この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Endpoint Education Upgrade、Cloud Identity Premium。 エディションの比較
管理者は、デバイスの管理タスクを自動化したり、セキュリティ アラートを受け取ったりするためのルールを定義することができます。たとえば、不審なアクティビティが検出されたデバイスを自動的にブロックしたりすることができます。
デバイス管理ルールはサポートされているモバイル デバイスに対して適用することができます。
注: ルールを使用してモバイル デバイスを承認するには、そのデバイスにモバイルの詳細管理が設定されている必要があります。必要に応じて、モバイルの詳細管理を有効にしてください。
ルールの概要
デバイス管理ルールは、管理対象のデバイスにイベントが発生することでトリガーされます。イベントが検出されると、ルールで指定されている条件に一致するかどうかが検証され、一致する場合はアクションが実行されます。
たとえば、ユーザーが自分の企業アカウントの登録を Android デバイスから解除したことでデバイスのアカウント登録ステータスが変わったときには、そのデバイスをブロックするように設定しておくことができます。この場合のルールの仕組みは次のようになります。
- イベントは、デバイスのアカウント登録ステータスが変更されることです。
- 1 つ目の条件は、デバイスの種類が [Android] であることです。
- 2 つ目の条件は、ユーザーが自分のアカウントの登録をデバイスから解除することです([アカウントのステータス] は [登録解除])。
- アクションは、デバイスをブロックすることです。
ルールは独自のものを作成することも、定義済みのテンプレートを基に作成することもできます。ルールの適用対象については、組織全体、一部の組織部門、Google グループ内のグループを指定することや、特定のグループを除外することができます。
注: デバイス管理ルールを使用すると、特定のイベントに応じてデバイスを承認、ブロック、またはワイプできます。OS のバージョン、セキュリティ ステータス、IP アドレス、地域、所有者などのデバイスの属性に基づいて、デバイスの Google アプリへのアクセスを制御するには、コンテキストアウェア アクセスレベルを使用します。詳細
ルールを作成、編集する
この操作を行うには、特権管理者としてログインする必要があります。
デバイス管理ルールを作成する-
特権管理者アカウントで Google 管理コンソール にログインします。
特権管理者アカウントを使用していない場合は、この手順を完了できません。
- [デバイス管理ルール] をクリックします。
- [ルールを追加] をクリックし、次のいずれかを選択します。
- ルールのテンプレートを使用するには、[テンプレートからルールを作成] をクリックし、目的のテンプレートをクリックします。詳しくは、ルール テンプレートの使用をご覧ください。
- 独自のルールを作成するには、[新しいルール] をクリックします。
- ルールのタイトルと説明を入力または編集します。
- ルールを適用するユーザーを選択します。デフォルトでは、組織内のすべてのユーザーにルールが適用されます。
- 一部のユーザーにのみルールを適用するには、[組織部門またはグループを指定] をクリックし、対象とする組織部門とグループを選択します。
- 特定のグループに属するユーザーを除外するには、まず適用対象の組織部門またはグループを 1 つ以上選択します。次に、[グループを除外] をクリックし、除外するグループを選択します。除外するグループが他にもある場合は、この手順を繰り返します。
たとえば、組織内の 1 つのグループを除く全ユーザーにルールを適用するには、最上位の組織部門を選択してからそのグループを除外します。
組織部門またはグループを削除するには、その横にある削除アイコン
をクリックします。
- [続行] をクリックします。
- 必要に応じて、ルールをトリガーするイベントを選択します。詳しくは、トリガーと条件の選択をご覧ください。
- [条件を追加] をクリックし、デバイスの種類を設定します。
- [項目] をクリックし、[デバイスの種類] を選択します。
- [値] をクリックし、デバイスの種類として [すべてのデバイス]、[Android]、[iOS] のいずれかを選択します。一部のイベントは特定の種類のデバイスでのみサポートされているため、種類によっては利用できないオプションもあります。
