Эта функция доступна в версиях Frontline Standard, Enterprise Standard и Enterprise Plus, Education Standard, Education Plus и лицензия Endpoint Education, Cloud Identity Premium. Сравнение версий
Как администратор, вы можете настроить правила, чтобы автоматизировать управление устройствами и получать предупреждения системы безопасности. Например, можно автоматически блокировать все устройства, на которых замечены подозрительные действия.
Применять правила управления устройствами можно только к поддерживаемым мобильным устройствам.
Примечание. Чтобы одобрять мобильные устройства с помощью правил, эти устройства должны находиться в режиме расширенного управления. При необходимости включите его.
Как это работает
Любое правило, используемое для управления устройствами, срабатывает в ответ на событие, происходящее на устройстве. При обнаружении такого события проверяются указанные вами условия. Если событие соответствует им, выполняется заданное действие.
В частности, устройство Android можно заблокировать, когда на нем меняется статус регистрации аккаунта, например пользователь удаляет с устройства свой корпоративный аккаунт. В этом примере:
- событие – это изменение статуса регистрации аккаунта на устройстве;
- первое условие – устройство должно работать под управлением Android;
- второе условие – пользователь удаляет свой рабочий аккаунт с устройства (Состояние аккаунта – Регистрация отменена);
- действие – блокировка устройства.
Вы можете создать собственные правила или использовать шаблон. Областью действия правила может быть вся организация, выбранное организационное подразделение или группа в Google Группах. Вы также можете исключить группу из области действия.
Примечание. Правила управления устройствами позволяют одобрить, заблокировать или очистить устройство при наступлении определенного события. С помощью уровней контекстно-зависимого доступа можно контролировать доступ к приложениям Google, используя такие атрибуты устройств, как "Версия операционной системы", "Статус защиты", "IP-адрес", "Географическое местоположение" или "Владелец". Подробнее…
Создание и редактирование правил
Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.
Как создать правило управления устройствами-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню Правила.
- Нажмите Правила управления устройствами.
- Нажмите Добавить правило и выберите нужный вариант:
- Чтобы создать правило по шаблону, нажмите Использовать шаблон и выберите нужный. Подробнее…
- Чтобы создать собственное правило, нажмите Создать правило.
- Задайте название и описание правила.
- Укажите область его действия. По умолчанию правило применяется ко всем пользователям организации.
- Чтобы применить правило только к отдельным пользователям, нажмите Выберите организационные подразделения или группы.
- Чтобы исключить пользователей в отдельных группах, сначала включите в область действия хотя бы одно организационное подразделение или группу. Затем нажмите Исключить группы и выберите группу, которую нужно исключить. Повторите описанные выше шаги, если нужно исключить другие группы.
Например, чтобы применить правило ко всем пользователям в организации, кроме одной группы, включите организационное подразделение верхнего уровня и исключите соответствующую группу.
Чтобы удалить организационное подразделение или группу из списка, нажмите на значок возле нее.
- Нажмите Продолжить.
- При необходимости выберите событие, при котором правило должно сработать. Подробнее о выборе триггеров и условий…
- Нажмите Добавить условие и задайте в качестве условия тип устройства:
- Выберите Поле, затем Тип устройства.
- Нажмите Значение и выберите тип устройства: Все устройства, Android или iOS. Не все варианты могут быть доступны, потому что некоторые события поддерживаются только для устройств определенных типов.
Примечание. Чтобы перейти к следующему шагу, нужно обязательно указать тип устройства.
- При необходимости нажмите Добавить условие, чтобы настроить дополнительные условия. Чтобы правило применялось, устройство должно соответствовать всем условиям.
- Нажмите Продолжить.
- При необходимости выберите действие, которое нужно предпринять при выполнении условий правила. Не все действия доступны для каждого из событий.
- Блокировать мобильное устройство: запрет синхронизации корпоративных данных.
- Одобрить мобильное устройство: включение синхронизации корпоративных данных (только в расширенном режиме управления мобильными устройствами).
- Удалить данные: удаление рабочего аккаунта и связанных с ним данных. Подробнее об удалении аккаунта…
- Нет действия: не предпринимать никаких действий. Этот вариант можно использовать в том случае, если вы хотите только получить уведомления о событии (как описано далее).
- Если нужно отправлять уведомления по электронной почте всем суперадминистраторам, установите флажок Отправить в Центр оповещений, а затем флажок Все суперадминистраторы. Примечание. Уведомления Центра оповещений пока не поддерживаются, однако их необходимо включить для отправки сообщений электронной почты суперадминистраторам.
