ルールを使用したモバイル管理タスクの自動化

この機能は、G Suite Enterprise と G Suite Enterprise for Education でのみご利用いただけます。

管理者はルールを定義することで、モバイル デバイス管理タスクを自動化したり、セキュリティ アラートを受け取ったりすることができます。たとえば、不審なアクティビティが報告されたらそのデバイスを自動的にブロックできます。

ルールの概要

デバイス管理ルールは、管理対象モバイル デバイスのイベントによってトリガーされます。イベントが検出されると、指定した条件に一致するかどうかがルールでチェックされます。条件に一致する場合は、アクションが実行されます。

たとえば、ユーザーが自身の企業アカウントを Android デバイスから登録解除したためにデバイスのアカウント登録のステータスが変更された場合は、管理者に通知が届くよう設定できます。この例では、次のようになります。

  • イベントは、Android デバイスのアカウント登録のステータスが変更されることです。
  • 条件は、ユーザーがそのアカウントをデバイスから登録解除することです。
  • アクションは、管理者への通知です。

独自のルールを作成したり、定義済みのテンプレートを活用したりすることができます。ルールは、組織全体、特定の組織部門、Google グループ内のグループに割り当てることができます。また、特定のグループを適用対象外にすることもできます。

ルールの設定はモバイルの基本管理または詳細管理で管理されるデバイスについて行うことができますが、承認とブロックの操作はモバイルの詳細管理でのみ行うことができます。必要に応じて、モバイルの詳細管理を有効にしてください。

ルールの作成と編集

デバイス管理ルールを作成する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[ルール] にアクセスします。
  3. ルールを作成アイコン  をクリックします。
  4. [デバイス管理] をクリックして、次のいずれかを選択します。
    • ルール テンプレートを使用するには、目的のテンプレートをクリックします。詳しくは、ルール テンプレートの使用をご覧ください。
    • 独自のルールを作成するには、[空白のテンプレート] をクリックします。
  5. ルールのタイトルや説明を編集します。
  6. [条件] をクリックします。
  7. (省略可)[ユーザー] で、ルールを適用する組織部門またはグループ、またはルールから除外するグループを選択します。選択しない場合、ルールは組織内の該当するすべてのユーザーに適用されます。

    ルールを複数の組織部門やグループに適用したり、複数のグループを除外したりするには、[追加] をクリックします。組織またはグループを削除するには、その横にある [X] をクリックします。

    • [組織部門に適用] - プルダウン リストから組織部門を選択します。
    • [グループに適用する] - グループの名前を正確に入力します。
    • [適用対象外のグループ] - グループ内のユーザーをルールの適用対象外とします。グループの名前を正確に入力します。ルールは、指定したグループ内のユーザーを除く、すべてのユーザーに適用されます。
  8. 必要に応じて、[フィルタ] でルールのイベントと条件を編集します。詳しくは、イベントと条件の選択をご覧ください。
    1. ルールを適用するデバイスの種類(AndroidiOSすべてのデバイス)を選択します。
    2. ルールをトリガーするイベントを選択します。
    3. (省略可)アクションを実行する前に、ルールでチェックする追加の条件を選択します。

      複数の追加条件を設定するには、[追加] をクリックします。

  9. [完了] をクリックします。
  10. [アクション] をクリックし、ルールの条件が満たされたときに行うアクションを選択します。イベントの種類によっては行えないアクションもあります。
    • [特権管理者にメール送信] - 管理対象モバイル デバイスでイベントが発生したときにアラートを送信します。送信されるメールの最大数は 2 時間に 25 通です。
    • [モバイル デバイスをブロック] -(モバイルの詳細管理のみ)デバイスとの企業データの同期を停止します。
    • [モバイル デバイスを承認する] -(モバイルの詳細管理のみ)デバイスとの企業データの同期を許可します。
    • [ワイプを実行] - ユーザーの企業アカウントとその関連データをデバイスからワイプします。
  11. [完了] をクリックします。
  12. 次のいずれかを行います。
    • ルールを作成し、すぐに有効にするには、[作成して有効化] をクリックします。
    • ルールを作成し、後で有効にするには、[作成] をクリックします。ルールを有効にするには、ルールのリストから目的のルールを選択し、上部にある「ルールを有効化」アイコン をクリックします。
既存のデバイス管理ルールを編集する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[ルール] にアクセスします。
  3. 上部にある [管理] をクリックしてルールのリストを表示します。
  4. 編集するルールをクリックします。
  5. 編集するセクションをクリックして変更します。[完了] をクリックします。
  6. 次のいずれかを行います。
    • 変更を保存し、すぐに有効にするには、[保存して有効化] をクリックします。
    • ルールを検討中で、まだ有効にしない場合は、[保存] をクリックします。

