Контроль соответствия позволяет проверять соблюдение требований корпоративной безопасности на iOS MDM-устройствах и принимать меры в случае обнаружения несоответствия требованиям. Контроль соответствия работает на основе списка правил. Каждое правило содержит следующие компоненты:
Чтобы добавить правило проверки устройств на соответствие политике:
Откроется окно Контроль соответствия.
Запустится Мастер добавления правила. С помощью мастера можно создать набор правил для проверки соответствия устройства политике. Следуйте шагам мастера, используя кнопки Далее и Назад.
Шаг 1. Критерий несоответствия
Нажмите Добавить критерий, чтобы указать критерий несоответствия для срабатывания правила.
Доступны следующие критерии:
В списке приложений на устройстве есть запрещенные приложения или отсутствуют обязательные.
Для этого критерия выберите условие (Содержит или Не содержит) и укажите Идентификатор пакета (Bundle ID). Как получить идентификатор пакета приложения
Версия операционной системы на устройстве не соответствует заданному диапазону разрешенных версий.
Для этого критерия выберите условие (Равна, Не равна, Ниже, Ниже или равна, Выше или Выше или равна) и укажите версию iOS.
Операторы Равна и Не равна проверяют полное соответствие версии операционной системы указанному значению. Например, если в правиле указать версию 15, а устройство работает на iOS 15.2, то условие Равна не будет выполнено. Если необходимо указать диапазон версий, вы можете создать два критерия, использовав операторы Ниже и Выше.
Статус управления устройством не соответствует требуемому.
Для этого критерия выберите режим работы устройства (Расширенный контроль или Базовый контроль).
Тип устройства не соответствует требуемому.
Для этого критерия выберите тип устройства (iPhone или iPad).
Модель устройства не соответствует требуемой.
Для этого критерия выберите условие (Равна или Не равна) и укажите модели, которые будут проверены или исключены из проверки.
Чтобы указать модель, в поле Идентификатор модели выберите требуемую модель из списка или введите значение вручную. Список содержит коды мобильных устройств и соответствующие им публичные названия. Например, чтобы добавить все модели iPhone 14, введите "iPhone 14". В этом случае можно выбрать любую из доступных моделей: "iPhone 14", "iPhone 14 Plus", "iPhone 14 Pro", "iPhone 14 Pro Max".
В некоторых случаях одно публичное название может соответствовать нескольким кодам мобильных устройств (например, публичное название "iPhone 7" соответствует двум кодам мобильных устройств – "iPhone 9.1" и "iPhone 9.3"). Убедитесь, что выбрали все коды мобильных устройств, которые соответствуют нужным моделям.
При вводе значения, отсутствующего в списке, ничего не будет найдено. Тем не менее, вы можете нажать Добавить: "<значение>" и добавить введенное значение к критерию.
Если указаны противоречащие друг другу критерии (например, в поле Тип устройства указано значение iPhone, а списке значений Модель устройства с выбранным оператором Равна - модель iPad), отобразится сообщение об ошибке. Вы не можете сохранить правило с такими критериями.
Статус роуминга устройства не соответствует требуемому.
Для этого критерия выберите условие (Устройство в роуминге или Устройство не в роуминге).
Пароль не установлен или не соответствует параметрам, указанным в разделе политики Параметры разблокировки экрана.
Для этого критерия выберите условие (Не установлен, Установлен, но не соответствует требованиям или Установлен и соответствует требованиям).
Объем свободного места на устройстве меньше указанного порогового значения.
Для этого критерия укажите пороговое значение свободного места (Меньше или равно) и выберите единицу измерения (МБ или ГБ).
Устройство не зашифровано.
На iOS-устройствах шифрование данных включено по умолчанию, если установлен пароль для разблокировки устройства (Настройки > Touch ID / Face ID и пароль > Включить пароль). Также для аппаратного шифрования на устройстве должно быть установлено значение На уровне блоков и файлов (этот параметр можно проверить в свойствах устройства: перейдите в Активы (Устройства) → Мобильные → Устройства и выберите необходимое устройство).
SIM-карта устройства была заменена или извлечена относительно предыдущего состояния проверки, или была установлена дополнительная SIM-карта.
Для этого критерия выберите условие (SIM-карта не должна быть заменена или удалена или SIM-карта не должна быть заменена или удалена; не должны быть установлены дополнительные SIM-карты).
На устройствах, совместимых с eSIM, обнаруженное несоответствие невозможно устранить, вставив ранее удаленную eSIM. Это связано с тем, что операционная система устройства распознает каждую добавленную карту eSIM как новую. В этом случае вам необходимо удалить правило Контроля соответствия из политики.
