Edições compatíveis com este recurso: Frontline Standard; Enterprise Standard e Enterprise Plus; Education Standard, Education Plus e Endpoint Education Upgrade; Cloud Identity Premium. Comparar sua edição
Por ser administrador, você pode definir regras para automatizar tarefas de gerenciamento de dispositivos e receber alertas de segurança. Por exemplo, é possível bloquear automaticamente dispositivos com atividade suspeita.
Você pode aplicar regras de gerenciamento aos dispositivos móveis compatíveis.
Observação: para aprovar dispositivos móveis com regras, eles precisam estar no gerenciamento avançado de dispositivos móveis. Se necessário, ative o gerenciamento avançado de dispositivos móveis.
Como as regras funcionam
Uma regra de gerenciamento de dispositivos é acionada por um evento em um dispositivo gerenciado. Quando o evento é detectado, a regra verifica as condições que você especificou. Se elas forem atendidas, uma ação ocorrerá.
Por exemplo, você pode bloquear um dispositivo Android quando um usuário cancelar o registro de uma conta corporativa no dispositivo. Neste exemplo:
- O evento é uma alteração no estado do registro da conta em um dispositivo.
- A primeira condição é que o tipo de dispositivo seja Android.
- A segunda condição é um usuário cancelar o registro da conta no dispositivo (por exemplo, o Estado da conta é Registro cancelado em).
- A ação está bloqueando o dispositivo.
Você pode criar sua regra ou usar um modelo predefinido. Para o escopo, você pode atribuir uma regra a toda a organização, a uma unidade organizacional ou a um grupo no Grupos do Google. Também é possível excluir um grupo.
Observação: com as regras de gerenciamento de dispositivos, você aprova, bloqueia ou exclui permanentemente um dispositivo como resposta a um evento específico. Para controlar o acesso aos apps do Google em dispositivos baseados em atributos como versão do SO, status de segurança, endereço IP, localização geográfica ou propriedade, você pode usar níveis de acesso baseado no contexto. Saiba mais
Criar e editar regras
Para realizar essa tarefa, você precisa fazer login como um superadministrador.
Criar uma regra de gerenciamento de dispositivos-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
-
No Admin Console, acesse Menu
Regras.
- Clique em Regras de gerenciamento de dispositivos.
- Clique em Adicionar regra e escolha uma das opções a seguir.
- Para usar um modelo de regra, clique em Regra do modelo e no modelo. Veja mais detalhes em Usar os modelos de regra.
- Para criar sua regra, clique em Nova regra.
- Digite ou edite o título e a descrição da regra.
- Escolha a quem a regra se aplica. Por padrão, ela é aplicável a todos na sua organização.
- Para aplicar a regra apenas a alguns usuários, clique em Especificar as unidades organizacionais ou os grupos e selecione as unidades organizacionais e os grupos que serão incluídos.
- Para excluir usuários em grupos específicos, primeiro selecione pelo menos uma unidade organizacional ou um grupo para incluir. Em seguida, clique em Excluir grupos e selecione o grupo a ser excluído. Repita o procedimento para excluir mais grupos.
Por exemplo, para aplicar uma regra a todos na sua organização (exceto a um grupo), inclua a unidade organizacional de nível superior e exclua um grupo específico.
Para remover uma unidade organizacional ou um grupo, clique em Limpar
ao lado desse item.
- Clique em Continuar.
- Se necessário, selecione o evento que aciona a regra. Veja mais detalhes em Escolher um acionador e condições.
- Clique em Adicionar condição e siga estas etapas para definir uma condição de tipo de dispositivo:
- Clique em Campo e selecione Tipo de dispositivo.
- Clique em Valor e selecione o tipo de dispositivo: Todos os dispositivos, Android ou iOS. É possível que nem todas as opções de tipo de dispositivo estejam disponíveis porque alguns eventos são compatíveis apenas com determinados tipos.
Observação: uma condição de tipo de dispositivo é necessária para seguir para a próxima etapa.
- (Opcional) Clique em Adicionar condição e configure mais condições. Um dispositivo precisa atender a todas as condições para a regra ser aplicada.
- Clique em Continuar.
- Se necessário, selecione a ação a ser realizada quando as condições da regra forem atendidas. Nem todas as ações estão disponíveis para todos os eventos.
- Bloquear dispositivo móvel: impede que o dispositivo sincronize dados corporativos.
- Aprovar dispositivo móvel (somente no gerenciamento avançado de dispositivos móveis): permite que o dispositivo sincronize dados corporativos.
- Excluir permanentemente: exclui permanentemente a conta corporativa do usuário e os dados associados do dispositivo. Saiba mais sobre a exclusão permanente de contas.