注: 次の手順に進むには、デバイスの種類を設定する必要があります。
- (省略可)[条件を追加] をクリックし、追加の条件を設定します。デバイスがすべての条件を満たすと、ルールが適用されます。
- [続行] をクリックします。
- 必要に応じて、ルールの条件が満たされたときに行うアクションを選択します。イベントの種類によっては利用できないアクションもあります。
- [モバイル デバイスをブロック] - デバイスとの企業データの同期を停止します。
- [モバイル デバイスを承認する] - (モバイルの詳細管理のみ)デバイスとの企業データの同期を許可します。
- [ワイプを実施] - ユーザーの企業アカウントとその関連データをデバイスからワイプします。詳しくは、アカウントのワイプに関する記事をご覧ください。
- [対応しない] - デバイスに対して何もしません。このオプションは、イベントが発生したという通知のみを受け取る場合に使用します(次の手順を参照)。
- (省略可)すべての特権管理者にメール通知を送信するには、[アラート センターに送信する] チェックボックスをオンにしてから、[すべての特権管理者] チェックボックスをオンにします。 注: アラート センターの通知はまだサポートされていませんが、特権管理者にメールを送信するにはオンにしておく必要があります。
- [続行] をクリックします。
- ルールの設定を確認します。設定が正しい場合は、[完了] をクリックします。設定に誤りがある場合は、[戻る] をクリックしてルールを編集します。
- 表示されたダイアログで、次のいずれかを行います。
- 作成したルールをすぐに有効にするには、[有効] をクリックします。
- 作成したルールを後で有効にするには、[無効] をクリックします。
- [完了] をクリックします。
- 無効なルールを有効にするには、ルールのリストでそのルールをクリックします。左側でメニューをクリックし、[有効] を選択します。
-
特権管理者アカウントで Google 管理コンソール にログインします。
特権管理者アカウントを使用していない場合は、この手順を完了できません。
- [デバイス管理ルール] をクリックします。
- 編集するルールをクリックします。
- 編集するセクションをクリックして変更します。必要に応じて [続行] をクリックし、確認ページに移動します。
- ルールの設定を確認します。設定が正しい場合は、[完了] をクリックします。設定に誤りがある場合は、[戻る] をクリックしてルールを編集します。
- 表示されたダイアログで、ルールの有効 / 無効を選択します。
- [完了] をクリックします。
ルール テンプレートの使用
ルールのテンプレートは、一般的な条件とアクションを定義するために設定されたものです。テンプレートを基にしながら、組織のニーズに合わせてルールを調整することができます。たとえば、iPhone と iPad の承認は自動で行うものの、Android デバイスの承認は手動で行う場合には、デバイス登録の自動承認テンプレートのデバイスの種類を iOS に変更します。
画面のロック解除に複数回失敗したアカウントのブロック(Android のみ)このルールでは、ロック解除に 6 回以上失敗すると Android デバイスがブロックされ、ユーザーの仕事用データや学校のデータがそのデバイスと同期されなくなります。
すべての特権管理者にメール通知を送信するには、[アラート センターに送信する] チェックボックスをオンにしてから、[すべての特権管理者] チェックボックスをオンにします。 注: アラート センターの通知はまだサポートされていませんが、特権管理者にメールを送信するにはオンにしておく必要があります。
このルールでは、不審な操作が検出されたときに Android デバイス、iPhone、iPad から企業データが削除されます。
iPhone と iPad の場合、デバイスの Wi-Fi MAC アドレスが変更されると、アカウントがワイプされます。
Android デバイスの場合、次のいずれかのデバイス プロパティが変更されると、デバイスがワイプされます。
- ブートローダーのバージョン
- デバイスのブランド
- デバイスのハードウェア
- メーカー
- デバイスのモデル
- Device Policy アプリの権限
- IMEI 番号
- MEID 番号
- シリアル番号
- Wi-Fi MAC アドレス
