ルールを使用したモバイル管理タスクの自動化

この機能は、G Suite Enterprise と G Suite Enterprise for Education でのみご利用いただけます。

管理者は、モバイル デバイス管理のタスクを自動化するルールを定義できます。たとえば、管理対象として登録するすべての Android デバイスを自動的に承認できます。また、Android デバイスや Apple® iOS® デバイスで特定のイベントが検出されたときにトリガーされる操作を設定することにより、イベントが発生したときに、管理者に通知メールを送信したり、デバイスをブロックまたは承認したり、デバイスから企業アカウントをワイプしたりすることができます。

G Suite Business または G Suite Enterprise から G Suite Basic エディションに移行すると、新しいイベントに関するデータが監査ログに記録されなくなります。古いデータは引き続き閲覧できます。

はじめる前に

  • Google 管理コンソールでデバイス管理ルールを設定するには、特権管理者の権限が必要です。詳しくは、既定の管理者の役割をご覧ください。
  • 設定したルールは、モバイル デバイスの詳細管理で管理されているデバイスにのみ適用されます。詳しくは、モバイル デバイス管理機能を設定するをご覧ください。

ルールの仕組み

デバイス管理ルールは、管理対象モバイル デバイスで発生するイベントによって開始されます。イベントが検出されると、指定した条件に一致するかどうかがルールでチェックされます。条件に一致する場合は、操作が実行されます。

たとえば、ユーザーが自身の企業アカウントをデバイスから登録解除したために Android デバイスのアカウント登録のステータスが変更された場合は、管理者に通知が届くよう設定できます。この例では、次のようになります。

  • イベントは、Android デバイスのアカウント登録のステータスが変更されることです。
  • 条件は、ユーザーがそのアカウントをデバイスから登録解除することです。
  • 操作は、管理者への通知です。

独自のルールを作成したり、定義済みのテンプレートを活用したりすることができます。ルールは、ドメイン全体、特定の組織部門、Google グループ内のグループに割り当てることができます。また、特定のグループを適用対象外にすることもできます。

ルールの作成と編集

デバイス管理ルールを作成する

いずれかの定義済みのテンプレートを使用して、ニーズに合わせてカスタマイズすることができます。適切なテンプレートが見つからない場合は、空白のテンプレートを選択し、独自のカスタムルールを作成します。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[ルール] にアクセスします。

    [ルール] が表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. 追加アイコン 追加 をクリックします。
  4. [デバイス管理] までスクロールし、次のいずれかを選択します。
    • 独自のルールをゼロから作成するには、[空のテンプレート] を選択します。
    • リストから定義済みのテンプレートを選択します。詳しくは、ルール テンプレートの使用をご覧ください。
  5. ルールのタイトルや説明を編集します。
  6. [条件] をクリックします。
  7. (省略可)[ユーザー] の下で、ルールを適用する組織部門またはグループを選択します。また、特定のグループをルールの適用対象外とすることもできます。複数の条件を追加するには、[追加] をクリックします。最上位組織の該当するすべてのユーザーにルールが適用されます。
  8. [フィルタ] で、次の操作を行います。
    • ルールを適用するデバイスの種類(Android、iOS、すべて)を選択します。
    • ルールをトリガーするイベントを選択します。
    • (省略可)操作を実行する前に、ルールでチェックする追加の条件を選択します。複数の条件を追加するには、[追加] をクリックします。
    詳しくは、イベントと条件の選択をご覧ください。
  9. [完了] をクリックします。
  10. [操作] をクリックし、上記で指定した条件が見つかったときに、ルールで実行する操作を選択します。詳しくは、操作の選択をご覧ください。
  11. [完了] をクリックします。
  12. 次のいずれかを選択します。
    • ルールを作成し、すぐに有効にするには、[作成して有効化] をクリックします。
    • ルールを作成し、後で有効にするには、[作成] をクリックします。ルールを有効にするには、ルールのリストから目的のルールを選択し、上部にあるルールを有効化アイコン Activate rules をクリックします。
既存のデバイス管理ルールを編集する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[ルール] にアクセスします。

    [ルール] が表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. 上部にある [管理] を選択すると、ルールのリストが表示されます。
  4. 変更するルールをクリックします。
  5. [条件] の下で設定を選択し、[完了] をクリックします。詳しくは、イベントと条件の選択をご覧ください。
  6. [操作] で設定を選択し、[完了] をクリックします。詳しくは、操作の選択をご覧ください。
  7. 次のいずれかを選択します。
    • 変更を保存し、すぐに有効にするには、[保存して有効化] をクリックします。
    • ルールを検討中で、まだ有効にしない場合は、[保存] をクリックします。

