ルールを使用したモバイル管理タスクの自動化

この機能は、G Suite EnterpriseG Suite for Education でのみご利用いただけます。

管理者は、モバイル端末管理のタスクを自動化するルールを定義できます。たとえば、管理対象として登録するすべての Android 搭載端末を自動的に承認できます。また、Android 搭載端末や Apple® iOS® 端末で特定のイベントが検出されたときにトリガーされる操作を設定することにより、イベントが発生したときに、管理者に通知メールを送信したり、端末をブロックまたは承認したり、端末から企業アカウントをワイプしたりすることができます。

G Suite Business または G Suite Enterprise から G Suite Basic エディションに移行すると、新しいイベントに関するデータが監査ログに記録されなくなります。古いデータは引き続き閲覧できます。

はじめる前に

  • Google 管理コンソールで端末管理ルールを設定するには、特権管理者の権限が必要です。詳しくは、既定の管理者の役割をご覧ください。
  • 設定したルールは、モバイル端末の詳細管理で管理されている端末にのみ適用されます。詳しくは、モバイル端末管理機能を設定するをご覧ください。

ルールの仕組み

端末管理ルールは、管理対象モバイル端末で発生するイベントによって開始されます。イベントが検出されると、指定した条件に一致するかどうかがルールでチェックされます。条件に一致する場合は、操作が実行されます。

たとえば、ユーザーが自身の企業アカウントを端末から登録解除したために Android 搭載端末のアカウント登録のステータスが変更された場合は、管理者に通知が届くよう設定できます。この例では、次のようになります。

  • イベントは、Android 搭載端末のアカウント登録のステータスが変更されることです。
  • 条件は、ユーザーがそのアカウントを端末から登録解除することです。
  • 操作は、管理者への通知です。

独自のルールを作成したり、定義済みのテンプレートを活用したりすることができます。ルールは、ドメイン全体、特定の組織部門、Google グループ内のグループに割り当てることができます。また、特定のグループを適用対象外にすることもできます。

ルールの作成と編集

端末管理ルールを作成する

いずれかの定義済みのテンプレートを使用して、ニーズに合わせてカスタマイズすることができます。適切なテンプレートが見つからない場合は、空白のテンプレートを選択し、独自のカスタムルールを作成します。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[ルール] にアクセスします。

    [ルール] が表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. 追加アイコン 追加 をクリックします。
  4. [端末管理] までスクロールし、次のいずれかを選択します。
    • 独自のルールをゼロから作成するには、[空のテンプレート] を選択します。
    • リストから定義済みのテンプレートを選択します。詳しくは、ルール テンプレートの使用をご覧ください。
  5. ルールのタイトルや説明を編集します。
  6. [条件] をクリックします。
  7. (省略可)[ユーザー] の下で、ルールを適用する組織部門またはグループを選択します。また、特定のグループをルールの適用対象外とすることもできます。複数の条件を追加するには、[追加] をクリックします。最上位組織の該当するすべてのユーザーにルールが適用されます。
  8. [フィルタ] で、次の操作を行います。
    • ルールを適用する端末の種類(Android、iOS、すべて)を選択します。
    • ルールをトリガーするイベントを選択します。
    • (省略可)操作を実行する前に、ルールでチェックする追加の条件を選択します。複数の条件を追加するには、[追加] をクリックします。
    詳しくは、イベントと条件の選択をご覧ください。
  9. [完了] をクリックします。
  10. [操作] をクリックし、上記で指定した条件が見つかったときに、ルールで実行する操作を選択します。詳しくは、操作の選択をご覧ください。
  11. [完了] をクリックします。
  12. 次のいずれかを選択します。
    • ルールを作成し、すぐに有効にするには、[作成して有効化] をクリックします。
    • ルールを作成し、後で有効にするには、[作成] をクリックします。ルールを有効にするには、ルールのリストから目的のルールを選択し、上部にあるルールを有効化アイコン Activate rules をクリックします。
既存の端末管理ルールを編集する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[ルール] にアクセスします。

    [ルール] が表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. 上部にある [管理] を選択すると、ルールのリストが表示されます。
  4. 変更するルールをクリックします。
  5. [条件] の下で設定を選択し、[完了] をクリックします。詳しくは、イベントと条件の選択をご覧ください。
  6. [操作] で設定を選択し、[完了] をクリックします。詳しくは、操作の選択をご覧ください。
  7. 次のいずれかを選択します。
    • 変更を保存し、すぐに有効にするには、[保存して有効化] をクリックします。
    • ルールを検討中で、まだ有効にしない場合は、[保存] をクリックします。

