裝置稽核記錄

這項功能適用於 G Suite Business、G Suite Enterprise 或 G Suite Essentials 版本。版本比較

您可以運用裝置稽核記錄,查看貴機構使用的電腦和行動裝置的活動報告。舉例來說,您可以查看使用者的帳戶是否已新增到特定裝置,或是裝置密碼是否符合您設定的密碼政策。在 Google 管理控制台的裝置稽核記錄中,您可以查看各種裝置活動。此外,您還可以設定快訊,以便接收活動通知。

注意:如要進一步瞭解何時可查看記錄資料以及資料可以保留多久,請參閱資料保留和延遲時間一文。

事前準備

  • 如要查看行動裝置的所有稽核事件,您必須將裝置納入進階行動裝置管理服務的管理範圍內。
  • 對於使用 Google Sync 同步處理公司資料的裝置,您無法查看裝置活動。

步驟 1:開啟裝置稽核記錄

在您從 G Suite Business 或 G Suite Enterprise 遷移至 G Suite Basic 後,稽核記錄會停止收集新活動的資料,不過管理員仍可查看舊有資料。

查看所有裝置的事件

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 [報告] 接下來 [稽核] 接下來 [裝置]
  3. (選用) 在資料欄旁邊按一下「管理資料欄」圖示 管理資料欄,然後選取您要顯示或隱藏的資料欄。

查看特定裝置的事件

  1. 登入您的 Google 管理控制台

    請使用您的「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台首頁中,依序前往 [裝置] 接下來 [行動裝置]
  3. 請選擇下列任一選項:
    • 按一下 [行動裝置],查看受管理的行動裝置。
    • 按一下 [端點],查看筆記型電腦和桌上型電腦。
    • 按一下左側的 [公司擁有的裝置清單],查看貴機構擁有的裝置。
  4. 選取一或多部裝置,然後依序按一下「更多」圖示  接下來 [查看稽核資訊]
    注意:您可以在公司擁有的裝置清單中選取裝置,然後按一下「查看稽核資訊」圖示 Audit info。 
  5. (選用) 在資料欄旁邊按一下「管理資料欄」圖示 管理資料欄,然後選取您要顯示或隱藏的資料欄。
  6. 參閱下方步驟,瞭解如何解讀及自訂記錄資料。

步驟 2:瞭解稽核記錄資料

 
您可以查看的資料
資料類型 說明
裝置 ID 事件發生裝置的識別碼。
事件說明 裝置上發生的事件詳細資料。
日期 事件發生的日期和時間 (以您瀏覽器的預設時區為準)。
事件名稱 系統所記錄的事件名稱,例如帳戶註冊變更、登入驗證或嘗試解鎖失敗。詳情請參閱下方的事件說明。
使用者 在裝置上執行事件的使用者名稱。
裝置類型 事件發生裝置的類型。例如,Android 或 Apple® iOS®
應用程式雜湊 應用程式相關事件中,應用程式套件的 SHA-256 雜湊。
序號 裝置的序號。
裝置型號 裝置的型號。
OS 版本

您必須先啟用 Windows 專用進階電腦安全性服務,系統才會顯示這項資料。

這是指派給專屬作業系統 (OS) 版本的編號。

政策名稱

您必須先啟用 Windows® 專用進階電腦安全性服務,系統才會顯示這項資料。

這是對應已套用至裝置自訂設定Microsoft® 設定服務供應商 (CSP) 名稱。

政策狀態碼

您必須先啟用 Windows 專用進階電腦安全性服務,系統才會顯示這項資料。

這是當您嘗試將設定套用至裝置時,Windows 10 裝置傳回的代碼。

Windows OS 版本

您必須先啟用 Windows 專用進階電腦安全性服務,系統才會顯示這項資料。

這是有專屬功能套件的各種 Widows 版本。

事件說明

以下事件類型均會個別顯示稽核記錄項目。您可以在管理控制台左側使用「事件名稱」篩選器,依據下列事件篩選稽核記錄。此外,您還可以針對部分事件使用子篩選器限縮稽核記錄篩選結果。