ルール テンプレートの使用

提供されているルール テンプレートは、定義済みの条件や操作を組織のニーズに合わせて変更することができます。たとえば、iOS デバイスはすべて自動的に承認し、Android デバイスの承認は手動で行う場合は、デバイスの登録の自動承認テンプレートを使用して、デバイスの種類を iOS に変更します。

画面のロック解除に複数回失敗したアカウントのブロック

Android デバイスのロック解除に 6 回以上失敗するとデバイスがブロックされ、デバイスには企業データが同期されなくなります。特権管理者にメール通知が送信されます。

不審なイベントが発生した際のアカウントのワイプ

不審なアクティビティが検出されると、Android デバイスや iOS デバイスから企業データが削除されます。iOS デバイスの場合、デバイスの Wi-Fi MAC アドレスが変更されると、アカウントがワイプされます。

Android デバイスの場合、次のデバイスのプロパティのいずれかが変更されると、アカウントがワイプされます。

  • デバイスのモデル
  • シリアル番号
  • Wi-Fi MAC アドレス
  • Device Policy アプリの権限
  • 製造元
  • デバイスのブランド
  • デバイスのハードウェア

Android デバイスの所有権が会社に割り当てられている場合(会社所有)、すべてのデータがデバイスからワイプされ、デバイスは初期状態にリセットされます。デバイスが個人所有のものであり、仕事用プロファイルが設定されている場合、仕事用プロファイルのみがワイプされ、個人データは変更されません。

特権管理者にメール通知が送信されます。

デバイスの登録の自動承認

ユーザーが自身のデバイスを管理対象として登録すると、すべての Android デバイスと iOS デバイスが自動的に承認されます。ユーザーが自身のアカウントでログインすると、企業データがデバイスに同期されます。ユーザーは、管理者がデバイスを承認するのを待つ必要はありません。デバイスが承認される際に、管理者には通知されません。

ルールを適用するユーザーの選択

ルールは、特定の組織部門や Google グループ内のグループのデバイス ユーザーのみに適用することができます。たとえば、管理グループに所属するユーザーが登録したデバイスを自動的に承認することができます。また、特定のグループ内のユーザーを対象としてルールを無視することもできます。次のいずれかを選択できます。

  • 組織部門に適用 - プルダウン リストから選択した組織のユーザーにルールが適用されます。
  • グループに適用する - グループ内のユーザーにルールが適用されます。グループの正確な名前を入力する必要があります。
  • 適用対象外のグループ - グループ内のユーザーをルールの適用対象外とします。グループの正確な名前を入力する必要があります。ルールは、指定したグループ内のユーザーを除く、すべてのユーザーに適用されます。

複数の組織やグループを選択するには、[追加] をクリックします。組織やグループを削除するには、その横にある [X] をクリックします。何も選択しなかった場合は、最上位組織の該当するすべてのユーザーにルールが適用されます。

イベントと条件の選択(フィルタ)

フィルタを使用して、デバイスの種類(Android、iOS、すべて)、イベント、ルールをトリガーするその他の条件を選択できます。ルールによる操作は、指定した条件を満たすイベントがデバイスで発生した場合にのみ実行されます。

ルールごとに 1 つのイベントと複数の条件を選択できます。条件には、ユーザーのメールアドレス(全体または一部)、デバイス ID、デバイスのシリアル番号、デバイスのモデルが含まれます。個々のイベントに条件を追加できます。複数の条件をルールに適用するには、[追加] をクリックします。

アカウント登録の変更

ドメイン内のデバイスのアカウント登録のステータスが変更されると、ルールがトリガーされます。登録のステータスは、次のような場合に変更されます。

  • 新しいデバイスでユーザーが自身の企業アカウントを追加した場合。
  • 管理対象のデバイスからユーザーが自身の企業アカウントを登録解除した場合。
  • Device Policy アプリの権限が変更された場合。

デフォルトでは、これらのイベントのいずれかが検出されると、ルールがトリガーされます。特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
アカウントのステータス

ユーザーのアカウントのステータスが変更されたデバイス。次のいずれかを選択します。

  • [登録先] - デバイスにアカウントが追加されると、ルールが適用されます。
  • [登録解除] - 管理対象デバイスからアカウントの登録が解除されると、ルールが適用されます。
Device Policy アプリの権限

次のいずれかを選択します。

  • [デバイス管理者の権限] - 個人用スペースに管理対象アカウントが設定されている個人所有のデバイスにルールが適用されます。
  • [仕事用プロファイルの権限] - 仕事用プロファイルが設定された個人所有のデバイスにルールが適用されます。
  • [デバイス所有者の権限] - 組織をデバイス所有者として認識するよう設定されたデバイスにルールが適用されます。
デバイスのアプリの変更