ルール テンプレートの使用

ルール テンプレートには条件とアクションがあらかじめ定義されていて、組織のニーズに合わせて変更することができます。たとえば、iOS デバイスはすべて自動的に承認し、Android デバイスの承認は手動で行う場合は、デバイスの登録の自動承認テンプレートを使用して、デバイスの種類を iOS に変更します。

画面のロック解除に複数回失敗したアカウントのブロック

Android デバイスのロック解除に 6 回以上失敗するとデバイスがブロックされ、デバイスに企業データが同期されなくなり、特権管理者にメール通知が送信されます。

不審なイベント時のワイプの実施

不審なアクティビティが検出されると、Android デバイスや iOS デバイスから企業データが削除されます。iOS デバイスの場合、デバイスの Wi-Fi MAC アドレスが変更されると、アカウントがワイプされます。

Android デバイスの場合、次のデバイスのプロパティのいずれかが変更されると、アカウントがワイプされます。

  • デバイスのモデル
  • シリアル番号
  • Wi-Fi MAC アドレス
  • Device Policy アプリの権限
  • 製造元
  • デバイスのブランド
  • デバイスのハードウェア

Android デバイスの所有権が会社に割り当てられている場合(会社所有)、すべてのデータがデバイスからワイプされ、デバイスは初期状態にリセットされます。デバイスが個人所有のものであり、仕事用プロファイルが設定されている場合、仕事用プロファイルのみがワイプされ、個人データは変更されません。

特権管理者にメール通知が送信されます。

デバイス登録の自動承認

ユーザーが自身のデバイスを管理対象として登録すると、すべての Android デバイスと iOS デバイスが自動的に承認されます。ユーザーが自身のアカウントでログインすると、企業データがデバイスに同期されます。デバイスが承認される際に、管理者には通知されません。

イベントと条件の選択(フィルタ)

フィルタを使用して、デバイスの種類(Android、iOS、すべて)、イベント、ルールをトリガーするその他の条件を選択できます。ルールによるアクションは、指定した条件を満たすイベントがデバイスで発生した場合にのみ実行されます。

ルールごとに 1 つのイベントと複数の条件を選択できます。条件には、ユーザーのメールアドレス(全体または一部)、デバイス ID、デバイスのシリアル番号、デバイスのモデルが含まれます。個々のイベントに条件を追加できます。複数の条件をルールに適用するには、[追加] をクリックします。

アカウント登録の変更

ドメイン内のデバイスのアカウント登録のステータスが変更されると、ルールがトリガーされます。登録のステータスは、次のような場合に変更されます。

  • 新しいデバイスでユーザーが自身の企業アカウントを追加した場合。
  • 管理対象のデバイスからユーザーが自身の企業アカウントを登録解除した場合。
  • Device Policy アプリの権限が変更された場合。

デフォルトでは、これらのイベントのいずれかが検出されると、ルールがトリガーされます。特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
アカウントのステータス

ユーザーのアカウントのステータスが変更されたデバイス。次のいずれかを選択します。

  • [登録先] - デバイスにアカウントが追加されると、ルールが適用されます。
  • [登録解除] - 管理対象デバイスからアカウントの登録が解除されると、ルールが適用されます。
Device Policy アプリの権限

次のいずれかを選択します。

  • [デバイス管理者の権限] - 個人用スペースに管理対象アカウントが設定されている個人所有のデバイスにルールが適用されます。
  • [仕事用プロファイルの権限] - 仕事用プロファイルが設定された個人所有のデバイスにルールが適用されます。
  • [デバイス所有者の権限] - 組織をデバイス所有者として認識するよう設定されたデバイスにルールが適用されます。
デバイスのアプリの変更

