Automatizar tarefas do gerenciamento de dispositivos móveis usando regras

Edições compatíveis com este recurso: Enterprise; Education Plus; Cloud Identity Premium.  Comparar sua edição

Por ser administrador, você pode definir regras para automatizar tarefas de gerenciamento de dispositivos e receber alertas de segurança. Por exemplo, é possível bloquear automaticamente dispositivos com atividade suspeita.

Você pode aplicar regras de gerenciamento aos dispositivos móveis compatíveis.

Observação: para aprovar dispositivos móveis com regras, eles precisam estar no gerenciamento avançado de dispositivos móveis. Se necessário, ative o gerenciamento avançado de dispositivos móveis.

Como as regras funcionam

Uma regra de gerenciamento de dispositivos é acionada por um evento em um dispositivo gerenciado. Quando o evento é detectado, a regra verifica as condições que você especificou. Se elas forem atendidas, uma ação ocorrerá.

Por exemplo, você pode bloquear um dispositivo Android quando um usuário cancelar o registro de uma conta corporativa no dispositivo. Neste exemplo:

  • O evento é uma alteração no estado do registro da conta em um dispositivo.
  • A primeira condição é que o tipo de dispositivo seja Android.
  • A segunda condição é um usuário cancelar o registro da conta no dispositivo (por exemplo, o Estado da conta é Registro cancelado em).
  • A ação está bloqueando o dispositivo.

Você pode criar sua regra ou usar um modelo predefinido. Para o escopo, você pode atribuir uma regra a toda a organização, a uma unidade organizacional ou a um grupo no Grupos do Google. Também é possível excluir um grupo.

Criar e editar regras

Criar uma regra de gerenciamento de dispositivos
  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Regras.
  3. Clique em Regras de gerenciamento de dispositivos.
  4. Clique em Adicionar regra e escolha uma das opções a seguir.
    • Para usar um modelo de regra, clique em Regra do modelo e no modelo. Veja mais detalhes em Usar os modelos de regra.
    • Para criar sua regra, clique em Nova regra.
  5. Digite ou edite o título e a descrição da regra.
  6. Escolha a quem a regra se aplica. Por padrão, ela é aplicável a todos na sua organização.
    • Para aplicar a regra apenas a alguns usuários, clique em Especificar as unidades organizacionais ou os grupos e selecione as unidades organizacionais e os grupos que serão incluídos.
    • Para excluir usuários em grupos específicos, primeiro selecione pelo menos uma unidade organizacional ou um grupo para incluir. Em seguida, clique em Excluir grupos e selecione o grupo a ser excluído. Repita o procedimento para excluir mais grupos.

    Por exemplo, para aplicar uma regra a todos na sua organização (exceto a um grupo), inclua a unidade organizacional de nível superior e exclua um grupo específico.

    Para remover uma unidade organizacional ou um grupo, clique em Limpar "" ao lado desse item.

  7. Clique em Continuar.
  8. Se necessário, selecione o evento que aciona a regra. Veja mais detalhes em Escolher um acionador e condições.
  9. Clique em Adicionar condição e siga estas etapas para definir uma condição de tipo de dispositivo:
    1. Clique em Campo e selecione Tipo de dispositivo.
    2. Clique em Valor e selecione o tipo de dispositivo: Todos os dispositivos, Android ou iOS. É possível que nem todas as opções de tipo de dispositivo estejam disponíveis porque alguns eventos são compatíveis apenas com determinados tipos.

    Observação: uma condição de tipo de dispositivo é necessária para seguir para a próxima etapa.