Проверяется последняя синхронизация устройства с Сервером iOS MDM.
Для этого критерия укажите максимальный период с момента последней синхронизации в поле Период без синхронизации и выберите единицы измерения (Часы или Дни).
Не рекомендуется выбирать значение меньше значения параметра Период синхронизации (мин), указанного в параметрах Сервера iOS MDM.
Шаг 2. Реакции при несоответствии требованиям безопасности
Добавьте действия, которые будут выполняться на устройстве при обнаружении указанного критерия несоответствия.
Выберите один из следующих вариантов:
Реакции применяются во время проверки соблюдения правил соответствия (1 раз в 40 минут) до следующей синхронизации с Сервером iOS MDM. Чтобы предотвратить повторные реакции по одному и тому же случаю несоответствия, в поле Период синхронизации (мин) в параметрах Сервера iOS MDM укажите значение 30 минут.
Если вы укажете реакции, которые противоречат друг другу, отобразится сообщение об ошибке. Такое правило нельзя сохранить.
Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить реакцию, отправив устройству соответствующую команду.
Доступны следующие реакции:
Пользователь будет уведомлен о случае несоответствия по электронной почте.
Для этой реакции укажите адрес электронной почты пользователя в полях Адрес электронной почты и Дополнительный адрес электронной почты. При необходимости вы также можете изменить тему письма и текст по умолчанию.
Убедитесь, что в свойствах Сервера администрирования в разделе Электронная почта настроены уведомления. Дополнительная информация о настройке уведомлений приведена в справке Kaspersky Security Center.
С устройства удалены все установленные конфигурационные профили, provisioning-профили, управляющий профиль и приложения, для которых был установлен флажок Удалять при удалении управляющего профиля. Реакция применяется через отправку команды Удалить корпоративные данные.
Для этой реакции укажите одно из действий:
Перед установкой профиля убедитесь, что профиль добавлен в список конфигурационных профилей в разделе параметров Сервера iOS MDM Конфигурационные профили.
Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно установить удаленные конфигурационные профили один за другим, отправив устройству соответствующую команду.
Для этой реакции укажите Версия ОС и одно из действий:
Если в критерии Версия операционной системы указана несуществующая версия, устройство обновится до последней загруженной версии.
Это реакция применима только к устройствам с режимом работы "Расширенный контроль".
Для этой реакции укажите, требуется ли включить или отключить Bluetooth на устройстве.
Это реакция применима только к устройствам с режимом работы "Расширенный контроль".
Удалены все данные с устройства; настройки устройства сброшены до установленных по умолчанию. После применения этой реакции устройство перестает быть управляемым. Для подключения устройства к Kaspersky Security Center необходимо переустановить на устройстве управляющий профиль.
Для этой реакции укажите одно из действий:
Вы можете удалить только управляемое приложение. Приложение считается управляемым, если оно установлено с помощью Kaspersky Security Center через команду Установить приложение.
Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.
Для этого действия необходимо указать Идентификатор пакета (Bundle ID) удаляемого приложения. Как получить идентификатор пакета приложения
Вы можете удалить только управляемые приложения. Приложение считается управляемым, если оно установлено с помощью Kaspersky Security Center через команду Установить приложение.
Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно установить удаленные приложения одно за другим, отправив устройству соответствующую команду.
Для этого действия необходимо указать Идентификатор пакета (Bundle ID) удаляемых приложений. Как получить идентификатор пакета приложения
Для этого действия необходимо указать Тип профиля, удаляемого с устройства (например, Веб-клипы или Подписки на календари).
Как только критерии несоответствия правилу перестанут обнаруживаться на устройстве, удаленные профили автоматически восстановятся.
Для этой реакции необходимо указать, требуется ли включить или отключить роуминг данных на устройстве.
Нажмите Добавить правило, чтобы завершить Мастер добавления правила. Новое правило и краткие сведения о нем появятся в списке правил Контроля соответствия. Чтобы временно выключить правило, используйте переключатель рядом с выбранным правилом.
Чтобы включить автоматическое удаление данных с устройств, связанных с неактивными учетными записями пользователей Active Directory, установите флажок Удалять данные неактивных пользователей Active Directory и выберите одно из действий:
Для этих настроек необходима интеграция с Microsoft Active Directory.
Если вы используете профили политики, убедитесь, что вы выставили опцию удаления данных на всю политику. После удаления пользователя из Active Directory он в первую очередь удалится из группы пользователей Active Directory. В результате профиль политики больше не будет распространяться на учетную запись этого пользователя, поэтому данные не будут удалены с устройства.
Нажмите Сохранить, чтобы сохранить внесенные изменения.
В начало