- Нажмите Продолжить.
- Проверьте настройки правила. Если все указано верно, нажмите Готово. Если это не так, выберите Назад и измените правило.
- Выберите вариант в открывшемся диалоговом окне:
- Чтобы создать и включить правило, нажмите Активно.
- Чтобы создать правило, но пока не включать его, нажмите Неактивно.
- Нажмите Завершить.
- Чтобы включить неактивное правило, нажмите на него. Нажмите на значок меню слева и выберите Активно.
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню Правила.
- Нажмите Правила управления устройствами.
- Выберите правило, которое хотите изменить.
- Выбрав нужный раздел, внесите в него изменения. Завершив работу над изменениями, нажмите Продолжить, чтобы перейти на страницу проверки.
- Проверьте настройки правила. Если все указано верно, нажмите Готово. Если это не так, выберите Назад и измените правило.
- В открывшемся диалоговом окне выберите, будет ли правило активно.
- Нажмите Завершить.
Использование шаблонов
Шаблоны правил настраиваются для часто выполняемых условий и действий. Их можно использовать в качестве отправной точки и менять в зависимости от потребностей. Например, если вы хотите одобрять устройства iPhone и iPad автоматически, а устройства Android – вручную, воспользуйтесь шаблоном Автоматическое одобрение регистрации устройства и измените тип устройства на iOS.
Блокировка аккаунта после нескольких неудачных попыток разблокировать устройство (только для устройств Android)Это правило блокирует устройство Android после шестой неудачной попытки разблокировки. Оно прекращает синхронизацию рабочих или учебных данных пользователей с устройством.
Если нужно отправлять уведомления по электронной почте всем суперадминистраторам, установите флажок Отправить в Центр оповещений, а затем флажок Все суперадминистраторы. Примечание. Уведомления Центра оповещений пока не поддерживаются, однако их необходимо включить для отправки сообщений электронной почты суперадминистраторам.
Это правило удаляет корпоративные данные с устройства Android, iPhone или iPad при обнаружении подозрительных действий.
На устройствах iPhone и iPad выполняется очистка аккаунта, если регистрируется изменение MAC-адреса в сети Wi-Fi.
С устройств Android данные удаляются, когда меняется значение любого из следующих свойств:
- Версия загрузчика
- Бренд устройства
- Аппаратное обеспечение
- Производитель
- Модель устройства
- Права приложения Device Policy
- Номер IMEI
- Номер MEID
- Серийный номер
- MAC-адрес Wi-Fi
На корпоративных устройствах и личных устройствах, используемых только для работы, удаляются все данные и выполняется сброс настроек. На личных устройствах с рабочим профилем удаляются только данные рабочего профиля, а личная информация остается без изменений.
Подробнее об удалении корпоративных данных с устройства…
Если нужно отправлять уведомления по электронной почте всем суперадминистраторам, установите флажок Отправить в Центр оповещений, а затем флажок Все суперадминистраторы. Примечание. Уведомления Центра оповещений пока не поддерживаются, однако их необходимо включить для отправки сообщений электронной почты суперадминистраторам.
Это правило автоматически одобряет все поддерживаемые устройства, регистрируемые пользователями. Корпоративные данные синхронизируются с устройством, как только пользователь входит в аккаунт.
Если нужно отправлять уведомления по электронной почте всем суперадминистраторам, установите флажок Отправить в Центр оповещений, а затем флажок Все суперадминистраторы. Примечание. Уведомления Центра оповещений пока не поддерживаются, однако их необходимо включить для отправки сообщений электронной почты суперадминистраторам.
Выбор триггера и условий
Выберите событие, при котором должно срабатывать правило. С помощью условий можно выбрать тип устройства (Android, iOS или все) и другие условия, определяющие, будет ли правило применяться к устройству. Действие, заданное в правиле, будет выполняться, только если событие произойдет на устройстве, соответствующем указанным условиям.
Для каждого правила можно выбрать одно событие и несколько условий. Условие относительно типа устройства нужно задать обязательно. При необходимости любое правило можно применять только к определенным устройствам, указав идентификатор устройства, его серийный номер, модель или значения условий. Чтобы применить к правилу несколько условий, используйте кнопку Добавить условие.
Правило срабатывает, если меняется статус регистрации аккаунта на устройстве в организации. Это происходит, когда:
- пользователь добавляет управляемый рабочий или учебный аккаунт на новое устройство;
- пользователь удаляет управляемый рабочий или учебный аккаунт с управляемого устройства;
- уровень прав управления в вашей организации меняется (на устройствах Android).