会社で所有している Android デバイス、または仕事専用として設定されている個人所有のデバイスの場合、すべてのデータがデバイスからワイプされ、デバイスは初期状態にリセットされます。仕事用プロファイルが設定されている個人所有のデバイスの場合、仕事用プロファイルのみがワイプされ、個人データへの影響はありません。
アカウントとデバイスのワイプの仕組みについて詳しくは、企業データをデバイスから削除する方法に関する記事をご覧ください。
すべての特権管理者にメール通知を送信するには、[アラート センターに送信する] チェックボックスをオンにしてから、[すべての特権管理者] チェックボックスをオンにします。 注: アラート センターの通知はまだサポートされていませんが、特権管理者にメールを送信するにはオンにしておく必要があります。
ユーザーが自身のデバイスを管理対象として登録すると、そのデバイスがサポートされていれば、自動的に承認されます。ユーザーが自身のアカウントでログインすると、企業データがデバイスに同期されます。
すべての特権管理者にメール通知を送信するには、[アラート センターに送信する] チェックボックスをオンにしてから、[すべての特権管理者] チェックボックスをオンにします。 注: アラート センターの通知はまだサポートされていませんが、特権管理者にメールを送信するにはオンにしておく必要があります。
トリガーと条件の選択
ルールをトリガーするイベントを選択し、ルールを適用するデバイスの種類(Android、iOS、すべて)とその他の適用条件を選択します。ルールで設定したアクションが実行されるのは、指定した条件を満たすデバイスでイベントが発生した場合のみです。
ルールごとに 1 つのイベントと複数の条件を選択できます。デバイスの種類は必ず設定する必要があります。また、ルールにデバイス ID、デバイスのシリアル番号、デバイスのモデル、条件固有の値を設定し、そのルールの対象を特定のデバイスに限定することも可能です。複数の条件をルールに適用するには、[条件を追加] をクリックします。
組織内のデバイスのアカウント登録ステータスが変更されると、ルールがトリガーされます。登録ステータスが変更されるのは次の場合です。
- 新しいデバイスでユーザーが自身の管理対象の仕事用アカウントまたは学校用アカウントを追加した場合。
- 管理対象のデバイスからユーザーが自身の管理対象の仕事用アカウントまたは学校用アカウントの登録を解除した場合。
- Android デバイスに対する組織の管理権限が変更された場合。
デフォルトでは、これらのイベントのいずれかが検出されると、ルールがトリガーされます。
特定のデバイスにのみルールを適用するには、デバイスのプロパティと次のイベント固有のオプションに基づいて条件を設定します。
| 条件 | 値 |
|---|---|
| アカウントのステータス |
登録変更の種類を選択します。
|
| Device Policy アプリの権限 |
デバイスに対する組織の管理権限を選択します。
|
仕事用のデータまたは学校のデータに対するユーザーのアクセス権が変更されると、ルールがトリガーされます。次のようなイベントが含まれます。
- デバイスの承認、ブロック、ワイプ
- 管理対象アカウントのワイプ、管理者によるログアウト、登録解除
デフォルトでは、なんらかのデバイスの操作イベントが発生すると、ルールがトリガーされます。
特定のデバイスにのみルールを適用するには、デバイスのプロパティと次のイベント固有のオプションに基づいて条件を設定します。
| 条件 | 値 |
|---|---|
| デバイスで行う操作のステータス | 操作のステータスを次から選択します([ユーザーによって拒否された操作]、[キャンセル済み]、[実行済み]、[失敗]、[保留中]、[デバイスに送信済み]、[不明な操作の実行ステータス])。 |
| デバイスで行う操作の種類 |
イベントに関連付ける操作を選択します。
|
たとえば、デバイスのワイプに失敗したときにデバイスをブロックするには次のようにします。
- [デバイスで行う操作の種類] を [デバイスのワイプ] に設定します。
- [デバイスで行う操作のステータス] を [失敗] に設定します。
ユーザーがデバイスでアプリのインストール、アンインストール、アップデートを行うたびに、ルールがトリガーされます。仕事用プロファイルが設定されていない個人所有の Android デバイスの場合は、アプリケーションの監査の設定を有効にする必要があります。iPhone と iPad の場合は、Google Device Policy アプリを使用してインストールされた管理対象アプリに対する変更のみが検出されます。
特定のデバイスにのみルールを適用するには、デバイスのプロパティと次のイベント固有のオプションに基づいて条件を設定します。