- Nenhuma ação: não fazer nada no dispositivo. Você pode usar essa opção quando quiser receber uma notificação de que o evento ocorreu, como descrito nas próximas etapas.
- (Opcional) Se você quiser enviar notificações por e-mail a todos os superadministradores, marque as caixas Enviar para a Central de alertas e Todos os superadministradores. Observação: quando a notificação da Central de alertas estiver disponível, você precisará ativá-la para enviar e-mails aos superadministradores.
- Clique em Continuar.
- Verifique as configurações da regra. Se elas estiverem corretas, clique em Concluir. Em caso negativo, clique em Voltar para editar a regra.
- Na caixa de diálogo exibida, escolha uma opção:
- Para criar a regra e ativá-la agora, clique em Ativa.
- Para criar a regra e ativá-la mais tarde, clique em Inativa.
- Clique em Concluir.
- Para ativar uma regra inativa, clique nela na lista de regras. À esquerda, clique no menu e selecione Ativa.
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
-
No Admin Console, acesse Menu
- Clique em Regras de gerenciamento de dispositivos.
- Clique na regra que você quer editar.
- Clique na seção que você quer editar e faça as alterações. Clique em Continuar conforme necessário para acessar a página de revisão.
- Verifique as configurações da regra. Se elas estiverem corretas, clique em Concluir. Em caso negativo, clique em Voltar para editar a regra.
- Na caixa de diálogo exibida, escolha se a regra está ativa ou inativa.
- Clique em Concluir.
Usar os modelos de regra
Os modelos de regra são configurados para condições e ações comuns. Você pode usar um modelo como ponto de partida e alterá-lo de acordo com as necessidades da sua organização. Por exemplo, para aprovar automaticamente iPhones e iPads, mas aprovar dispositivos Android de forma manual, use o modelo Aprovar automaticamente o registro do dispositivo e altere o tipo de dispositivo para iOS.
Bloquear conta depois de várias tentativas de desbloqueio malsucedidas (apenas Android)Esta regra bloqueia um dispositivo Android quando ocorrem mais de cinco tentativas malsucedidas de desbloqueá-lo. A regra impede que os dados de trabalho ou escolares do usuário sejam sincronizados com o dispositivo.
Se você quiser enviar notificações por e-mail a todos os superadministradores, marque as caixas Enviar para a Central de alertas e Todos os superadministradores.Observação: quando a notificação da Central de alertas estiver disponível, você precisará ativá-la para enviar e-mails aos superadministradores.
Esta regra remove dados corporativos de dispositivos Android, iPhone ou iPad quando atividades suspeitas são detectadas.
Nos iPhones e iPads, a conta é excluída permanentemente quando o endereço MAC Wi-Fi do dispositivo é alterado.
Nos dispositivos Android, os dados são excluídos permanentemente quando uma destas propriedades é alterada:
- Versão do carregador de inicialização
- Marca do dispositivo
- Hardware do dispositivo
- Fabricante
- Modelo do dispositivo
- Privilégio do app Device Policy
- Número IMEI
- Número MEID
- Número de série
- Endereço MAC Wi-Fi
Nos dispositivos Android da empresa e nos dispositivos pessoais configurados apenas para trabalho, todos os dados são excluídos permanentemente, e o dispositivo é redefinido para a configuração original. Nos dispositivos pessoais com um perfil de trabalho, apenas esse perfil é excluído permanentemente.
Veja mais informações sobre a exclusão permanente de dados no dispositivo em Remover dados corporativos de um dispositivo.
Se você quiser enviar notificações por e-mail a todos os superadministradores, marque as caixas Enviar para a Central de alertas e Todos os superadministradores.Observação: quando a notificação da Central de alertas estiver disponível, você precisará ativá-la para enviar e-mails aos superadministradores.
Aprova automaticamente todos os dispositivos compatíveis quando um usuário registra o dispositivo no gerenciamento. Os dados corporativos são sincronizados com o dispositivo quando o usuário faz login na conta.
Se você quiser enviar notificações por e-mail a todos os superadministradores, marque as caixas Enviar para a Central de alertas e Todos os superadministradores.Observação: quando a notificação da Central de alertas estiver disponível, você precisará ativá-la para enviar e-mails aos superadministradores.
Escolher um acionador e condições
Selecione o evento que aciona a regra. Use condições para selecionar o tipo de dispositivo (Android, iOS ou todos) e outras condições que determinam se a regra se aplica a um dispositivo. A ação da regra é realizada apenas quando o evento acontece em dispositivos que atendem às condições especificadas.
