自动操作

您可以在端点管理中创建自动操作来编程响应:

• 事件
• 用户或设备属性
• 用户设备上应用的存在

当您创建自动化操作时，为该操作定义的触发器将确定当用户设备连接到Endpoint Management时在该设备上发生的事情。当事件触发时，您可以向用户发送通知，以便在采取更严重的操作之前纠正问题。

您设置的自动发生的效果范围如下:

• 完全或选择性地擦拭设备。
• 将设备设置为不符合要求。
• 撤销设备。
• 在采取更严重的操作之前，向用户发送通知以纠正问题。

你可以为MAM-only模式配置应用锁定和应用擦除动作。

您可以使用自动操作将连接到Azure活动目录(AD)的Windows 10和Windows 11设备标记为不符合Azure AD中的法规。

注意:

在通知用户之前，必须在SMTP的端点管理设置中配置通知服务器，以便端点管理可以发送消息。有关信息，请参见通知．另外，在继续之前设置好您计划使用的通知模板。详细信息请参见创建和更新通知模板．

例子的行为

下面是一些使用自动操作的例子:

一个例子

• 你想检测你之前屏蔽的应用程序(例如，“Words with Friends”)。您可以指定一个触发器，在检测到“Words with Friends”应用程序后将用户设备设置为不合规。然后，该操作通知用户，他们必须删除应用程序，以使他们的设备恢复合规。您还可以设置等待用户遵守的时间限制。在该时间限制之后，将发生定义的操作，例如选择性地擦拭设备。

两个例子

• 您希望验证客户是否正在使用最新的固件，并在用户需要更新其设备时阻止对资源的访问。您可以指定一个触发器，当用户设备没有最新版本时，该触发器将用户设备设置为不符合法规。您可以使用自动操作来阻塞资源并通知客户。

三个例子

• 用户设备处于不合规状态，然后用户修复设备。您可以配置策略部署包，将设备重置为合规状态。

四个例子

• 您希望将在一段时间内处于非活动状态的用户设备标记为不符合法规。您可以为未激活的设备创建一个自动操作，如下所示:

  1. 在端点管理控制台中，转到>网络访问控制然后选择闲置的设备．有关的更多信息闲置的设备设置,请参阅网络访问控制．
  2. 按照步骤添加操作，如添加和管理操作．惟一的区别是在行动的细节页面:
     • 触发．选择设备属性，不合规,真正的．
     • 行动．选择发送通知并选择您使用通知模板在设置．然后在执行该操作之前以天、小时或分钟为单位设置延迟时间。设置操作重复的时间间隔，直到用户解决触发问题为止。

  提示:

  若要批量删除非活动设备，请使用端点管理公共REST API．首先手动获取想要删除的非活动设备的设备id，然后运行delete API批量删除它们。

添加和管理操作

添加、编辑和筛选自动操作:

1. 从Endpoint Management控制台单击配置>动作．的行动页面出现。

2. 在行动Page，执行以下操作之一:

   • 点击添加添加一个动作。
   • 选择要编辑或删除的现有操作。单击要使用的选项。

3. 的行动信息页面出现。

4. 在行动信息页，输入或修改以下信息:

   • 名称:键入一个名称来标识操作。该字段为必填项。
   • 描述:描述动作的目的是什么。

5. 点击下一个．的行动的细节页面出现。

   下面的示例显示如何设置事件触发器。如果选择不同的触发器，则结果选项与此处显示的选项不同。

   

6. 在行动的细节页，输入或修改以下信息:

   在触发列表中，单击此操作的事件触发器类型。选择以下触发器之一:

   • 事件:检查设备状态是否与您选择的不符合事件匹配，然后对其作出反应。
   • 设备性能:在mdm管理的设备上检查设备属性的特定值，然后对其做出反应。有关更多信息，请参见设备属性名和值PDF。
   • 用户属性:响应用户属性的特定值，通常来自Active Directory。
   • 已安装app名称:对正在安装的应用程序做出反应。不适用于MAM-only模式。要求在设备上启用应用程序库存策略。应用程序库存策略默认在所有平台上启用。详细信息请参见App库存设备策略．
   • 策略返回值:检查PowerShell脚本返回的值是否符合特定的逻辑标准。必须启用并配置Windows Agent策略。有关Windows代理策略的详细信息，请参见Windows Agent设备策略．

