自动化操作

在 Endpoint Management 中创建自动化操作以计划对事件、用户或设备属性或者用户设备上存在应用程序做出反应。创建自动化操作时,针对操作定义的触发器确定在用户设备连接到 Endpoint Management 时进行的操作。触发事件后,您可以在采取更实质性的操作之前向用户发送通知以更正问题。

例如,假设您要检测先前加入黑名单的应用程序(例如,“Words with Friends”)。您可以指定一个触发器,用于在用户设备上检测到“Words with Friends”时,将该设备设置为不合规。然后,该操作向用户通知必须删除该应用程序才能使其设备恢复合规状态。您还可以设置等待用户按指示进行操作的时间限制。过了该时间限制后,将发生定义的操作,例如,选择性擦除设备。

如果用户设备进入不合规状态,之后用户修复了该设备:请配置一个用来将设备重置为合规状态的软件包部署策略。

设置为自动出现的影响范围如下:

  • 完全或选择性地擦除设备。
  • 将设备设置为不合规。
  • 吊销设备。
  • 在采取更严重的操作之前,向用户发送通知以更正问题。

可以为仅 MAM 模式配置应用程序锁定和应用程序擦除操作。

可以在 Azure AD 中使用自动化操作将加入 Azure Active Directory (AD) 的 Windows 10 设备标记为不合规。

注意:

必须在 Endpoint Management 设置中为 SMTP 和 SMS 配置通知服务器,以便 Endpoint Management 能够发送消息,才能通知用户。有关信息,请参阅 通知。此外,请在继续操作前设置计划使用的通知模板。有关详细信息,请参阅 创建和更新通知模板

要添加、编辑和过滤自动化操作,请执行以下操作:

  1. 在 Endpoint Management 控制台中,单击配置 > 操作。此时将显示操作页面。

  2. 操作页面上,执行以下操作之一:

    • 单击添加以添加操作。
    • 选择要编辑或删除的现有操作。单击要使用的选项。
  3. 此时将显示操作信息页面。

  4. 操作信息页面上,输入或修改以下信息:

    • 名称:键入名称来标识操作。此字段为必填字段。
    • 说明:描述执行该操作的目的。
  5. 单击下一步。此时将显示操作详细信息页面。

    以下示例显示如何设置事件触发器。如果选择其他触发器,出现的选项将与此处显示的选项有所差别。

    “操作”配置屏幕

  6. 操作详细信息页面上,输入或修改以下信息:

    触发器列表中,单击适用于此操作的事件触发器类型。每个触发器的含义如下所示:

    • 事件:对预定义的事件做出反应。
    • 设备属性:检查在 MDM 模式下收集的设备上的设备属性,并对其做出反应。有关详细信息,请参阅设备属性名称和值 PDF。
    • 用户属性:对用户属性(通常来自 Active Directory)做出反应。
    • 已安装应用程序的名称:对正在安装的应用程序做出反应。不应用于仅 MAM 模式。要求在设备上启用应用程序清单策略。默认情况下,应用程序清单策略在所有平台上均处于启用状态。有关详细信息,请参阅 应用程序清单设备策略
    • Policy returned value(策略返回的值):检查从 PowerShell 脚本返回的值是否满足某些逻辑条件。必须启用和配置 Windows 代理策略。有关 Windows 代理策略的详细信息,请参阅 Windows 代理设备策略
  7. 在下一个列表中,单击对触发器的响应。

  8. 操作列表中,单击符合触发器条件时要执行的操作。除发送通知外,请选择一个时间范围,让用户可以解决导致触发的问题。如果在该时间范围内未解决此问题,将执行选定的操作。有关操作的定义,请参阅安全操作

    如果选择发送通知,则按照以下步骤发送通知操作。

  9. 在下一个列表中,选择用于通知的模板。此时将显示与所选事件有关的通知模板。如果没有与通知类型对应的模板,系统会提示您配置模板,并显示消息:此事件类型的模板不存在。请使用设置中的通知模板来创建模板。