ユーザーがデバイスでアプリのインストール、アンインストール、アップデートを行うたびに、ルールが適用されます。仕事用プロファイルが設定されていない個人所有の Android デバイスの場合は、アプリケーションの監査の設定を有効にする必要があります。iOS デバイスの場合は、Google Device Policy アプリを使用してインストールされた管理対象アプリに対する変更のみが検出されます。

特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

イベント ルールの適用対象
アプリケーション ID

指定したアプリが変更されたデバイス。次のいずれかを選択します。

  • [含む] - アプリ ID の一部を入力します。
  • [次と等しい] - 完全なアプリ ID を入力します。
新しい値 アプリのバージョン番号が指定した値に変更されたデバイス。アプリの新しいバージョン番号を入力します(例: 50.0.2645.0)。
アプリケーションのステータス

アプリのステータスが選択した値に変更されたデバイス。次のいずれかを選択します。

  • インストール
  • 削除
  • アップデート
アプリケーション ハッシュ 指定したアプリケーション ハッシュと一致するアプリがインストールされたデバイス。アプリケーション パッケージの SHA-256 ハッシュを入力します。
デバイスのコンプライアンスのステータス(Android のみ)

デバイスが組織のポリシーに準拠しなくなると、ルールがトリガーされます。たとえば、ユーザーがデバイスのパスワードを変更し、そのパスワードがパスワード ポリシーに準拠しなくなった場合です。詳しくは、デバイスのコンプライアンスのステータスをご覧ください。

特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
デバイスのコンプライアンスのステータス

コンプライアンスのステータスが変更されたデバイス。次のいずれかを選択します。

  • [設定されたポリシーに準拠しています] - デバイスが組織のポリシーに準拠するようになると、ルールが適用されます。
  • [設定されたポリシーに準拠していません。デバイスが次の状態であることが原因です] - [追加] をクリックし、[モバイル デバイスが無効化されている理由] を使用します。
モバイル デバイスが無効化されている理由 選択した理由により、組織のポリシーに準拠していないデバイス。次の理由を選択できます。
 
  • パスワード ポリシーに準拠していません
  • 暗号化されていません
  • 最新の Device Policy アプリがインストールされていません
  • 不正使用中
  • カメラが有効になっています
  • ロック画面ウィジェットが有効になっています
  • 仕事用プロファイルが作成されていません
  • デバイスの所有者モードになっていません
  • 管理者によってブロックされています
  • 同期が有効になっていません
  • Device Policy アプリがインストールされていません
  • 同期が 24 時間以上行われていません
デバイスの不正使用(Android のみ)

不正使用中、不正使用解決済みの Android デバイスにルールが適用されます。Android デバイスでルート権限が取得(デバイスの制限を解除する処理)されると、そのデバイスは不正使用中になります。潜在的なセキュリティ上の脅威と見なされます。

特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
デバイスの不正使用のステータス

不正使用のステータスが変更されたデバイス。次のいずれかを選択します。

  • [不正使用中] - 不正使用されているデバイスにルールが適用されます。
  • [不正使用解決済み] - 以前は不正使用されていたが、今は不正使用解決済みのデバイスにルールが適用されます。
デバイスの OS アップデート

デバイスのオペレーティング システムが変更されると、ルールがトリガーされます。Android デバイスの場合、これには、デバイスの OS バージョン、ビルド番号、カーネル バージョン、ベースバンド バージョン、セキュリティ パッチ、ブートローダー バージョンの変更が含まれます。iOS デバイスの場合、OS のバージョンとビルド番号のアップデートのみが対象です。たとえば、ユーザーがデバイスを新しい OS にアップデートした場合や、最新のセキュリティ パッチを適用した場合です。

特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
古い値 OS のプロパティが指定した値から変更されたデバイス。
新しい値 OS のプロパティが指定した値に変更されたデバイス。
OS のプロパティ

選択した OS のプロパティが変更されたデバイス。次の OS のプロパティから選択します。

  • OS バージョン
  • ビルド番号
  • カーネル バージョン
  • デバイスのベースバンド バージョン
  • OS セキュリティ パッチ
  • デバイスのブートローダーのバージョン

iOS の場合は、OS バージョンとビルド番号のみがサポートされています。

デバイスの所有者(Android のみ)