ルール テンプレートの使用

提供されているルール テンプレートは、定義済みの条件や操作を組織のニーズに合わせて変更することができます。たとえば、iOS 端末はすべて自動的に承認し、Android 搭載端末の承認は手動で行う場合は、端末の登録の自動承認テンプレートを使用して、端末の種類を iOS に変更します。

利用可能なテンプレート

画面のロック解除に複数回失敗したアカウントのブロック

Android 搭載端末のロック解除に 6 回以上失敗すると端末がブロックされ、端末には企業データが同期されなくなります。特権管理者にメール通知が送信されます。

不審なイベントが発生した際のアカウントのワイプ

不審なアクティビティが検出されると、Android 搭載端末や iOS 端末から企業データが削除されます。iOS 端末の場合、端末の Wi-Fi MAC アドレスが変更されると、アカウントがワイプされます。Android 搭載端末の場合、次の端末のプロパティのいずれかが変更されると、アカウントがワイプされます。

  • 端末のモデル
  • シリアル番号
  • Wi-Fi MAC アドレス
  • Device Policy アプリの権限
  • 製造元
  • 端末のブランド
  • 端末のハードウェア

特権管理者にメール通知が送信されます。

端末の登録の自動承認

ユーザーが自身の端末を管理対象として登録すると、すべての Android 搭載端末と iOS 端末が自動的に承認されます。ユーザーが自身のアカウントでログインすると、企業データが端末に同期されます。ユーザーは、管理者が端末を承認するのを待つ必要はありません。端末が承認される際に、管理者には通知されません。

ルールを適用するユーザーの選択

ルールは、特定の組織部門や Google グループ内のグループの端末ユーザーのみに適用することができます。たとえば、管理グループに所属するユーザーが登録した端末を自動的に承認することができます。また、特定のグループ内のユーザーを対象としてルールを無視することもできます。次のいずれかを選択できます。

  • 組織部門に適用 - プルダウン リストから選択した組織のユーザーにルールが適用されます。
  • グループに適用する - グループ内のユーザーにルールが適用されます。グループの正確な名前を入力する必要があります。
  • 適用対象外のグループ - グループ内のユーザーをルールの適用対象外とします。グループの正確な名前を入力する必要があります。ルールは、指定したグループ内のユーザーを除く、すべてのユーザーに適用されます。

複数の組織やグループを選択するには、[追加] をクリックします。組織やグループを削除するには、その横にある [X] をクリックします。何も選択しなかった場合は、最上位組織の該当するすべてのユーザーにルールが適用されます。

イベントと条件の選択(フィルタ)

フィルタを使用して、端末の種類(Android、iOS、すべて)、イベント、ルールをトリガーするその他の条件を選択できます。ルールによる操作は、指定した条件を満たすイベントが端末で発生した場合にのみ実行されます。

ルールごとに 1 つのイベントと複数の条件を選択できます。条件には、ユーザーのメールアドレス(全体または一部)、端末 ID、端末のシリアル番号、端末のモデルが含まれます。個々のイベントに条件を追加できます。複数の条件をルールに適用するには、[追加] をクリックします。

アカウント登録の変更

ドメイン内の端末のアカウント登録のステータスが変更されると、ルールがトリガーされます。登録のステータスは、次のような場合に変更されます。

  • 新しい端末でユーザーが自身の企業アカウントを追加した場合。
  • 管理対象の端末からユーザーが自身の企業アカウントを登録解除した場合。
  • Device Policy アプリの権限が変更された場合。

デフォルトでは、これらのイベントのいずれかが検出されると、ルールがトリガーされます。特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
アカウントのステータス

ユーザーのアカウントのステータスが変更された端末。次のいずれかを選択します。

  • [登録先] - 端末にアカウントが追加されると、ルールが適用されます。
  • [登録解除] - 管理対象端末からアカウントの登録が解除されると、ルールが適用されます。
Device Policy アプリの権限

次のいずれかを選択します。

  • [端末管理者の権限] - 個人用スペースに管理対象アカウントが設定されている個人所有の端末にルールが適用されます。
  • [仕事用プロファイルの権限] - 仕事用プロファイルが設定された個人所有の端末にルールが適用されます。
  • [端末所有者の権限] - 組織を端末所有者として認識するよう設定された端末にルールが適用されます。
端末のアプリの変更