7. 在下一个列表中，单击对触发器的响应。

8. 在行动列表中，单击满足触发条件时要执行的操作。除了发送通知操作时，您选择一个时间范围，在这个时间范围内，用户可以解决导致触发的问题。如果问题没有在该时间范围内解决，则采取所选的操作。有关操作的定义，请参见安全的行为．

   如果你选择发送通知，使用以下步骤发送通知操作。

9. 在下一个列表中，选择用于通知的模板。将出现与所选事件相关的通知模板。如果没有通知类型的模板，系统将提示您配置带有消息的模板:此事件类型没有模板。使用以下命令创建模板通知模板在设置．

   要通知用户，使用>通知服务器设置配置SMTP设置，以便端点管理可以发送消息。看到通知．此外，在继续之前，请使用>通知模板设置设置计划使用的任何通知模板。看到创建和更新通知模板．

   

   选择模板后，单击预览通知消息．

   

10. 在以下字段中，设置执行操作前的延迟时间，单位为天、小时或分钟。设置操作重复的时间间隔，直到用户解决触发问题为止。

    

11. 在总结，验证您是否按预期创建了自动操作。

    

12. 配置操作详细信息后，可以分别为每个平台配置部署规则。为此，为您选择的每个平台完成第13步。

13. 配置部署规则有关配置部署规则的一般信息，请参见部署资源．

    对于这个例子:

    • 设备所有权必须是BYOD．
    • 设备必须符合密码。
    • 设备移动国家代码不能只有安道尔。

14. 完成操作的平台部署规则配置后，单击下一个．的行动的任务页将出现，在其中将操作分配给一个或多个交付组。该步骤是可选的。

15. 旁边选择交付组，键入以查找交付组或在列表中选择组。显示您选择的组交付组接收应用程序分配列表。

16. 扩大部署计划然后配置如下设置:

    • 旁边部署,点击在调度部署或单击从防止部署。默认选项为在．如果你愿意从，不需要其他选项。

    • 旁边部署计划,点击现在或晚些时候．默认选项为现在．

    • 如果你点击晚些时候，单击日历图标，然后选择部署的日期和时间。

    • 旁边部署条件,点击在每一个连接上或者点击仅当以前的部署失败时．默认选项为在每一个连接上．

    • 旁边部署为始终在线连接,点击在或从．默认选项为从．

      中配置了调度后台部署键时，此选项适用>服务器属性．

      注意:

      中配置了调度后台部署键时，此选项适用>服务器属性．

      always-on选项:

      • 对于iOS设备不可用
      • 对于开始使用10.18.19或更高版本的端点管理的客户，Android、Android企业和Chrome OS不可用
      • 对于在10.18.19版本之前开始使用端点管理的客户，不建议用于Android, Android企业和Chrome OS

      您配置的部署计划对所有平台都是相同的。您所做的任何更改都适用于所有平台，除了部署为始终在线连接．

17. 点击下一个．的总结页将出现，您可以在其中验证操作配置。

18. 点击保存保存操作。

应用程序锁定和应用程序擦除操作仅mam模式

终端管理控制台中列出的所有四类触发器:事件、设备属性、用户属性和安装的应用程序名称，都可以在设备上擦除或锁定应用程序。

设置应用自动擦除或应用自动锁定

1. 在Endpoint Management控制台中，单击配置>动作．

2. 在行动页面,点击添加．

3. 在行动信息页，输入操作的名称和可选的描述。

4. 在行动的细节页，选择所需的触发器。

5. 在行动，选择操作。

   在这一步中，请记住以下条件:

