Журнал аудита устройств

Как отследить действия, выполнявшиеся на устройствах организации

Эта функция доступна в версиях Business Plus, Enterprise, Education Standard и Plus, G Suite Business, Cloud Identity Premium. Сравнение версий

Администратор может получать отчет о действиях, выполняемых на компьютерах и мобильных устройствах, которые используются для доступа к корпоративным данным. Например, он может увидеть, что пользователь добавил аккаунт на устройство или что пароль на устройстве не соответствует правилам в отношении паролей.Чтобы отслеживать события, установите оповещение.

Подготовка

  • Чтобы в журнале были видны все события, для устройств должны быть включены расширенные функции управления устройствами.
  • Чтобы были видны изменения в приложениях на устройствах Android, должен быть включен аудит приложений.
  • Нельзя просматривать действия для устройств, корпоративные данные на которых синхронизируются через Google Sync.
  • Если вы перейдете на версию, которая не поддерживает журнал аудита, этот журнал перестанет собирать данные о новых событиях. При этом старые данные останутся доступными для администраторов.

Как открыть журнал аудита устройств

Как посмотреть события для всех устройств

  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Отчетыа затемАудита затемУстройства.
  3. Чтобы выбрать данные для отображения справа, нажмите "Управление столбцами" "". Укажите, какие столбцы должны отображаться, а какие следует скрытьа затемнажмите Сохранить.

Как посмотреть события для определенного устройства

  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Устройстваа затемМобильные устройства.
  3. Выберите один из вариантов:
    • Нажмите Мобильные устройства, чтобы посмотреть список управляемых мобильных устройств.
    • Нажмите Конечные точки, чтобы посмотреть компьютеры и ноутбуки.
    • В левой части экрана выберите Мобильные устройства и конечные точкиа затемРесурсы компании, чтобы посмотреть список устройств, принадлежащих организации.
  4. Выберите одно или несколько устройств и нажмите "Ещё" "" а затем Посмотреть информацию об аудите.
  5. Чтобы выбрать данные для отображения справа, нажмите "Управление столбцами" "". Укажите, какие столбцы должны отображаться, а какие следует скрытьа затемнажмите Сохранить.

Как интерпретировать данные в журнале аудита устройств

Доступная информация

В журнале аудита устройств содержатся указанные ниже сведения.

Тип данных Описание
Идентификатор устройства Идентификатор устройства, на котором было зарегистрировано событие.
Описание события Сведения о событии, зарегистрированном на устройстве.
Дата Дата и время, когда произошло событие (указываются в часовом поясе, по умолчанию установленном в вашем браузере).
Название события Название зарегистрированного события, например изменение статуса регистрации аккаунта, дополнительная аутентификация или неудачная попытка входа. Более подробные сведения приведены ниже.
Пользователь

Имя пользователя, который инициировал событие на устройстве.

Примечание. Для корпоративных устройств iOS изменения в регистрации в Apple Business Manager или Apple School Manager выполняются через сервисный аккаунт, который обозначается как "Анонимный пользователь".

Тип устройства Тип устройства, на котором произошло событие (например, Android или Apple iOS).
Хеш приложения Хеш (SHA-256) пакета приложения для событий, связанных с приложением.
Серийный номер Серийный номер устройства.
Модель устройства Модель устройства.
Версия ОС

Доступно только при включенной функции расширенных настроек безопасности для компьютеров Windows.

Число, назначенное определенному выпуску ОС.

Название политики

Доступно только при включенной функции расширенных настроек безопасности для компьютеров Windows.

Название поставщика службы конфигурации (CSP) Microsoft, соответствующее специальной настройке, которая действует для устройства.

Код статуса политики

Доступно только при включенной функции расширенных настроек безопасности для компьютеров Windows.

Код, возвращаемый с устройства Windows 10 при попытке применить настройку.

Выпуск Windows

Доступно только при включенной функции расширенных настроек безопасности для компьютеров Windows.

Вариант Windows с уникальным набором функций.

События

Чтобы отфильтровать данные по событию, на панели Добавить фильтр выберите Название события. В журнале аудита будут показаны все записи об этом событии за указанный вами период времени. С помощью фильтров журнал аудита можно настроить так, чтобы в нем были видны определенные события или пользователи.

В журнале аудита устройств записывается информация о следующих событиях:

Название события Описание Фильтры Поддерживаемые устройства
Изменение статуса регистрации устройства

Статус регистрации устройства был изменен. Событие регистрируется каждый раз, когда пользователь добавляет управляемый аккаунт на новое устройство или удаляет его со старого.

Для устройств Android также можно посмотреть информацию о владельце устройства, на которого зарегистрирован аккаунт. Подробнее о просмотре сведений о правилах

Пример. Аккаунт пользователя имя пользователя зарегистрирован на смартфоне Nexus 6P с правами администратора устройства.

Зарегистрировано – пользователь добавил на устройство управляемый аккаунт.

Регистрация отменена – пользователь удалил аккаунт с устройства.

  • Android
  • Apple iOS
  • Chrome OS
  • macOS
  • Windows
Событие действия с устройством

Статус инициированного администратором действия на устройстве. 

Пример. Ожидается удаление данных аккаунта пользователя имя пользователя с идентификатором 1234 на устройстве Pixel 2.

Неприменимо
  • Android
  • iOS
  • Chrome OS
  • macOS
  • Windows
Изменение приложения, установленного на устройстве

Пользователь установил, удалил или обновил приложение на устройстве.