  10. (Opcional) Clique em Adicionar condição e configure mais condições. Um dispositivo precisa atender a todas as condições para a regra ser aplicada.
  11. Clique em Continuar.
  12. Se necessário, selecione a ação a ser realizada quando as condições da regra forem atendidas. Nem todas as ações estão disponíveis para todos os eventos.
    • Bloquear dispositivo móvel: impede que o dispositivo sincronize dados corporativos.
    • Aprovar dispositivo móvel (somente no gerenciamento avançado de dispositivos móveis): permite que o dispositivo sincronize dados corporativos.
    • Excluir permanentemente: exclui permanentemente a conta corporativa do usuário e os dados associados do dispositivo. Saiba mais sobre a exclusão permanente de contas.
    • Nenhuma ação: não fazer nada no dispositivo. Você pode usar essa opção quando quiser receber uma notificação de que o evento ocorreu, como descrito nas próximas etapas.
  13. (Opcional) Se você quiser enviar notificações por e-mail a todos os superadministradores, marque as caixas Enviar para a Central de alertas e Todos os superadministradores.Observação: quando a notificação da Central de alertas estiver disponível, você precisará ativá-la para enviar e-mails aos superadministradores.
  14. Clique em Continuar.
  15. Verifique as configurações da regra. Se elas estiverem corretas, clique em Concluir. Em caso negativo, clique em Voltar para editar a regra.
  16. Na caixa de diálogo exibida, escolha uma opção:
    • Para criar a regra e ativá-la agora, clique em Ativa.
    • Para criar a regra e ativá-la mais tarde, clique em Inativa.
  17. Clique em Concluir.
  18. Para ativar uma regra inativa, clique nela na lista de regras. À esquerda, clique no menu e selecione Ativa.
Editar uma regra de gerenciamento de dispositivo em uso
  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Regras.
  3. Clique em Regras de gerenciamento de dispositivos.
  4. Clique na regra que você quer editar.
  5. Clique na seção que você quer editar e faça as alterações. Clique em Continuar conforme necessário para acessar a página de revisão.
  6. Verifique as configurações da regra. Se elas estiverem corretas, clique em Concluir. Em caso negativo, clique em Voltar para editar a regra.
  7. Na caixa de diálogo exibida, escolha se a regra está ativa ou inativa.
  8. Clique em Concluir.

Usar os modelos de regra

Os modelos de regra são configurados para condições e ações comuns. Você pode usar um modelo como ponto de partida e alterá-lo de acordo com as necessidades da sua organização. Por exemplo, para aprovar automaticamente iPhones e iPads, mas aprovar dispositivos Android de forma manual, use o modelo Aprovar automaticamente o registro do dispositivo e altere o tipo de dispositivo para iOS.

Bloquear conta depois de várias tentativas de desbloqueio malsucedidas (apenas Android)

Esta regra bloqueia um dispositivo Android quando ocorrem mais de cinco tentativas malsucedidas de desbloqueá-lo. A regra impede que os dados de trabalho ou escolares do usuário sejam sincronizados com o dispositivo.

Se você quiser enviar notificações por e-mail a todos os superadministradores, marque as caixas Enviar para a Central de alertas e Todos os superadministradores.Observação: quando a notificação da Central de alertas estiver disponível, você precisará ativá-la para enviar e-mails aos superadministradores.

Excluir permanentemente em caso de evento suspeito

Esta regra remove dados corporativos de dispositivos Android, iPhone ou iPad quando atividades suspeitas são detectadas.

Nos iPhones e iPads, a conta é excluída permanentemente quando o endereço MAC Wi-Fi do dispositivo é alterado.

Nos dispositivos Android, os dados são excluídos permanentemente quando uma destas propriedades é alterada:

  • Versão do carregador de inicialização
  • Marca do dispositivo
  • Hardware do dispositivo
  • Fabricante
  • Modelo do dispositivo
  • Privilégio do app Device Policy
  • Número IMEI
  • Número MEID
  • Número de série
  • Endereço MAC Wi-Fi

Nos dispositivos Android da empresa e nos dispositivos pessoais configurados apenas para trabalho, todos os dados são excluídos permanentemente, e o dispositivo é redefinido para a configuração original. Nos dispositivos pessoais com um perfil de trabalho, apenas esse perfil é excluído permanentemente.