   当触发器类型为事件而值为notActive Directory禁用用户,应用程序删除而且应用锁动作不会出现。

   当触发器类型为设备属性值是启用MDM丢失模式时，以下操作不会出现:

   • 选择性擦拭设备
   • 彻底擦拭设备
   • 撤销设备

   每个选项都会自动设置1小时的延迟，但您可以选择分钟、小时或天的延迟时间。延迟的目的是让用户有时间在操作发生之前修复问题。有关App擦除和App锁定动作的更多信息，请参见安全的行为．

   注意:

   如果你把触发器设为事件时，重复时间间隔自动设置为最小1小时。设备必须执行策略刷新，以便与服务器同步，才能收到通知。通常，当用户登录或通过Secure Hub手动刷新其策略时，设备会与服务器同步。

   在执行任何操作之前，可能会出现大约1小时的额外延迟，以允许Active Directory数据库与Endpoint Management同步。

   

6. 配置部署规则后，单击下一个．

7. 配置交付组分配和部署计划，然后单击下一个．

8. 点击保存．

检查应用程序锁定或应用程序擦除状态

1. 去管理>个设备，单击设备，然后单击显示更多．

   

2. 滚动到设备App擦拭而且设备应用程序锁定．

   

   设备被擦除后，用户会被提示输入PIN码。如果用户忘记了代码，您可以在设备详细信息中查找它。

   

在Azure AD中将Windows 10和Windows 11设备标记为不合规

当连接到Azure AD的Windows 10和Windows 11设备被端点管理标记为不合规时，它们也可以在Azure AD中标记为不合规。要启用此功能，请向本地MDM应用程序添加访问Azure AD门户中的Microsoft Graph API的权限。

1. 使用Azure AD管理员凭证登录到Azure AD门户。

2. 在Azure AD门户中，导航到Azure Active Directory >移动(MDM和MAM)．选择本地MDM应用程序．

3. 点击本地应用程序设置>所需权限>添加>选择API > Microsoft Graph．点击选择并保存。

4. 下需要的权限中,选择微软图．下允许访问中,选择读写目录数据．

5. 下需要的权限中,选择微软图．然后单击授予的权限．

6. 点击是的授予权限。

当运行Windows 10或Windows 11的Azure AD注册设备不符合法规时，端点管理也会在Azure AD中将该设备标记为不符合法规。

根据Windows Agent设备策略结果创建自动操作

使用Windows Agent设备策略部署脚本，监视受管理的Windows台式机和平板电脑上的注册表值。根据从脚本返回的值，然后可以配置要运行的自动操作。

1. 配置Windows Agent设备策略，检查脚本返回值。有关Windows Agent设备策略的信息，请参见Windows Agent设备策略．

   那篇文章和本节包括一个基于名为EntApp_2019_checkFirewall．相关的Windows代理设备策略定义了一个名为cName_checkFirewall．该配置运行示例脚本。

   脚本在设备上运行后，您将获得创建操作所需的信息，如中所述Windows Agent设备策略．

2. 在Endpoint Management控制台中，单击配置>动作．
3. 在行动页面,点击添加．
4. 在行动信息页，输入操作的名称和可选的描述。

5. 在行动的细节页，选择策略返回值触发器。

   

6. 在出现的字段中，定义触发器和动作:

   • Windows Agent设置:键入您创建的Windows Agent策略的策略名称、配置名称和密钥名称。
   • 下拉菜单:选择是，不是，包含,或不包含逻辑。此逻辑应用于下一个字段，并在应用此逻辑时触发操作。
   • 输入字符串:输入运行策略中上传的PowerShell脚本产生的字符串。有关查找该字符串的信息，请参见Windows Agent设备策略．
   • 行动:选择一个动作，动作的值，并选择解决动作的时间框架。

   在我们的例子中:如果键名firewallEnabled返回值真正的，下面的动作标志该设备是合规的。

   

   如果键名firewallEnabled返回值假，下面的动作标志该设备不合规。

   

7. 根据需要，设置部署计划并选择交付组。