolicy
keyguardDisabled
permittedInputMethods
permittedAccessibilityServices
minApiLevel
Wenn das Gerät oder Arbeitsprofil nach 10 Tagen immer noch nicht konform ist, wird das Gerät über die Android Device Policy auf die Werkseinstellungen zurückgesetzt oder das Arbeitsprofil wird gelöscht.
Sofort | Nach 10 Tagen | |
---|---|---|
Gerät | Blockiert die Gerätenutzung. Wenn möglich, wird eine Nachricht mit einer Anleitung dazu angezeigt, wie die Richtlinieneinstellungen eingehalten werden. | Setzt das Gerät auf die Werkseinstellungen zurück. Die Schutzdaten für zurückgesetzte Geräte bleiben nicht erhalten. |
Arbeitsprofil | Die Nutzung des Arbeitsprofils wird blockiert. Wenn möglich, wird eine Nachricht mit einer Anleitung dazu angezeigt, wie die Richtlinieneinstellungen eingehalten werden. | Löscht das Arbeitsprofil. |
Diese Regeln für die Complianceerzwingung werden standardmäßig erzwungen, können aber geändert werden. Informationen zum Ändern dieser Regeln und zum Festlegen zusätzlicher Complianceregeln finden Sie im nächsten Abschnitt.
Benutzerdefinierte Complianceregeln festlegen
Mit policyEnforcementRules
können Sie benutzerdefinierte Aktionen für Richtlinienverstöße auf oberster Ebene festlegen. In policyEnforcementRules
definierte Einstellungen überschreiben die Standard-Complianceregeln der Android Device Policy.
Jede Regel enthält den Namen der Richtlinieneinstellung (settingName
) und muss die Anzahl der Tage angeben, für die ein Gerät oder Arbeitsprofil diese Einstellung nicht einhalten darf, bevor es blockiert (blockAfterDays
) und dann gelöscht wird (wipeAfterDays
).
{
"policyEnforcementRules":[
{
"settingName":"alwaysOnVpnPackage",
"blockAction":{
"blockAfterDays":3
},
"wipeAction":{
"wipeAfterDays":10,
"preserveFrp":true
}
}
]
}
Im obigen Beispiel für policyEnforcementRules
gilt:
- Wenn ein Gerät eine Einstellung in
alwaysOnVpnPackage
nicht erfüllt, wird die Gerätenutzung nach drei Tagen blockiert. - Wenn ein Gerät 10 Tage lang keiner Einstellung in
alwaysOnVpnPackage
entspricht, werden die Daten auf dem Gerät gelöscht. In diesem Fall bleiben die Schutzdaten für das Zurücksetzen auf die Werkseinstellungen jedoch erhalten (preserveFrp
isttrue
).
Best Practices für benutzerdefinierte Complianceregeln
blockAfterDays
undwipeAfterDays
dürfen nicht größer als30
sein.wipeAfterDays
muss größer alsblockAfterDays
sein.- Wenn Sie die Nutzung des Geräts oder Arbeitsprofils sofort blockieren möchten, setzen Sie
blockAfterDays
auf0
.
Benachrichtigungen zu Richtlinienverstößen erhalten
Wenn ein Gerät (unabhängig von den Erzwingungsregeln) eine Richtlinieneinstellung nicht erfüllt, wird eine Benachrichtigung über die Nichtcompliance mit folgendem Hinweis generiert:
- Die Richtlinieneinstellung, die das Gerät oder Arbeitsprofil nicht erfüllt.
- Grund, dass das Gerät oder Arbeitsprofil nicht der Einstellung entspricht.
So konfigurieren Sie ein Unternehmen für den Empfang von Benachrichtigungen zu Richtlinienverstößen:
- Fügen Sie
STATUS_REPORT
inenabledNotificationTypes[]
ein, wenn Sie das Unternehmen erstellen oder aktualisieren. - Aktivieren Sie Pub/Sub-Benachrichtigungen.
Migrieren Sie zu policyEnforcementRules
Wenn Sie die Android Management API vor dem 7. Mai 2019 aktiviert haben, werden von der Android Device Policy keine Standard-Complianceregeln erzwungen.
Definieren Sie zum Aktualisieren Ihrer Richtlinien Ihre Compliance-Logik mit policyEnforcementRules
.
policyEnforcementRules
überschreibt complianceRules
(jetzt verworfen). Entfernen Sie complianceRules
jedoch nicht aus den Richtlinien.