    在可以通知用户之前,必须已在“设置”中为 SMTP 和 SMS 配置通知服务器,以便 Endpoint Management 能够发送消息,请参阅通知。此外,请在继续操作前设置计划使用的通知模板。有关设置通知模板的详细信息,请参阅创建和更新通知模板

    “操作”配置屏幕

    选择模板后,可以单击预览通知消息来预览通知。

    “操作”配置屏幕

  10. 在以下字段中,以天、小时或分钟为单位设置执行该操作之前的延迟。设置用户解决触发问题前重复执行操作的时间间隔。

    “操作”配置屏幕

  11. 摘要中,验证您是否已按预期创建自动化操作。

    “操作”配置屏幕

  12. 配置操作详细信息后,可以分别为每个平台配置部署规则。为此,针对您选择的每个平台执行步骤 13。

  13. 配置部署规则。有关配置部署规则的常规信息,请参阅部署资源

    对于此示例:

    • 设备所有权必须为 BYOD
    • 设备本地加密必须为 True
    • 设备必须兼容通行码。
    • 设备的移动设备国家/地区代码不能仅为“安道尔”。
  14. 针对该操作配置了平台部署规则后,单击下一步。此时将显示操作分配页面,您可以在此将操作分配给一个或多个交付组。此步骤可选。

  15. 选择交付组旁边 ,键入以查找交付组或者在列表中选择组。选择的组显示在用于接收应用程序分配的交付组列表中。

  16. 展开部署计划,然后配置以下设置:

    • 部署旁边,单击以计划部署,或单击以阻止部署。默认选项为。如果选择,则无需其他选项。

    • 部署计划旁边,单击立即以后。默认选项为立即

    • 如果单击以后,请单击日历图标,然后选择部署的日期和时间。

    • 部署条件旁边,单击每次连接时或单击仅当之前的部署失败时。默认选项为每次连接时

    • 为始终启用的连接部署旁边,单击。默认选项为

      如果在设置 > 服务器属性中配置了计划后台部署密钥,则适用此选项。

      注意:

      如果在设置 > 服务器属性中配置了计划后台部署密钥,则适用此选项。

      始终启用选项:

      • 不适用于 iOS 设备
      • 对于开始使用 10.18.19 或更高版本的 Endpoint Management 的客户,不适用于 Android、Android Enterprise 和 Chrome OS
      • 对于开始使用版本 10.18.19 之前的 Endpoint Management 的客户,不建议在 Android、Android Enterprise 和 Chrome OS 中使用

      配置的部署计划对所有平台相同。您所做的更改适用于所有平台,但为始终启用的连接部署除外。

  17. 单击下一步。此时将显示摘要页面,您可以在此验证操作配置。

  18. 单击保存以保存操作。

面向仅 MAM 模式的应用程序锁定和应用程序擦除操作

您可以针对 Endpoint Management 控制台中列出的全部四种类别触发器(即事件、设备属性、用户属性和已安装应用程序的名称),采取擦除或锁定设备上的应用程序这一响应方式。

配置应用程序擦除或应用程序锁定自动操作

  1. 在 Endpoint Management 控制台中,单击配置 > 操作

  2. 操作页面上,单击添加

  3. 操作信息页面上,输入操作名称和可选说明。

  4. 操作详细信息页面上,选择所需的触发器。

  5. 操作中,选择一项操作。

    针对此步骤,请记住以下条件:

    触发器类型为事件,但值不是 Active Directory 已禁用用户时,将不显示应用程序擦除应用程序锁定操作。

    触发器类型为设备属性,值为已启用 MDM 丢失模式时,将不显示以下操作:

    • 选择性擦除设备
    • 完全擦除设备
    • 吊销设备

    每个选项都会自动设置 1 小时延迟,但也可选择以分钟、小时或天为单位的延迟期限。延迟的目的是在执行操作之前让用户有时间解决问题。有关应用程序擦除和应用程序锁定操作的详细信息,请参阅安全操作

    注意:

