支援這項功能的版本:Frontline Standard;Enterprise Standard 和 Enterprise Plus;Education Standard、Education Plus 和 Endpoint Education Upgrade;Cloud Identity 進階版。 版本比較
管理員可以定義自動化規則,讓系統自動處理裝置管理作業及接收安全性快訊。舉例來說,如果裝置出現可疑活動的跡象,系統會自動封鎖該裝置。
您可以將裝置管理規則套用到支援的行動裝置。
注意:如要「核准」設有規則的行動裝置,裝置必須受進階行動管理服務所管理。如有需要,您可以開啟進階行動管理服務。
規則的運作方式
受管理裝置上的事件會觸發裝置管理規則。一旦偵測到對應的事件發生,規則就會檢查是否符合您指定的條件,並在符合條件時執行動作。
例如,當 Android 裝置的帳戶註冊狀態因為使用者取消註冊公司帳戶而改變時,您可以選擇封鎖裝置。在這個例子中:
- 事件是指裝置的帳戶註冊狀態改變。
- 第一個條件是裝置類型為 Android。
- 第二個條件是使用者在裝置上取消註冊帳戶 (帳戶狀態為「已在下列裝置上取消註冊」)。
- 動作則是封鎖裝置。
您可以自行建立規則或使用預先定義的範本。至於適用範圍,您可以將規則指派給整個機構、特定機構單位或 Google 網路論壇群組,也可以排除特定群組。
注意:裝置管理規則可讓您因應特定事件核准、封鎖裝置,或抹除相關資料。如要根據裝置屬性 (例如 OS 版本、安全性狀態、IP 位址、地理位置或擁有權) 來控管裝置的 Google 應用程式存取權,則可採用情境感知存取權的方式。瞭解詳情
建立及編輯規則
您必須以超級管理員的身分登入才能執行這項工作。
建立裝置管理規則-
-
在管理控制台中,依序點選「選單」圖示 「規則」。
- 按一下 [裝置管理規則]。
- 按一下 [新增規則],然後選擇下列任一做法:
- 如要使用規則範本,請按一下 [範本的規則],然後點選範本。詳情請參閱使用規則範本。
- 如要自行建立規則,請按一下 [新增規則]。
- 輸入或編輯規則名稱和說明。
- 選擇要套用規則的對象。根據預設,規則會套用至機構中的所有人。
- 如果只要對特定使用者套用規則,請按一下 [指定機構單位或群組],然後選取要套用規則的機構單位和群組。
- 如要排除特定群組的使用者,請先選取至少一個要套用規則的機構單位或群組,然後按一下 [排除群組] 並選取要排除的群組。如要排除其他群組,請重複執行此步驟。
舉例來說,如要將規則套用至機構中的所有使用者,但排除某個特定群組,請對頂層機構單位套用規則,然後排除這個例外的群組。
如要移除機構單位或群組,請點選旁邊的「清除」圖示 。
- 按一下 [繼續]。
- 如有必要,您可以選取會觸發規則的事件。詳情請參閱選擇觸發條件。
- 按一下 [新增條件],然後設定裝置類型條件:
- 按一下 [欄位],然後選取 [裝置類型]。
- 按一下 [值],然後選取裝置類型:[所有裝置]、[Android] 或 [iOS]。部分事件僅適用於特定裝置類型,因此某些選項可能不會顯示。
注意:您必須先設定裝置類型條件,才能進入下一個步驟。
- (選用) 按一下 [新增條件],然後設定其他條件。裝置必須符合「所有」條件,系統才會對裝置套用規則。
- 按一下 [繼續]。
- 如有必要,您可選取符合規則條件時要採取的動作。請注意,有些動作可能不適用於所有事件。
- 封鎖行動裝置:停止在裝置上同步處理公司資料。
- 核准行動裝置:(僅限進階行動管理服務) 允許裝置同步處理公司資料。
- 執行抹除作業:在裝置上抹除使用者的公司帳戶和相關資料。進一步瞭解帳戶抹除作業。
- 無動作:不對裝置採取任何行動。如果只想接收事件通知 (詳見下方的後續步驟),請使用這個選項。