По умолчанию правило срабатывает, когда происходит любое из этих событий.
Чтобы применить правило только к определенным устройствам, вы можете задать условия на основе свойств устройства и следующих параметров события:
Условие | Значения |
---|---|
Статус аккаунта |
Выберите тип изменения регистрации:
|
Права приложения Device Policy |
Выберите право управления, которое есть у организации относительно устройства:
|
Правило срабатывает, если изменяется доступ пользователя к рабочим или учебным данным. Несколько примеров:
- одобрение, блокировка или очистка устройства;
- удаление управляемого аккаунта, выполненный администратором выход или отмена регистрации.
По умолчанию правило срабатывает, когда происходит любое из этих событий.
Чтобы применить правило только к определенным устройствам, вы можете задать условия на основе свойств устройства и следующих параметров события:
Условие | Значения |
---|---|
Статус действия на устройстве | Выберите статус действия: Отменено пользователем, Отменено, Выполнено, Сбой при выполнении, В ожидании, Отправлено на устройство или Неизвестно. |
Тип действия на устройстве |
Выберите действие, связанное с событием:
|
Например, чтобы заблокировать устройство в случае ошибки при удалении данных с него:
- Установите для параметра Тип действия на устройстве значение Очистить устройство.
- Выберите для параметра Статус действия на устройстве значение Сбой при выполнении.
Правило применяется, когда пользователь устанавливает, удаляет или обновляет приложение на устройстве. Для личных устройств Android, на которых не настроен рабочий профиль, необходимо включить параметр Аудит приложений. На устройствах iPhone и iPad фиксируются только изменения управляемых приложений, установленных с помощью Google Device Policy.
Чтобы применить правило только к определенным устройствам, вы можете задать условия на основе свойств устройства и следующих параметров события:
Условие | Значения |
---|---|
Идентификатор приложения |
Введите полностью или частично идентификатор приложения, которое изменилось. Например, чтобы применять правило только при изменении мобильного приложения YouTube, выберите Содержит и введите youtube. |
Хеш SHA-256 приложения | Введите полностью или частично хеш (SHA-256) пакета приложения, которое изменилось. |
Статус приложения |
Выберите новый статус приложения:
|
Новое значение | Введите полностью или частично новый номер версии приложения. Например, чтобы применять правило при обновлении приложения Chrome до любой из версий 86, выберите Содержит и введите 86. |
Категория потенциально опасных приложений |
Выберите тип потенциально опасного приложения:
|
Правило срабатывает, когда устройство перестает соответствовать правилам вашей организации (например, пользователь изменил пароль доступа к своему устройству, и оно больше не соответствует правилам использования паролей). Подробнее о статусе соответствия устройства нормативным требованиям…
Чтобы применить правило только к определенным устройствам, вы можете задать условия на основе свойств устройства и следующих параметров события:
Условие | Область действия правила |
---|---|
Статус соответствия устройства |
Устройства, статус соответствия которых изменился. Выберите один из следующих вариантов:
|
Причина отключения мобильного устройства | Выберите причину, по которой устройство не соответствует требованиям:
|
Правило срабатывает, когда обнаруживается, что устройство Android взломано, а также в случае восстановления контроля над устройством. Устройство Android считается взломанным, если к нему был разрешен root-доступ, то есть были отключены установленные ограничения. Взлом устройства создает потенциальную угрозу безопасности.
Чтобы применить правило только к определенным устройствам, вы можете задать условия на основе свойств устройства и следующих параметров события:
Условие | Значения |
---|---|
Подверженность взлому |
Выберите новый статус устройства:
|
Правило срабатывает при обнаружении изменений в операционной системе устройства. Перечень изменений, при которых срабатывает правило, зависит от типа устройства:
- На устройствах Android изменения отслеживаются для следующих параметров: версия ОС, номер сборки, версия ядра, прошивка модуля связи, исправление для системы безопасности и версия загрузчика операционной системы.
- На устройствах iOS отслеживаются только изменения версии ОС и номера сборки. Такое правило срабатывает, например, когда пользователь обновляет ОС или устанавливает исправление для системы безопасности.
Чтобы применить правило только к определенным устройствам, вы можете задать условия на основе свойств устройства и следующих параметров события:
Условие | Значения |
---|---|
Старое значение | Введите некоторые или все старые значения свойства ОС. |
Новое значение | Введите некоторые или все новые значения свойства ОС. |
Свойство ОС |
Выберите свойство ОС, при изменении которого должно срабатывать правило.