| 条件 | 値 |
|---|---|
| アプリケーション ID |
対象とするアプリのアプリケーション ID の全部または一部を入力します。 たとえば、YouTube モバイルアプリが変更されたときにのみルールを適用するには、[次の語句を含む] を選択して「youtube」と入力します。 |
| アプリケーションの SHA-256 | 対象とするアプリのアプリ パッケージの SHA-256 ハッシュについて、全部または一部を入力します。 |
| アプリケーションのステータス |
アプリが変更された後のステータスを選択します。
|
| 新しい値 | アプリが変更された後のバージョン番号の全部または一部を入力します。たとえば、Chrome アプリがバージョン 86 のいずれかにアップデートされたときにルールをトリガーするには、[次の語句を含む] を選択して「86」と入力します。 |
| 有害なアプリのカテゴリ |
有害な可能性があるアプリの種類を選択します。
|
デバイスが組織のポリシーに準拠しなくなると、ルールがトリガーされます。たとえば、ユーザーがデバイスのパスワードを変更し、そのパスワードがパスワード ポリシーに準拠しなくなった場合です。詳しくは、デバイスのコンプライアンスのステータスに関する記事をご覧ください。
特定のデバイスにのみルールを適用するには、デバイスのプロパティと次のイベント固有のオプションに基づいて条件を設定します。
| 条件 | ルールの適用対象 |
|---|---|
| デバイスのコンプライアンスのステータス |
コンプライアンスのステータスが変更されたデバイス。次のいずれかを選択します。
|
| モバイル デバイスが無効になっている理由 | デバイスが準拠していない理由を選択します。
|
Android デバイスが不正使用された場合、または不正使用が解決された場合に、ルールがトリガーされます。Android デバイスでルート権限が取得(デバイスの制限が解除)されると、そのデバイスは不正使用されている状態となり、潜在的なセキュリティ上の脅威とみなされます。
特定のデバイスにのみルールを適用するには、デバイスのプロパティと次のイベント固有のオプションに基づいて条件を設定します。
| 条件 | 値 |
|---|---|
| デバイスの不正使用のステータス |
デバイスが変更された後のステータスを選択します。
|
デバイスのオペレーティング システム(OS)が変更されると、ルールがトリガーされます。ルールのトリガーとなる OS 変更は、デバイスの種類によって異なります。
- Android の場合 - OS バージョン、ビルド番号、カーネル バージョン、ベースバンド バージョン、セキュリティ パッチ、ブートローダーのバージョンの変更。
- iOS の場合 - OS バージョンとビルド番号の変更のみ。たとえば、ユーザーがデバイスを新しい OS にアップデートした場合や、最新のセキュリティ パッチを適用した場合です。
特定のデバイスにのみルールを適用するには、デバイスのプロパティと次のイベント固有のオプションに基づいて条件を設定します。
| 条件 | 値 |
|---|---|
| 古い値 | デバイスが変更される前の OS のプロパティ値の一部または全部を入力します。 |
| 新しい値 | デバイスが変更された後の OS のプロパティ値の一部または全部を入力します。 |
| OS のプロパティ |
値が変更されたときに、ルールをトリガーする OS のプロパティを選択します。
iOS の場合は、OS バージョンとビルド番号のみがサポートされています。 |
デバイスの所有者が個人から会社、または会社から個人に変更されると、ルールがトリガーされます
特定のデバイスにのみルールを適用するには、デバイスのプロパティと次のイベント固有のオプションに基づいて条件を設定します。
| 条件 | 値 |
|---|---|
| デバイスのデバイス所有者 |
デバイスが変更された後のデバイス所有者のステータスを選択します。
|
Android デバイスのデバイス設定が変更されると、ルールがトリガーされます。これには、USB デバッグ、提供元不明のアプリ、開発者向けオプション、アプリの確認に対する変更が含まれます。
特定のデバイスにのみルールを適用するには、デバイスのプロパティと次のイベント固有のオプションに基づいて条件を設定します。
| 条件 | 値 |
|---|---|
| 古い値 | デバイスが変更される前のデバイス設定の値の一部または全部を入力します。 |