- (選用) 如要傳送電子郵件通知給所有超級管理員,請依序勾選 [傳送到快訊中心] 方塊和 [所有超級管理員] 方塊。注意:快訊中心目前尚不支援通知功能,但您必須開啟這項功能,才能傳送電子郵件給超級管理員。
- 按一下 [繼續]。
- 檢查規則設定。如果設定正確無誤,請按一下 [完成];否則,請按一下 [返回] 編輯規則。
- 在隨即開啟的對話方塊中,選擇下列任一做法:
- 如要立即啟用所建立的規則,請按一下 [啟用]。
- 如果想之後再啟用規則,請按一下 [停用]。
- 按一下 [完成]。
- 如要啟用已停用的規則,請在規則清單中按一下規則,然後按一下左側的選單,並選取 [啟用]。
-
-
在管理控制台中,依序點選「選單」圖示 「規則」。
- 按一下 [裝置管理規則]。
- 按一下要編輯的規則。
- 按一下您要編輯的部分,並進行所需變更。視需求點選 [繼續],前往檢查頁面。
- 檢查規則設定。如果設定正確無誤,請按一下 [完成];否則,請按一下 [返回] 編輯規則。
- 在隨即開啟的對話方塊中,選擇是否要啟用規則。
- 按一下 [完成]。
使用規則範本
我們針對常見的條件和動作設定了規則範本,您可以範本為設定基礎,根據貴機構的需求加以修改。舉例來說,如要自動核准 iPhone 和 iPad,但以手動方式核准 Android 裝置,請使用自動核准裝置註冊範本,並將裝置類型改成 iOS。
多次螢幕解鎖失敗時封鎖帳戶 (僅限 Android 裝置)在使用者嘗試解鎖裝置失敗超過 5 次時,封鎖 Android 裝置。這項規則會停止在裝置上同步處理使用者的公司/學校資料。
如要傳送電子郵件通知給所有超級管理員,請依序勾選 [傳送到快訊中心] 方塊和 [所有超級管理員] 方塊。注意:快訊中心目前尚不支援通知功能,但您必須開啟這項功能,才能傳送電子郵件給超級管理員。
這項規則會在 Android 裝置、iPhone 或 iPad 上偵測到可疑活動時,移除裝置上的公司資料。
如果是 iPhone 和 iPad,裝置的 Wi-Fi MAC 位址有所變更時,系統便會抹除帳戶資料。
如果是 Android 裝置,只要以下任一裝置屬性有所變更,就會導致系統抹除裝置資料:
- 系統啟動載入程式版本
- 裝置品牌
- 裝置硬體
- 製造商
- 裝置型號
- Device Policy 應用程式權限
- IMEI 號碼
- MEID 號碼
- 序號
- Wi-Fi MAC 位址
如果是公司擁有的 Android 裝置和設為僅供工作使用的個人裝置,系統會抹除裝置上的所有資料,並將裝置恢復為原廠設定。如果是設有工作資料夾的個人裝置,系統只會抹除工作資料夾,個人資料不會受到影響。
如要進一步瞭解帳戶和裝置抹除作業,請參閱抹除裝置上的公司資料。
如要傳送電子郵件通知給所有超級管理員,請依序勾選 [傳送到快訊中心] 方塊和 [所有超級管理員] 方塊。注意:快訊中心目前尚不支援通知功能,但您必須開啟這項功能,才能傳送電子郵件給超級管理員。
在使用者為自己的裝置註冊管理服務時,自動核准所有支援的裝置。如果使用者登入個人帳戶,系統就會將公司資料同步處理到他們的裝置上。
如要傳送電子郵件通知給所有超級管理員,請依序勾選 [傳送到快訊中心] 方塊和 [所有超級管理員] 方塊。注意:快訊中心目前尚不支援通知功能,但您必須開啟這項功能,才能傳送電子郵件給超級管理員。
選擇觸發條件
選擇會觸發規則的事件。您可以使用條件來選取裝置類型 (Android、iOS 或全部),並可利用其他條件,決定裝置是否要套用規則。發生事件的裝置必須符合指定條件,系統才會在裝置上執行規則動作。
每項規則可對應至單一事件並指定多個條件,而您必須設定裝置類型條件。此外,設定所有規則時,您都能依裝置 ID、裝置序號、裝置型號或特定條件值,僅將規則套用至特定裝置。如要為規則指定多個條件,請按一下 [新增條件]。