    如果您将触发器设置为事件,重复时间间隔将自动设置为最小值 1 小时。设备必须刷新策略以与服务器同步,才能传入通知。通常情况下,设备将在用户通过 Secure Hub 登录或手动刷新其策略时与服务器同步。

    在执行任何操作之前,还可能会再延迟 1 小时左右,以便允许 Active Directory 数据库与 Endpoint Management 同步。

    “操作”配置屏幕

  6. 配置部署规则,然后单击下一步

  7. 配置交付组分配和部署计划,然后单击下一步

  8. 单击保存

检查应用程序锁定或应用程序擦除状态

  1. 转至管理 > 设备,单击某个设备,然后单击显示更多

    “管理设备”屏幕

  2. 滚动到设备应用程序擦除设备应用程序锁定

    “管理设备”屏幕

    擦除设备后,系统将提示用户输入 PIN 代码。如果用户忘记了该代码,您可以在“设备详细信息”中查找。

    “管理设备”屏幕

在 Azure AD 中将 Windows 10 设备标记为不合规

当加入到 Azure AD 的 Windows 10 设备被 Endpoint Management 标记为不合规时,也可以在 Azure AD 中将其标记为不合规。要启用此功能,请添加对本地 MDM 应用程序的权限,以访问 Azure AD 门户中的 Microsoft Graph API。

  1. 使用您的 Azure AD 管理员凭据登录 Azure AD 门户。

  2. 在 Azure AD 门户中,导航到 Azure Active Directory > 移动性(MDM 和 MAM)。选择本地 MDM 应用程序

  3. 单击本地应用程序设置 > 所需权限 > 添加 > 选择 API > Microsoft Graph。单击选择并保存。

  4. 所需权限下,选择 Microsoft Graph。在启用访问权限下,选择读取和写入目录数据

  5. 所需权限下,选择 Microsoft Graph。然后单击授予权限

  6. 单击授予权限。

每当在 Azure AD 中注册的 Windows 10 设备被 Endpoint Management 标记为不合规时,也会在 Azure AD 中将其标记为不合规。

基于 Windows 代理设备策略结果创建自动化操作

使用 Windows 代理设备策略部署用于监视托管 Windows 桌面和平板电脑上的注册表值的脚本。根据从脚本返回的值,您可以配置要运行的自动化操作。

  1. 配置 Windows 代理设备策略并检查脚本返回的值。有关 Windows 代理设备策略的信息,请参阅 Windows 代理设备策略

    该文章和本部分内容包括一个基于名为 EntApp_2019_checkFirewall 的脚本的示例。如下面的屏幕中所示,相关 Windows 代理设备策略定义了名为 cName_checkFirewall 的配置。该配置运行示例脚本。

    Windows 代理设备策略屏幕

    脚本在设备上运行后,您将获得创建操作所需的信息,如 Windows 代理设备策略中所述。

  2. 在 Endpoint Management 控制台中,单击配置 > 操作
  3. 操作页面上,单击添加
  4. 操作信息页面上,输入操作名称和可选说明。
  5. 操作详细信息页面上,选择 Policy returned value(策略返回的值)触发器。

    操作详细信息屏幕

  6. 在显示的字段中,定义触发器和操作:

    • Windows Agent settings(Windows 代理设置):键入您创建的 Windows 代理策略的策略名称、配置名称和键名称。
    • Drop-down menu(下拉菜单):选择 Is(是)、Is Not(不是) 、Contains(包含)或 Does Not Contain(不包含)逻辑。此逻辑应用到下一个字段,并在应用逻辑时导致操作触发。
    • 输入字符串: 输入运行在策略中上传的 PowerShell 脚本所产生的字符串。有关查找该字符串的信息,请参阅 Windows 代理设备策略
    • 操作: 选择一项操作、操作值,然后选择解析该操作的时间范围。

    在我们的示例中:如果键名称 firewallEnabled 返回值 true,则以下操作将设备标记为合规。

    操作详细信息屏幕

    如果键名称 firewallEnabled 返回值 false,则以下操作将设备标记为不合规。

    操作详细信息屏幕

  7. 如果需要,请设置部署计划并选择交付组。