| 新しい値 | デバイスが変更された後のデバイス設定の値の一部または全部を入力します。 |
| デバイス設定 | 値が変更されたときに、ルールをトリガーするデバイス設定を選択します。
|
デバイスでユーザーのアカウントが同期されると、ルールがトリガーされます。
特定のデバイスにのみルールを適用するには、デバイスのプロパティと次のイベント固有のオプションに基づいて条件を設定します。
| 条件 | 値 |
|---|---|
| 同期監査イベントの最終発生日 |
日付を UNIX タイムスタンプとして入力します(例: 1606167154)。 指定した日付より後(次より大きい)または指定した日付以降(次の値以上)にデバイスの最終同期が発生したときに、ルールがトリガーされます。 |
デバイスでロック解除に失敗した回数の上限に達すると、ルールがトリガーされます。デフォルトでは、失敗した回数が 6 回以上になると、ルールが適用されます。
ルールが適用されるまでの失敗した回数を変更するには、次の設定を使用します。
| 条件 | 値 |
|---|---|
| 画面のロック解除に失敗した回数 |
失敗した回数を数える方法([次より大きい] または [次の値以上])を選択し、失敗の回数を入力します。 たとえば、「3」と入力して [次より大きい] を選択すると、4 回目に失敗したときにルールがトリガーされます。「3」と入力して [次の値以上] を選択すると、3 回目に失敗したときにルールがトリガーされます。 |
通常は変更されないプロパティが管理対象デバイスで変更されると、ルールがトリガーされます。たとえば、デバイスのモデルが変更されたのにデバイスが変更されていない場合などです。
Android デバイスの場合、不審な操作には次のデバイス プロパティの変更が含まれます。
- ブートローダーのバージョン
- デバイスのブランド
- デバイスのハードウェア
- メーカー
- デバイスのモデル
- Device Policy アプリの権限
- IMEI 番号
- MEID 番号
- シリアル番号
- Wi-Fi MAC アドレス
iPhone と iPad の場合、Wi-Fi MAC アドレスの変更のみが含まれます。
特定のデバイスにのみルールを適用するには、デバイスのプロパティと次のイベント固有のオプションに基づいて条件を設定します。
| 条件 | 値 |
|---|---|
| デバイスのプロパティ |
変更されたときに、ルールをトリガーするデバイスのプロパティを選択します。複数のプロパティを選択するには、プロパティごとに個別のルールを作成します。1 つのルールに複数のプロパティを追加すると、選択したすべてのプロパティに対する変更がデバイスによって報告されます。 注: iOS デバイスの場合、Wi-Fi MAC アドレスの変更のみが検出されます。 |
| 古い値 | Android デバイスの場合、デバイスが変更される前のデバイス管理の権限を選択します。 |
| 新しい値 | Android デバイスの場合、デバイスが変更された後のデバイス管理の権限を選択します。 |
Android デバイスで仕事用プロファイルのサポートを開始すると、ルールが適用されます。たとえば、OS バージョンがアップグレードされて、デバイスで仕事用プロファイルがサポートされるようになった場合です。
検出されたイベントに関するデータの表示
[ルールの監査] では、管理対象デバイスのイベントに関するデータを確認できます。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- デバイス管理ルールに関連するアクションを確認するには、[フィルタを追加]
[デバイス管理] をクリックします。ルール名またはデバイス所有者のアカウント([リソースの所有者] でフィルタ)など、他のイベント特性でフィルタすることもできます。
-
(省略可)表示するデータをカスタマイズするには、右側の列を管理アイコン
をクリックします。表示または非表示にする列を選択
- (省略可)レポートデータを Google スプレッドシート ファイル形式で Google ドライブに直接書き出したり、レポートデータを含む CSV ファイルをダウンロードしたりするには、次のいずれかを行います。
- ダウンロード アイコン
をクリックします。
- [列を選択] で、[現在選択されている列] または [すべての列] をクリックします。
- ファイル形式を選択して [ダウンロード] をクリックします。
いずれのファイル形式でも、最大 100,000 行のデータを書き出せます。
- ダウンロード アイコン