ユーザーが端末でアプリのインストール、アンインストール、アップデートを実行するたびにルールが適用されます。仕事用プロファイルが設定されていない個人所有の Android 搭載端末の場合は、アプリケーションの監査の設定を有効にする必要があります。iOS 端末の場合は、Google Device Policy アプリを使用してインストールされた管理対象アプリに対する変更のみが検出されます。

特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

イベント ルールの適用対象
アプリケーション ID

指定したアプリが変更された端末。次のいずれかを選択します。

  • [含む] - アプリ ID の一部を入力します。
  • [次と等しい] - 完全なアプリ ID を入力します。
新しい値 アプリのバージョン番号が指定した値に変更された端末。アプリの新しいバージョン番号を入力します(例: 50.0.2645.0)。
アプリケーションのステータス

アプリのステータスが選択した値に変更された端末。次のいずれかを選択します。

  • インストール
  • 削除
  • アップデート
アプリケーション ハッシュ 指定したアプリケーション ハッシュと一致するアプリがインストールされた端末。アプリケーション パッケージの SHA-256 ハッシュを入力します。
端末のコンプライアンスのステータス(Android のみ)

端末が組織のポリシーに準拠しなくなると、ルールがトリガーされます。たとえば、ユーザーが端末のパスワードを変更し、そのパスワードがパスワード ポリシーに準拠しなくなった場合です。詳しくは、端末のコンプライアンスのステータスをご覧ください。

特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
端末のコンプライアンスのステータス

コンプライアンスのステータスが変更された端末。次のいずれかを選択します。

  • [設定されたポリシーに準拠しています] - 端末が組織のポリシーに準拠するようになると、ルールが適用されます。
  • [設定されたポリシーに準拠していません。端末が次の状態であることが原因です] - [追加] をクリックし、[モバイル端末が無効化されている理由] を使用します。
モバイル端末が無効化されている理由 選択した理由により、組織に準拠しなくなる端末。次の理由を選択できます。
 
  • パスワード ポリシーを遵守していません
  • 暗号化されていません
  • 最新の Device Policy アプリがインストールされていません
  • 不正使用中
  • カメラが有効になっています
  • ロック画面ウィジェットが有効になっています
  • 仕事用プロファイルが作成されていません
  • 端末の所有者モードになっていません
  • 管理者によってブロックされています
  • 同期が有効になっていません
  • Device Policy アプリがインストールされていません
  • 同期が 24 時間以上行われていません
端末の不正使用(Android のみ)

不正使用中、不正使用解決済みの Android 搭載端末にルールが適用されます。ルート化(端末の制限を解除する処理)が行われると、Android 搭載端末は不正使用中になります。潜在的なセキュリティ上の脅威と見なされます。

特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
端末の不正使用のステータス

不正使用のステータスが変更された端末。次のいずれかを選択します。

  • [不正使用中] - 不正使用されている端末にルールが適用されます。
  • [不正使用解決済み] - 以前は不正使用されていたが、今は不正使用解決済みの端末にルールが適用されます。
端末の OS アップデート

端末の OS のプロパティが変更されると、ルールがトリガーされます。Android 搭載端末の場合、このプロパティには OS バージョン、ビルド番号、カーネル バージョン、ベースバンド バージョン、セキュリティ パッチ、ブートローダー バージョンが含まれます。iOS 端末の場合は、OS バージョンとビルド番号のアップデートのみが含まれます。たとえば、ユーザーが端末を新しい OS にアップデートした場合や、最新のセキュリティ パッチを適用した場合です。

特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
古い値 OS のプロパティが指定した値から変更された端末。
新しい値 OS のプロパティが指定した値に変更された端末。
OS のプロパティ

選択した OS のプロパティが変更された端末。次の OS のプロパティから選択します。

  • OS バージョン
  • ビルド番号
  • カーネル バージョン
  • 端末のベースバンド バージョン
  • OS セキュリティ パッチ
  • 端末のブートローダーのバージョン

iOS の場合は、OS バージョンとビルド番号のみがサポートされています。

端末の所有者(Android のみ)

端末の所有者が個人所有から会社所有、または会社所有から個人所有に変更されると、ルールが適用されます。

特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
端末の端末所有者

端末所有者のステータスが変更された端末。次のいずれかを選択します。

  • [会社所有] - 所有者が会社所有に変更された端末にルールが適用されます。
  • [個人所有] - 所有者が個人所有に変更された端末にルールが適用されます。
端末設定の変更(Android のみ)