Veja mais informações sobre a exclusão permanente de dados no dispositivo em Remover dados corporativos de um dispositivo.

Se você quiser enviar notificações por e-mail a todos os superadministradores, marque as caixas Enviar para a Central de alertas e Todos os superadministradores.Observação: quando a notificação da Central de alertas estiver disponível, você precisará ativá-la para enviar e-mails aos superadministradores.

Aprovar automaticamente o registro do dispositivo

Aprova automaticamente todos os dispositivos compatíveis quando um usuário registra o dispositivo no gerenciamento. Os dados corporativos são sincronizados com o dispositivo quando o usuário faz login na conta.

Se você quiser enviar notificações por e-mail a todos os superadministradores, marque as caixas Enviar para a Central de alertas e Todos os superadministradores.Observação: quando a notificação da Central de alertas estiver disponível, você precisará ativá-la para enviar e-mails aos superadministradores.

Escolher um acionador e condições

Selecione o evento que aciona a regra. Use condições para selecionar o tipo de dispositivo (Android, iOS ou todos) e outras condições que determinam se a regra se aplica a um dispositivo. A ação da regra é realizada apenas quando o evento acontece em dispositivos que atendem às condições especificadas.

Você pode escolher um evento e várias condições para cada regra. Você precisa definir uma condição de tipo de dispositivo. Para todas as regras, você também pode limitar uma regra a dispositivos específicos por ID, número de série, modelo ou valores específicos da condição. Para aplicar mais de uma condição a uma regra, clique em Adicionar.

A condição Versão do SO está listada para alguns acionadores, mas não é compatível no momento.

Abrir tudo  |  Fechar tudo

Alteração no registro da conta

A regra é acionada quando o estado de registro da conta de um dispositivo na organização é alterado. O estado do registro pode mudar quando:

  • um usuário adiciona uma conta do trabalho ou escolar gerenciada a um novo dispositivo;
  • um usuário cancela o registro da conta de trabalho ou escolar gerenciada em um dispositivo gerenciado;
  • o privilégio do app Google Device Policy no dispositivo muda.

Por padrão, a regra é acionada quando um desses eventos é detectado.

Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:

Condição Valores
Estado da conta

Selecione o tipo de alteração de registro:

  • registrado em: aplica a regra quando uma conta é adicionada a um dispositivo.
  • registro cancelado em: aplica a regra quando o registro de uma conta é cancelado em um dispositivo gerenciado.
Privilégio do app Device Policy

Selecione o privilégio de gerenciamento da organização no dispositivo:

  • com o privilégio "Administrador do dispositivo": aplica a regra aos dispositivos pessoais que têm uma conta gerenciada no espaço pessoal.
  • com o privilégio "Perfil de trabalho": aplica a regra aos dispositivos pessoais que têm um perfil de trabalho configurado.
  • com o privilégio "Proprietário do dispositivo": aplica a regra aos dispositivos da empresa e aos dispositivos pessoais configurados como "Somente trabalho".
Evento de ação no dispositivo

A regra é acionada quando o acesso do usuário aos dados do trabalho ou da escola é alterado. Estes são alguns exemplos desses eventos:

  • Um dispositivo foi aprovado, bloqueado ou excluído permanentemente
  • A conta gerenciada é excluída permanentemente, desconectada por um administrador ou o registro da conta é cancelado

Por padrão, a regra é acionada quando ocorre qualquer evento de ação no dispositivo.

Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:

Condição Valores
Status de uma ação feita em um dispositivo Selecione o status da ação: Ação rejeitada pelo usuário, Cancelada, Executada, Com falha, Pendente, Enviado para o dispositivo ou Status de execução de ação desconhecido.
Tipo de ação realizada em um dispositivo

Selecione a ação associada ao evento:

  • Exclusão permanente da conta
  • Permitir acesso
  • Aprovar
  • Bloquear
  • Coletar relatório do bug
  • Excluir dados no dispositivo permanentemente
  • Não permitir acesso
  • Localizar dispositivo
  • Bloquear dispositivo
  • Remover app
  • Remover perfil do iOS
  • Redefinir PIN
  • Revogar token
  • Fazer o dispositivo tocar
  • Desconectar usuário
  • Sincronizar dispositivo
  • Cancelar registro
  • Desconhecido

Por exemplo, para bloquear um dispositivo quando ocorre uma falha na exclusão permanente de dados:

  1. Defina Tipo de ação realizada em um dispositivo como Exclusão permanente do dispositivo.
  2. Defina o Status de uma ação feita em um dispositivo como Com falha.
Alteração do app do dispositivo

A regra é acionada sempre que um usuário instala, desinstala ou atualiza um app no próprio dispositivo. Nos dispositivos Android pessoais que não têm um perfil de trabalho, a configuração Auditoria de apps precisa estar ativada. No iPhone e iPad, só são detectadas alterações nos apps gerenciados instalados pelo Google Device Policy.

Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:

Condição Valores
ID do aplicativo

Digite o ID (ou parte dele) do app que foi alterado.

Por exemplo, para aplicar a regra somente quando o app do YouTube para dispositivos móveis for alterado, selecione Contém e digite youtube.

SHA-256 do app Digite o hash SHA-256 (ou parte dele) do pacote de apps do app que foi alterado.
Estado do aplicativo

Selecione para o novo estado do app:

  • Instalado em
  • Não sinalizado como possivelmente nocivo
  • Identificado como possivelmente nocivo
  • Iniciado em
  • Excluído de
  • Última atualização
Novo valor Digite o número da nova versão (ou parte dele) do app. Por exemplo, para acionar a regra quando o app do Chrome for atualizado para qualquer versão 86, selecione Contém e digite 86.
Categoria de app potencialmente nocivo

Selecione o tipo de app potencialmente nocivo:

  • É possível que o app contenha um backdoor
  • É possível que o app contenha fraude de chamada
  • É possível que o app contenha recursos de coleta de dados
  • É possível que o app contenha lógica de negação de serviço
  • É possível que este app contenha fraudware
  • É possível que o app contenha malware
  • É possível que o app contenha sites nocivos
  • É possível que este app contenha um gerenciador de downloads hostil
  • É possível que o app contenha ameaças ao token de sistemas que não sejam Android
  • É possível que o app contenha phishing
  • É possível que o app contenha recursos de escalonamento de privilégios
  • É possível que este app contenha ransomware
  • É possível que o app contenha recursos de rooting
  • É possível que o app contenha spam
  • É possível que este app contenha spyware
  • É possível que o app contenha fraude telefônica
  • É possível que o app contenha lógica de rastreamento
  • É possível que o app contenha um cavalo de Troia
  • O app é incomum
  • É possível que o app contenha fraude de WAP
  • É possível que o app contenha malware do Windows
Status de compliance do dispositivo (apenas Android)

A regra é acionada quando um dispositivo não está em compliance com as políticas da organização. Por exemplo, um usuário muda a senha do dispositivo, que deixa de obedecer à sua política de senha. Veja mais detalhes em Status de compliance do dispositivo.

Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:

Condição Aplica a regra a
Estado de compliance do dispositivo

Dispositivos cujo status de compliance foi alterado. Escolha uma opção:

  • Em conformidade com as políticas definidas: aplica a regra quando um dispositivo passa a estar em compliance com as políticas da organização.
  • Não é compatível com as políticas definidas porque o dispositivo: clique em Adicionar e use a condição Motivo da desativação do dispositivo móvel.
Motivo da desativação do dispositivo móvel Selecione o motivo da incompatibilidade do dispositivo:
  • Não restringiu serviços de acessibilidade
  • Teve a conta excluída permanentemente pelo administrador
  • Está com a câmera ativada
  • Está comprometido
  • Foi bloqueado pelo administrador
  • Tem apps nocivos
  • Precisa concluir a verificação de apps da política do dispositivo
  • Não é compatível
  • Informações de bloqueio de tela necessárias
  • O administrador não permite este modelo
  • Foi excluído permanentemente pelo administrador
  • Não está no modo Proprietário do dispositivo
  • Não tem o app Device Policy mais recente
  • Não tem um perfil de trabalho criado
  • Não restringiu métodos de entrada
  • Precisa converter um ou mais apps para o estado gerenciado
  • Não foi sincronizado nas últimas 24 horas.
  • Está com os widgets da tela de bloqueio ativados
  • Tem várias contas gerenciadas
  • Não está seguindo a política de senha
  • Não foi dada permissão para redefinir a senha do dispositivo
  • Não está com a sincronização ativada
Comprometimento do dispositivo (apenas Android)

A regra é acionada quando um dispositivo Android é comprometido ou não está mais comprometido. Um dispositivo Android está comprometido quando tem acesso root, um processo que remova as restrições em um dispositivo. Os dispositivos comprometidos podem ser uma ameaça à segurança.

Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:

Condição Valores
Estado do dispositivo: comprometido

Selecione o novo status do dispositivo:

  • Está comprometido: aplica a regra aos dispositivos que ficaram comprometidos.
  • Não está mais comprometido: aplica a regra aos dispositivos que não estão mais comprometidos.
Atualização do sistema operacional do dispositivo

A regra é acionada quando o sistema operacional de um dispositivo é alterado. Os tipos de mudança do SO que acionam a regra dependem do tipo de dispositivo:

  • Android: alterações na versão do SO, número da versão, versão do kernel, versão da banda de base, patch de segurança ou versão do carregador de inicialização
  • iOS: apenas alterações na versão do SO e no número da versão Por exemplo, um usuário atualiza o dispositivo para utilizar um novo sistema operacional ou aplica o patch de segurança mais recente.

Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:

Condição Valores
Valor antigo Digite um valor ou todos os valores de propriedade do SO antigos do dispositivo.
Novo valor Digite um ou todos os novos valores de propriedade do SO do dispositivo.
Propriedade do sistema operacional

Selecione a propriedade do SO que aciona a regra quando o valor muda:

  • Versão do SO
  • Número da versão
  • Versão do kernel
  • Versão da banda de base do dispositivo
  • Patch de segurança do sistema operacional
  • Versão do carregador de inicialização no dispositivo

No iOS, só é possível selecionar a versão do sistema operacional e o número da versão.

Propriedade do dispositivo (apenas Android)

A regra é acionada quando a propriedade de um dispositivo muda de "Pessoal" para "Pertence à empresa" ou vice-versa.

Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:

Condição Valores
Propriedade do dispositivo

Selecione o novo estado de propriedade do dispositivo:

  • Pertence à empresa: aplica a regra aos dispositivos cuja propriedade mudou para "Pertence à empresa".
  • Pessoal: aplica a regra aos dispositivos cuja propriedade mudou para Pessoal.
Alteração das configurações do dispositivo (apenas Android)

A regra é acionada quando há mudanças nas configurações de dispositivos Android, como alterações na depuração USB, fontes desconhecidas, opções para desenvolvedores ou configurações de verificação de apps.

Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:

Condição Valores
Valor antigo Digite um valor ou todos os valores de configuração antigos do dispositivo.
Novo valor Digite um valor ou todos os novos valores de configuração do dispositivo.
Configuração do dispositivo Selecione a configuração do dispositivo que aciona a regra quando o valor muda:
  • Opções do desenvolvedor
  • Fontes desconhecidas
  • Depuração de USB
  • Verificar apps
Sincronização do dispositivo

A regra é acionada quando a conta de um usuário é sincronizada em um dispositivo.

Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:

Condição Valores
Data do último evento de auditoria de sincronização

Digite uma data como um carimbo de data/hora do UNIX. Por exemplo, 1606167154.