ユーザーがデバイスでアプリのインストール、アンインストール、アップデートを実行するたびにルールが適用されます。仕事用プロファイルが設定されていない個人所有の Android デバイスの場合は、アプリケーションの監査の設定を有効にする必要があります。iOS デバイスの場合は、Google Device Policy アプリを使用してインストールされた管理対象アプリに対する変更のみが検出されます。

特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

イベント ルールの適用対象
アプリケーション ID

指定したアプリが変更されたデバイス。次のいずれかを選択します。

  • [含む] - アプリ ID の一部を入力します。
  • [次と等しい] - 完全なアプリ ID を入力します。
新しい値 アプリのバージョン番号が指定した値に変更されたデバイス。アプリの新しいバージョン番号を入力します(例: 50.0.2645.0)。
アプリケーションのステータス

アプリのステータスが選択した値に変更されたデバイス。次のいずれかを選択します。

  • インストール
  • 削除
  • アップデート
アプリケーション ハッシュ 指定したアプリケーション ハッシュと一致するアプリがインストールされたデバイス。アプリケーション パッケージの SHA-256 ハッシュを入力します。
デバイスのコンプライアンスのステータス(Android のみ)

デバイスが組織のポリシーに準拠しなくなると、ルールがトリガーされます。たとえば、ユーザーがデバイスのパスワードを変更し、そのパスワードがパスワード ポリシーに準拠しなくなった場合です。詳しくは、デバイスのコンプライアンスのステータスをご覧ください。

特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
デバイスのコンプライアンスのステータス

コンプライアンスのステータスが変更されたデバイス。次のいずれかを選択します。

  • [設定されたポリシーに準拠しています] - デバイスが組織のポリシーに準拠するようになると、ルールが適用されます。
  • [設定されたポリシーに準拠していません。デバイスが次の状態であることが原因です] - [追加] をクリックし、[モバイル デバイスが無効化されている理由] を使用します。
モバイル デバイスが無効化されている理由 選択した理由により、組織に準拠しなくなるデバイス。次の理由を選択できます。
 
  • パスワード ポリシーを遵守していません
  • 暗号化されていません
  • 最新の Device Policy アプリがインストールされていません
  • 不正使用中
  • カメラが有効になっています
  • ロック画面ウィジェットが有効になっています
  • 仕事用プロファイルが作成されていません
  • デバイスの所有者モードになっていません
  • 管理者によってブロックされています
  • 同期が有効になっていません
  • Device Policy アプリがインストールされていません
  • 同期が 24 時間以上行われていません
デバイスの不正使用(Android のみ)

不正使用中、不正使用解決済みの Android デバイスにルールが適用されます。ルート化(デバイスの制限を解除する処理)が行われると、Android デバイスは不正使用中になります。潜在的なセキュリティ上の脅威と見なされます。

特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
デバイスの不正使用のステータス

不正使用のステータスが変更されたデバイス。次のいずれかを選択します。

  • [不正使用中] - 不正使用されているデバイスにルールが適用されます。
  • [不正使用解決済み] - 以前は不正使用されていたが、今は不正使用解決済みのデバイスにルールが適用されます。
デバイスの OS アップデート

デバイスの OS のプロパティが変更されると、ルールがトリガーされます。Android デバイスの場合、このプロパティには OS バージョン、ビルド番号、カーネル バージョン、ベースバンド バージョン、セキュリティ パッチ、ブートローダー バージョンが含まれます。iOS デバイスの場合は、OS バージョンとビルド番号のアップデートのみが含まれます。たとえば、ユーザーがデバイスを新しい OS にアップデートした場合や、最新のセキュリティ パッチを適用した場合です。

特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
古い値 OS のプロパティが指定した値から変更されたデバイス。
新しい値 OS のプロパティが指定した値に変更されたデバイス。
OS のプロパティ

選択した OS のプロパティが変更されたデバイス。次の OS のプロパティから選択します。

  • OS バージョン
  • ビルド番号
  • カーネル バージョン
  • デバイスのベースバンド バージョン
  • OS セキュリティ パッチ
  • デバイスのブートローダーのバージョン

iOS の場合は、OS バージョンとビルド番号のみがサポートされています。

デバイスの所有者(Android のみ)

デバイスの所有者が個人所有から会社所有、または会社所有から個人所有に変更されると、ルールが適用されます。

特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
デバイスのデバイス所有者

デバイス所有者のステータスが変更されたデバイス。次のいずれかを選択します。

  • [会社所有] - 所有者が会社所有に変更されたデバイスにルールが適用されます。
  • [個人所有] - 所有者が個人所有に変更されたデバイスにルールが適用されます。
デバイス設定の変更(Android のみ)

Android デバイスのデバイス設定が変更されると、ルールがトリガーされます。これには、デバイスの USB デバッグ、提供元不明のアプリ、開発者向けオプション、アプリの確認の設定の変更が含まれます。