Устройства Android: события регистрируются сразу. Если вы не видите записей в журнале аудита, убедитесь, что параметр Аудит приложений включен.

Устройства iOS: события регистрируются при следующей синхронизации устройства. Аудит выполняется только для управляемых приложений, установленных с помощью Device Policy

Пример. Приложение com.android.chrome версии 50.0.2645.0 было удалено с устройства Nexus 5 пользователя пользователь.

Событие приложения: установлено, удалено, обновлено.

Название пакета: название пакета приложения.

Хеш приложения: хеш (SHA-256) пакета приложения (только для устройств Android)

  • Android
  • iOS
Статус соответствия устройства нормативным требованиям

Соответствует ли устройство правилам организации.

Устройство отмечается как несоответствующее, если:

Пример. Устройство Nexus 6P пользователя не соответствует заданным правилам, поскольку на нем нарушаются правила использования паролей.

Неприменимо
  • Android
Взлом устройства

Взломано ли устройство. Устройство считается взломанным, если к нему был разрешен root-доступ или оно было незаконно разблокировано, то есть на нем были отключены установленные ограничения. Взлом устройства может указывать на потенциальную угрозу безопасности.

В случае взлома устройства или восстановления его защиты система добавляет соответствующую запись в журнал аудита. 

Пример. Устройство Nexus 5 пользователя пользователь взломано.

Неприменимо
  • Android
  • iOS
Обновление ОС устройства

ОС на устройстве была обновлена.

Для устройств на базе iOS система регистрирует только обновления версии ОС и номера сборки.

Пример. Версия ОС на устройстве Nexus 5 пользователя пользователь была обновлена с 8.0 до 8.2.

  • Версия ОС
  • Номер сборки
  • Версия ядра
  • Прошивка модуля связи устройства
  • Исправление безопасности для ОС
  • Android
  • iOS
  • Chrome OS
  • macOS
  • Windows
Владелец устройства

Информация о том, изменен ли владелец устройства.

Например, личное устройство стало корпоративным после того, как данные о нем были импортированы в консоль администратора.

Аудит выполняется сразу после того, как корпоративное устройство добавляется в консоль администратора. Если оно удаляется из консоли, аудит проводится при следующей синхронизации (после повторной регистрации устройства для управления им).

Пример. Устройство Nexus 5 пользователя пользователь стало корпоративным и ему присвоен новый идентификатор abcd1234.

Неприменимо
  • Android
  • Chrome OS
  • macOS
  • Windows
Изменение настроек устройства

Пользователь изменил параметр "Отладка по USB", "Установка приложений из неизвестных источников", "Режим разработчика" или "Проверка приложений" на своем устройстве.

Событие регистрируется при следующей синхронизации устройства. 

Пример. Параметр "Проверка приложений" на устройстве Nexus 6P пользователя пользователь был включен.

  • Режим разработчика
  • Установка приложений из неизвестных источников
  • Отладка по USB
  • Проверка приложений
  • Android
Изменение статуса устройства на портале Apple

При добавлении или удалении корпоративных устройств на базе iOS через Apple Business Manager или Apple School Manager.

Примечание. Пользователем для этих событий считается сервисный аккаунт, который обозначается как "Анонимный пользователь".

Неприменимо
  • Корпоративные устройства iOS
Синхронизация устройства

Синхронизация управляемого аккаунта пользователя на устройстве.

Пример. Аккаунт пользователя пользователь синхронизирован на устройстве Nexus 6P.

Неприменимо
  • Android
  • iOS
  • Chrome OS
  • macOS
  • Windows
Неудачные попытки разблокировки экрана

Информация о том, сколько раз пользователь неудачно пытался ввести пароль для разблокировки устройства.

Событие регистрируется только после пятой неудачной попытки разблокировки. 

Пример. Зафиксированы неудачные попытки ввода пароля (5) для разблокирования устройства Nexus 7 пользователя.

Больше чем: укажите число, чтобы увидеть только те события, где количество неудачных попыток превышает заданное вами.

  • Android
Выход из аккаунта Администратор выполнил выход из системы для пользователя на устройстве, которое управляется с помощью функции Фундаментальное управление. Неприменимо
  • Компьютеры, управляемые с помощью функции "Фундаментальное управление"
Подозрительные действия

На устройстве были зафиксированы подозрительные действия.

Устройства Android: система создает запись в журнале при изменении данных устройства, указанных в столбце "Фильтры" для этого типа события.

Устройства iOS: система регистрирует только изменение MAC-адреса в сети Wi-Fi.

Пример. MAC-адрес Wi-Fi на устройстве Nexus 5 пользователя имя пользователя был изменен с x на y.

  • Модель устройства 
  • Серийный номер
  • MAC-адрес Wi-Fi
  • Права приложения Device Policy
  • Производитель
  • бренд устройства;
  • аппаратное обеспечение;
  • Версия загрузчика
  • Android
  • iOS
Поддержка рабочего профиля

Устройство поддерживает рабочие профили.

Например, так можно убедиться, что пользователь обновил версию ОС и его телефон соответствует всем требованиям.

Система регистрирует эти данные для всех устройств с поддержкой рабочих профилей.

Пример. Рабочий профиль поддерживается на устройстве Nexus 5 пользователя пользователь.

Неприменимо
  • Android

Когда данные становятся доступны и как долго они хранятся?

Подробная информация приведена в статье Сроки хранения данных и задержки.

Статьи по теме

 


Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

 

Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.

true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
Поиск по Справочному центру
true
73010
false