É possível acionar a regra quando a última sincronização do dispositivo ocorreu após a data especificada (É maior que) ou a partir dessa data (É maior ou igual a).

Tentativas de desbloqueio de tela que não funcionaram (apenas Android)

A regra é acionada quando um dispositivo atinge um número definido de tentativas malsucedidas. Por padrão, a regra é aplicada depois de mais de cinco tentativas malsucedidas.

Para alterar o número de tentativas malsucedidas antes de a regra ser aplicada, use esta opção:

Condição Valores
Tentativas de desbloqueio de tela que não funcionaram

Selecione como o número de tentativas malsucedidas é contabilizado (É maior que ou É maior ou igual a) e digite esse número.

Por exemplo, se você digitar 3 e selecionar É maior que, a regra será acionada na quarta tentativa malsucedida. Se você digitar 3 e selecionar É maior ou igual a, a regra será acionada na terceira tentativa malsucedida.

Atividade suspeita

A regra é acionada quando ocorre uma mudança em uma propriedade que não costuma ser alterada. Por exemplo, o modelo do dispositivo muda sem que o dispositivo tenha sido alterado.

Em dispositivos Android, a atividade suspeita inclui alterações nas seguintes propriedades:

  • Versão do carregador de inicialização
  • Marca do dispositivo
  • Hardware do dispositivo
  • Fabricante
  • Modelo do dispositivo
  • Privilégio do app Device Policy
  • Número IMEI
  • Número MEID
  • Número de série
  • Endereço MAC Wi-Fi

Nos iPhones e iPads, isso só inclui mudanças no endereço MAC Wi-Fi.

Para aplicar a regra apenas a determinados dispositivos, defina condições com base nas propriedades do dispositivo e nas seguintes opções específicas de eventos:

Condição Valores
Propriedade do dispositivo

Selecione a propriedade do dispositivo que aciona a regra quando ela é alterada. Para selecionar mais de uma propriedade, crie uma regra separada para essa propriedade. Se você adicionar mais de uma propriedade a uma regra, o dispositivo precisará relatar alterações em todas as propriedades selecionadas.

Observação: nos dispositivos iOS, só são detectadas alterações no endereço MAC Wi-Fi.

Valor antigo Nos dispositivos Android, selecione o antigo privilégio de gerenciamento do dispositivo.
Novo valor Nos dispositivos Android, selecione o novo privilégio de gerenciamento do dispositivo.
Compatibilidade com o perfil de trabalho (apenas Android)

Aplica a regra quando um dispositivo Android começa a permitir perfis de trabalho. Por exemplo, após o upgrade da versão do SO.

Ver dados sobre eventos detectados

Você pode analisar os dados de eventos nos dispositivos gerenciados em uma auditoria de regras.

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Relatórios.
  3. À esquerda, em Auditoria, clique em Regras.
  4. Para analisar as ações relacionadas às suas regras de gerenciamento de dispositivos, clique em Adicionar filtroe depoisGerenciamento de dispositivos. Também é possível filtrar por outras características dos eventos, como o nome da regra ou a conta do proprietário do dispositivo (filtrar por Proprietário do recurso).
  5. (Opcional) Para personalizar os dados exibidos, clique em Gerenciar colunas "" à direita. Selecione as colunas que você quer ver ou ocultar e depois clique em Salvar.

  6. (Opcional) Se você quiser exportar os dados do relatório para um arquivo do Planilhas Google no Google Drive ou fazer o download de um arquivo CSV, siga estas etapas:
    1. Clique em Fazer download "".
    2. Em Selecionar colunas, clique em Colunas selecionadas ou Todas as colunas.
    3. Selecione um formato e clique em Fazer download.

    Você pode exportar até 100.000 linhas de dados com qualquer tipo de arquivo.

Isso foi útil?
Como podemos melhorá-lo?

Precisa de mais ajuda?

Faça login e veja mais opções de suporte para resolver o problema rapidamente.