特定の設定が変更された場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
古い値 デバイス設定が指定した値から変更されたデバイス。
新しい値 デバイス設定が指定した値に変更されたデバイス。
デバイス設定 選択したデバイス設定が変更されたデバイス。次の設定から選択します。
  • 開発者向けオプション
  • 不明な提供元
  • USB デバッグ
  • アプリの確認
画面のロック解除に失敗した回数(Android のみ)

ロック解除に失敗すると、そのデバイスにルールが適用されます。デフォルトでは、失敗した回数が 6 回以上になると、ルールが適用されます。

ルールが適用されるまでの失敗した回数を変更するには、次の設定を使用します。

条件 ルールの適用対象
画面のロック解除に失敗した回数

ロック解除の失敗が検出されたデバイス。ルールが適用されるまでの回数を指定するには、次の項目を選択して回数を入力します。

  • >(より大きい)
  • >=(以上)
不審な操作

ドメイン内の管理対象モバイル デバイスで不審な操作が見つかると、ルールがトリガーされます。たとえば、デバイスのモデルが変更されたのにデバイスが変更されていない場合などです。

Android デバイスの場合、不審な操作には次のデバイスのプロパティの変更が含まれます。

  • デバイスのモデル
  • シリアル番号
  • Wi-Fi MAC アドレス
  • Device Policy アプリの権限
  • 製造元
  • デバイスのブランド
  • デバイスのハードウェア
  • ブートローダーのバージョン

iOS デバイスの場合、Wi-Fi MAC アドレスの変更のみが含まれます。

特定の条件が満たされている場合にのみルールを適用するには、次の設定を使用します。

条件 ルールの適用対象
デバイスのプロパティ

選択したデバイスのプロパティが変更されたデバイス。リストからプロパティを選択します。複数のプロパティを選択するには、[追加] をクリックして別のデバイスのプロパティを選択します。

: iOS デバイスの場合、Wi-Fi MAC アドレスの変更のみが検出されます。

古い値 デバイスのプロパティが指定した値から変更されたデバイス。
新しい値 デバイスのプロパティが指定した値に変更されたデバイス。
仕事用プロファイルのサポート(Android のみ)

Android デバイスで仕事用プロファイルのサポートを開始すると、ルールが適用されます。たとえば、OS バージョンがアップグレードされて、デバイスで仕事用プロファイルがサポートされるようになった場合です。

操作の選択

操作では、イベントを検出した場合にルールで行う内容を指定します。特権管理者に通知メールを送信したり、デバイスをブロックまたは承認したり、デバイスから企業アカウントをワイプしたりできます。操作を選択しない場合は、[ルールの監査] ログでルールがトリガーされたデバイスを確認できます。詳しくは、検出されたイベントに関するデータの表示をご覧ください。

次の操作から選択します。

  • [特権管理者にメール送信] - 管理対象モバイル デバイスでイベントが発生したことを特権管理者に知らせるメールが送信されます。送信されるメールの最大数は 2 時間に 25 通です。
  • [モバイル デバイスをブロック] - デバイスとの企業データの同期を停止します。
  • [モバイル デバイスを承認する] - デバイスとの企業データの同期を許可します。
  • [デバイスから企業アカウントをワイプ] - ユーザーの企業アカウントとそれに関連付けられているデータがデバイスからワイプされます。

検出されたイベントに関するデータの表示

[ルールの監査] では、モバイル デバイスで検出されたイベントに関するデータを表示できます。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[ルール] にアクセスします。

    [ルール] が表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. 上部にある [監査] をクリックします。
  4. (省略可)表示の条件を変更するには、列を選択アイコン 列を選択 をクリックします。変更は自動的に保存され、次にログインしたときに利用できます。
  5. 特定の要素のみを表示するように表を設定するには、左にある [フィルタ] を使用します。
    • [ルール名] - 検出されたイベント。
    • [フラグの付いたアイテムの名前] - イベントが検出されたデバイスの名前。
    • [フラグの付いたアイテムの ID] - デバイスの ID。
    • [オーナー] - イベントが検出されたデバイスの登録済みユーザーのメールアドレス。
    • [期間] - 表示するイベントの開始日と終了日。ログエントリは、それぞれ 1 つのイベントに対応しています。
  6. (省略可)レポートデータを Google スプレッドシート ファイル形式で Google ドライブに直接書き出したり、レポートデータを CSV ファイルでダウンロードしたりするには、ダウンロード アイコン ダウンロード をクリックします。書き出したスプレッドシート ファイルとダウンロードした CSV ファイルに含まれるセルの数は、どちらも最大 200,000 個です。書き出せる行の上限は、選択している列の数によって変わります。
この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。