デバイスの所有者が個人所有から会社所有、または会社所有から個人所有に変更されると、ルールが適用されます。

特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
デバイスのデバイス所有者

デバイス所有者のステータスが変更されたデバイス。次のいずれかを選択します。

  • [会社所有] - 所有者が会社所有に変更されたデバイスにルールが適用されます。
  • [個人所有] - 所有者が個人所有に変更されたデバイスにルールが適用されます。
デバイス設定の変更(Android のみ)

Android デバイスのデバイス設定が変更されると、ルールがトリガーされます。これには、USB デバッグ、提供元不明のアプリ、開発者向けオプション、アプリの確認といった設定に対する変更が含まれます。

特定の設定が変更された場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
古い値 デバイス設定が指定した値から変更されたデバイス。
新しい値 デバイス設定が指定した値に変更されたデバイス。
デバイス設定 選択したデバイス設定が変更されたデバイス。次の設定から選択します。
  • 開発者向けオプション
  • 不明な提供元
  • USB デバッグ
  • アプリの確認
画面のロック解除に失敗した回数(Android のみ)

ロック解除に失敗すると、そのデバイスにルールが適用されます。デフォルトでは、失敗した回数が 6 回以上になると、ルールが適用されます。

ルールが適用されるまでの失敗した回数を変更するには、次の設定を使用します。

条件 ルールの適用対象
画面のロック解除に失敗した回数

ロック解除の失敗が検出されたデバイス。ルールが適用されるまでの回数を指定するには、次の項目を選択して回数を入力します。

  • >(より大きい)
  • >=(以上)
不審な操作

ドメイン内の管理対象モバイル デバイスで不審な操作が見つかると、ルールがトリガーされます。たとえば、デバイスのモデルが変更されたのにデバイスが変更されていない場合などです。

Android デバイスの場合、不審な操作には次のデバイス プロパティの変更が含まれます。

  • デバイスのモデル
  • シリアル番号
  • Wi-Fi MAC アドレス
  • Device Policy アプリの権限
  • 製造元
  • デバイスのブランド
  • デバイスのハードウェア
  • ブートローダーのバージョン

iOS デバイスの場合、Wi-Fi MAC アドレスの変更のみが含まれます。

特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
デバイスのプロパティ

選択したデバイスのプロパティが変更されたデバイス。リストからプロパティを選択します。複数のプロパティを選択するには、[追加] をクリックして別のデバイスのプロパティを選択します。

: iOS デバイスの場合、Wi-Fi MAC アドレスの変更のみが検出されます。

古い値 デバイスのプロパティが指定した値から変更されたデバイス。
新しい値 デバイスのプロパティが指定した値に変更されたデバイス。
仕事用プロファイルのサポート(Android のみ)

Android デバイスで仕事用プロファイルのサポートを開始すると、ルールが適用されます。たとえば、OS バージョンがアップグレードされて、デバイスで仕事用プロファイルがサポートされるようになった場合です。

検出されたイベントに関するデータの表示

[ルールの監査] では、モバイル デバイスで検出されたイベントに関するデータを表示できます。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[ルール] にアクセスします。
  3. 上部にある [監査] をクリックします。
  4. (省略可)表示の条件を変更するには、列を選択アイコン  をクリックします。変更は自動的に保存され、次にログインしたときに利用できます。
  5. 特定の要素だけが表示されるように表を設定するには、左にある [フィルタ] を使用します。
    • [ルール名] - 検出されたイベント。
    • [フラグの付いたアイテムの名前] - イベントが検出されたデバイスの名前。
    • [フラグの付いたアイテムの ID] - デバイスの ID。
    • [オーナー] - イベントが検出されたデバイスの登録済みユーザーのメールアドレス。
    • [期間] - 表示するイベントの開始日と終了日。ログエントリは、それぞれ 1 つのイベントに対応しています。
  6. (省略可)レポートデータを Google スプレッドシート ファイル形式で Google ドライブに直接書き出したり、レポートデータを含む CSV ファイルをダウンロードしたりするには、ダウンロード アイコン  をクリックします。書き出したスプレッドシート ファイルとダウンロードした CSV ファイルに含まれるセルの数は、どちらも最大 200,000 個です。書き出せる行の上限は、選択している列の数によって変わります。
この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。