事件名稱 說明 子篩選器 支援的裝置
帳戶註冊變更

貴機構裝置的註冊狀態有所變更。每次使用者在新裝置上新增受管理的帳戶,或在裝置上取消註冊自己的帳戶時,系統就會留下一筆記錄。

在 Android 裝置上,系統也會顯示帳戶註冊裝置具備的權限。如需裝置權限的詳細資料,請參閱政策設定檔資訊

例如:<使用者> 的帳戶已在下列裝置上註冊:Nexus 6P (具備裝置管理員權限)。

已註冊:使用者將受管理的帳戶新增到裝置中。

未註冊:使用者將裝置中的某個帳戶取消註冊,之後無法在該裝置中使用該帳戶。

Android
Apple® iOS®
Chrome 作業系統
Mac®
Windows®

進階政策事件

指出政策設定的應用程式是否成功。

範例:已成功將 ./Vendor/MSFT/Policy/Config/Browser/AllowDeveloperTools 0 Windows 政策套用至<使用者>的帳戶 20KHS1TG00,序號為 PF1FWXNF
 

  • 裝置 ID
  • 使用者電子郵件地址
Windows
裝置動作事件

管理員在裝置上執行的動作狀態。

例如:<使用者> 的 Pixel 2 上的「抹除帳戶資料」動作 (ID:1234) 狀態為「待處理」。

不適用

Android
iOS
Chrome 作業系統
Mac
Windows

裝置作業系統更新

裝置 OS 資源已更新。

對於 iOS 裝置,系統僅會記錄作業系統版本和版本號碼的更新。

例如:<使用者> Nexus 5 上的作業系統版本已從 8.0 更新為 8.2。

  • OS 版本
  • 版本號碼
  • 核心版本
  • 基頻版本
  • 安全性修補程式
  • 系統啟動載入程式版本
Android
iOS
Chrome 作業系統
Mac
Windows
裝置同步處理

使用者的受管理帳戶已在裝置上進行同步處理。

例如:已在 Nexus 6P 上同步處理 <使用者名稱> 的帳戶。

不適用 Android
iOS
Chrome 作業系統
Mac
Windows
裝置應用程式變更

使用者在裝置上安裝、解除安裝或更新應用程式。

Android 裝置:系統會立即記錄事件。如果您沒有在稽核記錄中看到任何項目,請確認應用程式稽核設定已開啟。

iOS 裝置:系統會在裝置下次進行同步處理時記錄事件,並且只會對使用 Device Policy 應用程式安裝的受管理應用程式進行稽核。

例如:com.android.chrome 版本 50.0.2645.0 已從 <使用者> 的 Nexus 5 中刪除。

應用程式事件:安裝、解除安裝、更新

套件名稱:應用程式套件的名稱

應用程式雜湊:應用程式套件的 SHA-256 雜湊 (僅限 Android 裝置)

Android 
iOS
裝置法規遵循狀態

裝置是否符合貴機構的政策規定。

裝置遭標示為不符合政策規定的原因如下:

例如:<使用者> 的 Nexus 6P 不符合設定的政策,因為裝置未遵循密碼政策。

不適用 Android
裝置遭駭

裝置是否遭駭。若裝置已啟用 Root 權限或經過越獄解鎖,就會成為遭駭狀態;也就是說,裝置原有的限制將會全部移除。已遭駭的裝置可能會對企業資安形成潛在威脅。

每當有使用者裝置成為遭駭狀態或不再處於遭駭狀態,系統就會留下一筆紀錄。

例如:<使用者> 的 Nexus 5 已遭駭。

不適用 Android 
iOS
裝置擁有權

裝置的擁有權是否有所變更。

舉例來說,當您將個人裝置的詳細資料匯入管理控制台後,該裝置就會變更為公司擁有的裝置。

當您在管理控制台新增公司擁有的裝置後,系統就會立即執行這項稽核作業。如果您將公司擁有的裝置從管理控制台中刪除,稽核作業會在下次同步處理時執行 (需將裝置重新註冊為受管理裝置)。