Для устройств iOS можно выбрать только версию ОС и номер сборки. |
Правило срабатывает, когда право собственности на устройство меняется с личного на корпоративное или наоборот.
Чтобы применить правило только к определенным устройствам, вы можете задать условия на основе свойств устройства и следующих параметров события:
Условие | Значения |
---|---|
Владелец устройства |
Выберите новый статус собственности:
|
Правило срабатывает, когда меняются настройки устройства Android, например "Отладка по USB", "Установка приложений из неизвестных источников", "Режим разработчика" или "Проверка приложений".
Чтобы применить правило только к определенным устройствам, вы можете задать условия на основе свойств устройства и следующих параметров события:
Условие | Значения |
---|---|
Старое значение | Введите некоторые или все старые значения параметра устройства. |
Новое значение | Введите некоторые или все новые значения параметра устройства. |
Параметр устройства | Выберите параметр, при изменении которого должно срабатывать правило:
|
Правило срабатывает при синхронизации аккаунта пользователя на устройстве.
Чтобы применить правило только к определенным устройствам, вы можете задать условия на основе свойств устройства и следующих параметров события:
Условие | Значения |
---|---|
Дата события аудита последней синхронизации |
Укажите дату в формате временной метки UNIX. Пример: 1606167154. Это правило можно настроить на срабатывание при синхронизации устройства после указанной даты (больше чем) либо в указанный день или позже (больше или равно). |
Правило срабатывает при заданном количестве неудачных попыток разблокировки. По умолчанию оно срабатывает, когда таких попыток более пяти.
Чтобы изменить количество неудачных попыток до срабатывания правила, используйте указанный ниже параметр.
Условие | Значения |
---|---|
Неудачные попытки разблокировки экрана |
Выберите способ подсчета неудачных попыток (Больше чем или Больше или равен) и укажите их количество. Например, если ввести 3 и выбрать Больше чем, правило сработает при четвертой неудачной попытке. Если указать 3 и выбрать Больше или равен, правило сработает при третьей неудачной попытке. |
Правило срабатывает при изменении свойства управляемого устройства, которое, как правило, не должно меняться. Пример: меняется модель устройства, хотя устройство остается прежним.
Для устройств Android в качестве подозрительных действий регистрируются изменения следующих свойств:
- Версия загрузчика
- Бренд устройства
- Аппаратное обеспечение
- Производитель
- Модель устройства
- Права приложения Device Policy
- Номер IMEI
- Номер MEID
- Серийный номер
- MAC-адрес Wi-Fi
Для устройств iPhone и iPad регистрируются только изменения MAC-адреса в сети Wi-Fi.
Чтобы применить правило только к определенным устройствам, вы можете задать условия на основе свойств устройства и следующих параметров события:
Условие | Значения |
---|---|
Свойство устройства |
Выберите свойство, при изменении которого должно срабатывать правило. Чтобы задать несколько свойств, создайте отдельное правило для каждого из них. Если вы добавите несколько свойств к правилу, оно сработает только тогда, когда изменятся все выбранные свойства. Примечание. Для устройств iOS регистрируются только изменения MAC-адреса в сети Wi-Fi. |
Старое значение | Для устройств Android выберите старое право на управление устройствами. |
Новое значение | Для устройств Android выберите новое право на управление устройствами. |
Правило применяется, когда устройство Android начинает поддерживать рабочие профили, например после обновления версии ОС.
Просмотр сведений об обнаруженных событиях
Данные о событиях на управляемых устройствах можно посмотреть в журнале аудита правил.
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню ОтчетыАудит и анализСобытия журнала правил.
- Чтобы посмотреть действия, связанные с правилами управления устройствами, нажмите Добавить фильтрУправление устройствами. Также можно фильтровать события по другим характеристикам, например по названию правила или аккаунту владельца устройства (фильтр по свойству Владелец ресурса).
-
Чтобы выбрать данные для отображения справа, нажмите "Управление столбцами" . Укажите, какие столбцы должны отображаться, а какие следует скрытьнажмите Сохранить.
- Чтобы экспортировать данные отчета в таблицу Google или CSV-файл:
- Нажмите "Скачать" .
- В разделе Выбор столбцов установите переключатель в положение Выбранные столбцы или Все столбцы.
- Выберите формат и нажмите Скачать.
Можно экспортировать до 100 000 строк.