Android 搭載端末の端末設定が変更されると、ルールがトリガーされます。これには、端末の USB デバッグ、提供元不明のアプリ、開発者向けオプション、アプリの確認の設定の変更が含まれます。

特定の設定が変更された場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
古い値 端末設定が指定した値から変更された端末。
新しい値 端末設定が指定した値に変更された端末。
端末設定 選択した端末設定が変更された端末。次の設定から選択します。
  • 開発者向けオプション
  • 不明な提供元
  • USB デバッグ
  • アプリの確認
画面のロック解除に失敗した回数(Android のみ)

ロック解除に失敗すると、その端末にルールが適用されます。デフォルトでは、失敗した回数が 6 回以上になると、ルールが適用されます。

ルールが適用されるまでの失敗した回数を変更するには、次の設定を使用します。

条件 ルールの適用対象
画面のロック解除に失敗した回数

ロック解除の失敗が検出された端末。ルールが適用されるまでの回数を指定するには、次の項目を選択して回数を入力します。

  • >(より大きい)
  • >=(以上)
不審な操作

ドメイン内の管理対象モバイル端末で不審な操作が見つかると、ルールがトリガーされます。たとえば、端末のモデルが変更されたのに端末が変更されていない場合などです。

Android 搭載端末の場合、不審な操作には次の端末のプロパティの変更が含まれます。

  • 端末のモデル
  • シリアル番号
  • Wi-Fi MAC アドレス
  • Device Policy アプリの権限
  • 製造元
  • 端末のブランド
  • 端末のハードウェア
  • ブートローダーのバージョン

iOS 端末の場合、Wi-Fi MAC アドレスの変更のみが含まれます。

特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
端末のプロパティ

選択した端末のプロパティが変更された端末。リストからプロパティを選択します。複数のプロパティを選択するには、[追加] をクリックして別の端末のプロパティを選択します。

: iOS 端末の場合、Wi-Fi MAC アドレスの変更のみが検出されます。

古い値 端末のプロパティが指定した値から変更された端末。
新しい値 端末のプロパティが指定した値に変更された端末。
仕事用プロファイルのサポート(Android のみ)

Android 搭載端末で仕事用プロファイルのサポートを開始すると、ルールが適用されます。たとえば、OS バージョンがアップグレードされて、端末で仕事用プロファイルがサポートされるようになった場合です。

操作の選択

操作では、イベントを検出した場合にルールで行う内容を指定します。特権管理者に通知メールを送信したり、端末をブロックまたは承認したり、端末から企業アカウントをワイプしたりできます。操作を選択しない場合は、[ルールの監査] ログでルールがトリガーされた端末を確認できます。詳しくは、検出されたイベントに関するデータの表示をご覧ください。

次の操作から選択します。

  • [特権管理者にメール送信] - 管理対象モバイル端末でイベントが発生したことを特権管理者に知らせるメールが送信されます。送信されるメールの最大数は 2 時間に 25 通です。
  • [モバイル端末をブロック] - 端末との企業データの同期を停止します。
  • [モバイル端末を承認する] - 端末との企業データの同期を許可します。
  • [端末から企業アカウントをワイプ] - ユーザーの企業アカウントとそれに関連付けられているデータが端末からワイプされます。

検出されたイベントに関するデータの表示

[ルールの監査] では、モバイル端末で検出されたイベントに関するデータを表示できます。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[ルール] にアクセスします。

    [ルール] が表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. 上部にある [監査] をクリックします。
  4. (省略可)表示の条件を変更するには、列を選択アイコン 列を選択 をクリックします。変更は自動的に保存され、次にログインしたときに利用できます。
  5. 特定の要素のみを表示するように表を設定するには、左にある [フィルタ] を使用します。
    • [ルール名] - 検出されたイベント。
    • [フラグの付いたアイテムの名前] - イベントが検出された端末の名前。
    • [フラグの付いたアイテムの ID] - 端末の ID。
    • [オーナー] - イベントが検出された端末の登録済みユーザーのメールアドレス。
    • [期間] - 表示するイベントの開始日と終了日。ログエントリは、それぞれ 1 つのイベントに対応しています。
  6. (省略可)レポートデータを Google スプレッドシート ファイル形式で Google ドライブに直接書き出したり、レポートデータを CSV ファイルでダウンロードしたりするには、ダウンロード アイコン ダウンロード をクリックします。書き出したスプレッドシート ファイルとダウンロードした CSV ファイルに含まれるセルの数は、どちらも最大 200,000 個です。書き出せる行の上限は、選択している列の数によって変わります。
この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。