例如:<使用者> 的 Nexus 5 擁有權已變更為公司擁有 (新裝置 ID:abcd1234)。

不適用 Android
Chrome 作業系統
Mac
Windows
裝置設定變更

裝置使用者變更裝置上的開發人員選項、不明來源、USB 偵錯或驗證應用程式設定。

當裝置下次進行同步處理時,系統就會記錄此事件。

例如:<使用者> 已將 Nexus 6P 上的「驗證應用程式」設定從「關閉」變更為「開啟」。

  • 開發人員選項
  • 不明來源
  • USB 偵錯
  • 驗證應用程式
Android
螢幕解鎖失敗

使用者解鎖裝置時輸入錯誤密碼的次數。

只有在使用者嘗試解鎖裝置而輸入錯誤密碼超過 5 次後,系統才會留下一筆事件紀錄。

例如:嘗試解鎖使用者的 Nexus 7 時輸入錯誤密碼 5 次。

大於:輸入上限數字,僅在輸入錯誤次數超過這個數字時顯示事件。

Android
將使用者登出 管理員透過基本管理服務所控管的裝置將使用者登出。 不適用 由基本管理服務所控管的桌上型電腦
可疑活動

在裝置上偵測到可疑活動。

Android:每次使用者裝置上的子篩選器列出的任何裝置屬性有所變更時,系統就會留下一筆記錄。 
 
iOS:系統僅會記錄 Wi-Fi MAC 位址的變更。

例如:<使用者> 的 Nexus 5 上的 Wi-Fi MAC 位址已從「x」變更為「y」

  • 裝置型號
  • 序號
  • Wi-Fi MAC 位址
  • Device Policy 應用程式權限
  • 製造商
  • 裝置品牌
  • 裝置硬體
Android 
iOS
 
工作資料夾支援

裝置支援工作資料夾。

舉例來說,當使用者完成 OS 版本的升級作業,讓該裝置成為與工作資料夾相容的裝置,您就會收到這個事件的通知。

系統會為每個支援工作資料夾的裝置留下一筆記錄。

例如:<使用者> 的 Nexus 5 支援工作資料夾。

不適用 Android

步驟 3:篩選記錄資料

即使在搜尋舊資料時,您也只能篩選目前的機構階層。篩選結果不會顯示 2018 年 12 月 20 日前的資料。

依照使用者或活動篩選稽核記錄資料

您可以縮小列出的稽核記錄範圍,只顯示特定事件或使用者,舉例來說,您可以找出使用者解鎖裝置失敗的所有記錄事件,或找出特定使用者的所有可疑活動。

  1. 開啟稽核記錄
  2. 按一下 [新增篩選器]
  3. 選取並輸入篩選器條件,然後視需要按一下 [套用]。
  4. (選用) 如要依機構單位篩選,請按一下右上方的 [機構篩選器] 並選取機構單位,然後按一下 [套用]
  5. (選用) 如要指定搜尋日期範圍,請按一下 [日期範圍],接著選取清單中的時段,或是輸入開始和結束的日期和時間。如有需要,請按一下 [套用]

依機構單位篩選

您可以依機構單位篩選資料,比較同網域中不同子機構的統計資料。

  1. 開啟稽核記錄
  2. 按一下頂端的 [機構篩選器]
  3. 選取機構單位,然後按一下 [套用]

依日期篩選

  1. 開啟稽核記錄
  2. 按一下頂端的 [日期範圍]
  3. 選取清單中的時段,或是輸入開始和結束的日期和時間。
  4. 如有需要,請按一下 [套用]

步驟 4:匯出記錄資料

匯出稽核記錄資料

您最多可以將 100,000 列資料匯出至 Google 試算表或 CSV 檔案。

  1. 開啟稽核記錄 (如上所示)。
  2. (選用) 如要改為匯出其他資料,請點選「管理資料欄」圖示 管理資料欄,選取您要匯出的資料欄,或是移除不要匯出的資料欄,然後按一下 [儲存]
  3. 按一下「下載」圖示
  4. 在「選取資料欄」下方,按一下 [目前選取的欄] 或 [所有資料欄]
  5. 選取所需格式並點選 [下載]

步驟 5:設定電子郵件快訊

您可以設定快訊,以便追蹤特定活動。舉例來說,您可以設定當使用者在裝置上建立或刪除日曆時,接收快訊通知。

  1. 開啟稽核記錄
  2. 按一下 [新增篩選器]
  3. 輸入或選取篩選器條件,然後按一下 [建立快訊]。
  4. 輸入快訊名稱。
  5. (選用) 如要向所有超級管理員傳送快訊,請按一下「收件者」下方的「開啟」圖示 開啟
  6. 輸入快訊收件者的電子郵件地址。
  7. 按一下 [建立]。

如要編輯自訂快訊,請參閱管理員電子郵件快訊

這對您有幫助嗎?
我們應如何改進呢?