Você pode escolher um evento e várias condições para cada regra. Você precisa definir uma condição de tipo de dispositivo. Para todas as regras, você também pode limitar uma regra a dispositivos específicos por ID, número de série, modelo ou valores específicos da condição. Para aplicar mais de uma condição a uma regra, clique em Adicionar condição.
A regra é acionada quando o estado de registro da conta de um dispositivo na organização é alterado. O estado do registro pode mudar quando:
- um usuário adiciona uma conta de trabalho ou escolar gerenciada em um novo dispositivo;
- um usuário cancela o registro da conta de trabalho ou escolar gerenciada em um dispositivo gerenciado;
- o privilégio de gerenciamento da organização em um dispositivo Android muda.
Por padrão, a regra é acionada quando um desses eventos é detectado.
Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:
| Condição | Valores |
|---|---|
| Estado da conta |
Selecione o tipo de alteração de registro:
|
| Privilégio do app Device Policy |
Selecione o privilégio de gerenciamento da organização no dispositivo:
|
A regra é acionada quando o acesso do usuário aos dados do trabalho ou da escola é alterado. Estes são alguns exemplos desses eventos:
- Um dispositivo foi aprovado, bloqueado ou excluído permanentemente
- A conta gerenciada é excluída permanentemente, desconectada por um administrador ou o registro da conta é cancelado
Por padrão, a regra é acionada quando ocorre qualquer evento de ação no dispositivo.
Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:
| Condição | Valores |
|---|---|
| Status de uma ação feita em um dispositivo | Selecione o status da ação: Ação rejeitada pelo usuário, Cancelada, Executada, Com falha, Pendente, Enviado para o dispositivo ou Status de execução de ação desconhecido. |
| Tipo de ação realizada em um dispositivo |
Selecione a ação associada ao evento:
|
Por exemplo, para bloquear um dispositivo quando ocorre uma falha na exclusão permanente de dados:
- Defina Tipo de ação realizada em um dispositivo como Exclusão permanente do dispositivo.
- Defina o Status de uma ação feita em um dispositivo como Com falha.
A regra é acionada sempre que um usuário instala, desinstala ou atualiza um app no próprio dispositivo. Nos dispositivos Android pessoais que não têm um perfil de trabalho, a configuração Auditoria de apps precisa estar ativada. No iPhone e iPad, só são detectadas alterações nos apps gerenciados instalados pelo Google Device Policy.
Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:
| Condição | Valores |
|---|---|
| ID do aplicativo |
Digite o ID (ou parte dele) do app que foi alterado. Por exemplo, para aplicar a regra somente quando o app do YouTube para dispositivos móveis for alterado, selecione Contém e digite youtube. |
| SHA-256 do app | Digite o hash SHA-256 (ou parte dele) do pacote de apps do app que foi alterado. |
| Estado do aplicativo |
Selecione para o novo estado do app:
|
| Novo valor | Digite o número da nova versão (ou parte dele) do app. Por exemplo, para acionar a regra quando o app do Chrome for atualizado para qualquer versão 86, selecione Contém e digite 86. |
| Categoria de app potencialmente nocivo |
Selecione o tipo de app potencialmente nocivo:
|
A regra é acionada quando um dispositivo não está em compliance com as políticas da organização. Por exemplo, um usuário muda a senha do dispositivo, que deixa de obedecer à sua política de senha. Veja mais detalhes em Status de compliance do dispositivo.
Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:
| Condição | Aplica a regra a |
|---|---|
| Estado de compliance do dispositivo |
Dispositivos cujo status de compliance foi alterado. Escolha uma opção:
|
| Motivo da desativação do dispositivo móvel | Selecione o motivo da incompatibilidade do dispositivo:
|
A regra é acionada quando um dispositivo Android é comprometido ou não está mais comprometido. Um dispositivo Android está comprometido quando tem acesso root, um processo que remova as restrições em um dispositivo. Os dispositivos comprometidos podem ser uma ameaça à segurança.
Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:
| Condição | Valores |
|---|---|
| Estado do dispositivo: comprometido |
Selecione o novo status do dispositivo:
|
A regra é acionada quando o sistema operacional de um dispositivo é alterado. Os tipos de mudança do SO que acionam a regra dependem do tipo de dispositivo:
- Android: alterações na versão do SO, número da versão, versão do kernel, versão da banda de base, patch de segurança ou versão do carregador de inicialização
- iOS: apenas alterações na versão do SO e no número da versão. Por exemplo, um usuário atualiza o dispositivo para utilizar um novo sistema operacional ou aplica o patch de segurança mais recente.
Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:
| Condição | Valores |
|---|---|
| Valor antigo | Digite um valor ou todos os valores de propriedade do SO antigos do dispositivo. |
| Novo valor | Digite um ou todos os novos valores de propriedade do SO do dispositivo. |
| Propriedade do sistema operacional |
Selecione a propriedade do SO que aciona a regra quando o valor muda:
No iOS, só é possível selecionar a versão do sistema operacional e o número da versão. |
A regra é acionada quando a propriedade de um dispositivo muda de "Pessoal" para "Pertence à empresa" ou vice-versa.
Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:
| Condição | Valores |
|---|---|
| Propriedade do dispositivo |
Selecione o novo estado de propriedade do dispositivo:
|
A regra é acionada quando há mudanças nas configurações de dispositivos Android, como alterações na depuração USB, fontes desconhecidas, opções para desenvolvedores ou configurações de verificação de apps.
Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:
| Condição | Valores |
|---|---|
| Valor antigo | Digite um valor ou todos os valores de configuração antigos do dispositivo. |
| Novo valor | Digite um valor ou todos os novos valores de configuração do dispositivo. |
| Configuração do dispositivo | Selecione a configuração do dispositivo que aciona a regra quando o valor muda:
|
A regra é acionada quando a conta de um usuário é sincronizada em um dispositivo.
Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:
| Condição | Valores |
|---|---|
| Data do último evento de auditoria de sincronização |
Digite uma data como um carimbo de data/hora do UNIX. Por exemplo, 1606167154. É possível acionar a regra quando a última sincronização do dispositivo ocorreu após a data especificada (É maior que) ou a partir dessa data (É maior ou igual a). |
A regra é acionada quando um dispositivo atinge um número definido de tentativas malsucedidas. Por padrão, a regra é aplicada depois de mais de cinco tentativas malsucedidas.
Para alterar o número de tentativas malsucedidas antes de a regra ser aplicada, use esta opção:
| Condição | Valores |
|---|---|
| Tentativas de desbloqueio de tela que não funcionaram |
Selecione como o número de tentativas malsucedidas é contabilizado (É maior que ou É maior ou igual a) e digite esse número. Por exemplo, se você digitar 3 e selecionar É maior que, a regra será acionada na quarta tentativa malsucedida. Se você digitar 3 e selecionar É maior ou igual a, a regra será acionada na terceira tentativa malsucedida. |
A regra é acionada quando ocorre uma mudança em uma propriedade que não costuma ser alterada. Por exemplo, o modelo do dispositivo muda sem que o dispositivo tenha sido alterado.
Em dispositivos Android, a atividade suspeita inclui alterações nas seguintes propriedades:
- Versão do carregador de inicialização
- Marca do dispositivo
- Hardware do dispositivo
- Fabricante
- Modelo do dispositivo
- Privilégio do app Device Policy
- Número IMEI
- Número MEID
- Número de série
- Endereço MAC Wi-Fi
Nos iPhones e iPads, isso só inclui mudanças no endereço MAC Wi-Fi.
Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:
| Condição | Valores |
|---|---|
| Propriedade do dispositivo |
Selecione a propriedade do dispositivo que aciona a regra quando ela é alterada. Para selecionar mais de uma propriedade, crie uma regra separada para essa propriedade. Se você adicionar mais de uma propriedade a uma regra, o dispositivo precisará relatar alterações em todas as propriedades selecionadas. Observação: nos dispositivos iOS, só são detectadas alterações no endereço MAC Wi-Fi. |
| Valor antigo | Nos dispositivos Android, selecione o antigo privilégio de gerenciamento do dispositivo. |
| Novo valor | Nos dispositivos Android, selecione o novo privilégio de gerenciamento do dispositivo. |
Aplica a regra quando um dispositivo Android começa a permitir perfis de trabalho. Por exemplo, após o upgrade da versão do SO.
Ver dados sobre eventos detectados
Você pode analisar os dados de eventos nos dispositivos gerenciados em uma auditoria de regras.
-
-
No Admin Console, acesse Menu
Relatórios
Auditoria e investigação
- Para analisar as ações relacionadas às suas regras de gerenciamento de dispositivos, clique em Adicionar filtro
-
(Opcional) Para personalizar os dados exibidos, clique em Gerenciar colunas
à direita. Selecione as colunas que você quer ver ou ocultar
- (Opcional) Se você quiser exportar os dados do relatório para um arquivo do Planilhas Google no Google Drive ou fazer o download de um arquivo CSV, siga estas etapas:
- Clique em Fazer download
.
- Em Selecionar colunas, clique em Colunas selecionadas ou Todas as colunas.
- Selecione um formato e clique em Fazer download.
Você pode exportar até 100.000 linhas de dados com qualquer tipo de arquivo.
- Clique em Fazer download