如果貴機構裝置的帳戶註冊狀態有所變更,系統就會觸發規則。以下情況均會導致註冊狀態變更:
- 使用者在新裝置上新增受管理的公司或學校帳戶。
- 使用者在受管理的裝置上取消註冊受管理的公司或學校帳戶。
- 貴機構在 Android 裝置上的管理權限有所變更。
根據預設,系統在偵測到上述任何事件時就會觸發規則。
如果只要為特定裝置套用規則,您可以根據裝置屬性和下列事件專屬選項來設定條件:
條件 | 值 |
---|---|
帳戶狀態 |
選取註冊狀態變更類型:
|
Device Policy 應用程式權限 |
選取貴機構在裝置上的管理權限:
|
使用者對公司或學校資料的存取權限變更時,系統就會觸發規則。這類事件包括:
- 裝置通過核准、遭封鎖或裝置資料遭到抹除
- 受管理的帳戶資料遭到抹除、管理員將帳戶登出,或這類帳戶取消註冊
預設情況下,規則會在發生任何裝置動作事件時觸發。
如果只要為特定裝置套用規則,您可以根據裝置屬性和下列事件專屬選項來設定條件:
條件 | 值 |
---|---|
在裝置上執行的動作狀態 | 選取動作的狀態:[使用者已拒絕動作]、[已取消]、[已執行]、[已失敗]、[待處理]、[已傳送到裝置] 或 [動作執行狀態不明]。 |
在裝置上進行的動作類型 |
選取與事件相關聯的動作:
|
舉例來說,如要在無法成功抹除裝置資料時封鎖裝置,請按照下列步驟操作:
- 將「在裝置上進行的動作類型」設為 [抹除裝置資料]。
- 將「在裝置上執行的動作狀態」設為 [已失敗]。
每當使用者在裝置中安裝、解除安裝或更新應用程式時,系統就會觸發規則。如果個人自有的 Android 裝置不含工作資料夾,則必須啟用應用程式稽核設定。如果是 iPhone 和 iPad,系統只會針對依據 Google Device Policy 應用程式安裝的受管理應用程式,偵測應用程式的變更情形。
如果只要為特定裝置套用規則,您可以根據裝置屬性和下列事件專屬選項來設定條件:
條件 | 值 |
---|---|
應用程式 ID |
針對有所變更的應用程式,輸入所有或部分應用程式 ID。 舉例來說,如果您只想在 YouTube 行動應用程式變更時套用規則,請選取 [包含] 並輸入 youtube。 |
應用程式 SHA-256 | 針對有所變更的應用程式,輸入應用程式套件的 SHA-256 雜湊 (全部或部分)。 |
應用程式狀態 |
選取應用程式變更後的狀態:
|
新值 | 針對變更後的應用程式,輸入全部或部分版本編號。舉例來說,如要在 Chrome 應用程式更新至任一 86 版本時觸發規則,請選取 [包含] 並輸入 86。 |
可能有害的應用程式類別 |
選取可能有害的應用程式類型:
|
一旦裝置不符合機構政策,系統就會觸發規則。舉例來說,使用者因變更裝置密碼而導致違反密碼政策,就屬於這類情況。詳情請參閱裝置法規遵循狀態。
如果只要為特定裝置套用規則,您可以根據裝置屬性和下列事件專屬選項來設定條件:
條件 | 規則套用對象 |
---|---|
裝置法規遵循狀態 |
法規遵循狀態改變的裝置。請選擇下列任一選項:
|
行動裝置停用原因 | 選取導致裝置不符政策的原因:
|
當 Android 裝置遭駭或不再處於遭駭狀態,系統就會觸發規則。Android 裝置啟用 Root 權限後,所有限制皆會移除,這種狀態就稱為「遭駭」。遭駭裝置可能會造成潛在的安全威脅。
如果只要為特定裝置套用規則,您可以根據裝置屬性和下列事件專屬選項來設定條件:
條件 | 值 |
---|---|
裝置遭駭狀態 |
選取變更後的裝置狀態:
|
裝置的作業系統 (OS) 有所變更時,系統就會觸發規則。至於哪一類的 OS 變更會觸發規則,則視裝置類型而定:
- Android:OS 版本、版本號碼、核心版本、基頻版本、安全性修補程式或系統啟動載入程式版本相關變更。
- iOS:僅限 OS 版本和版本號碼相關變更。舉例來說,使用者更新裝置的 OS 或套用最新的安全性修補程式時,系統就會觸發這項規則。
如果只要為特定裝置套用規則,您可以根據裝置屬性和下列事件專屬選項來設定條件:
條件 | 值 |
---|---|
舊值 | 針對變更前的裝置,輸入部分或全部 OS 屬性值。 |
新值 | 針對變更後的裝置,輸入部分或全部 OS 屬性值。 |
OS 屬性 |
選取會在值變更時觸發規則的 OS 屬性:
如果是 iOS 裝置,您能選擇的屬性只有 OS 版本和版本號碼。 |
裝置擁有權從個人變為公司擁有,或從公司擁有變為個人時,系統就會觸發規則。
如果只要為特定裝置套用規則,您可以根據裝置屬性和下列事件專屬選項來設定條件:
條件 | 值 |
---|---|
這個裝置的擁有權 |
選取裝置擁有權變更後的狀態:
|
當 Android 裝置的設定有所變更時,系統就會觸發規則。舉凡與 USB 偵錯、不明來源、開發人員選項和驗證應用程式相關的變更,都是此規則的觸發條件。
如果只要為特定裝置套用規則,您可以根據裝置屬性和下列事件專屬選項來設定條件:
條件 | 值 |
---|---|
舊值 | 針對變更前的裝置,輸入部分或全部裝置設定值。 |
新值 | 針對變更後的裝置,輸入部分或全部裝置設定值。 |
裝置設定 | 選取會在值改變時觸發規則的裝置設定:
|
當使用者帳戶在裝置上同步處理時,系統就會觸發規則。
如果只要為特定裝置套用規則,您可以根據裝置屬性和下列事件專屬選項來設定條件:
條件 | 值 |
---|---|
上次同步處理稽核事件的日期 |
輸入日期做為 UNIX 時間戳記,例如 1606167154。 您可以設定在以下時間點觸發規則:裝置上次同步處理的時間在指定日期之後 ([大於]),或是在指定日期當天或之後 ([大於或等於])。 |
嘗試解鎖裝置的失敗次數達到指定標準時,系統就會觸發規則。根據預設,如果解鎖失敗超過 5 次,系統就會套用規則。
如要變更套用規則的失敗次數,請使用這個選項:
條件 | 值 |
---|---|
螢幕解鎖失敗 |
選取嘗試失敗次數的計算方式 ([大於] 或 [大於或等於]),並輸入指定的失敗次數。 舉例來說,如果輸入 3 並選取 [大於],系統就會在第 4 次嘗試失敗時觸發規則。如果輸入 3 並選取 [大於或等於],系統則會在第 3 次嘗試失敗時觸發規則。 |
如果受管理裝置的裝置屬性有所變更,且這類變更對該屬性而言並非常態的話,系統就會觸發規則。舉例來說,在裝置未發生異動的情況下,如果裝置型號改變,就屬於這類情況。
如果是 Android 裝置,只要以下裝置屬性有所變更,即屬於可疑活動:
- 系統啟動載入程式版本
- 裝置品牌
- 裝置硬體
- 製造商
- 裝置型號
- Device Policy 應用程式權限
- IMEI 號碼
- MEID 號碼
- 序號
- Wi-Fi MAC 位址
如果是 iPhone 和 iPad,只有 Wi-Fi MAC 位址改變時,才視為可疑活動。
如果只要為特定裝置套用規則,您可以根據裝置屬性和下列事件專屬選項來設定條件:
條件 | 值 |
---|---|
裝置屬性 |
選取會在變更時觸發規則的裝置屬性。若要選取多個屬性,請為該屬性另外建立規則。如果您在規則中新增了多個屬性,只要您所選取的「任何」屬性有所變更,裝置就必須回報。 注意:如果是 iOS 裝置,系統僅會偵測 Wi-Fi MAC 位址的變更狀況。 |
舊值 | 如果是 Android 裝置,請選取裝置變更前的裝置管理權限。 |
新值 | 如果是 Android 裝置,請選取裝置變更後的裝置管理權限。 |
在 Android 裝置開始支援工作資料夾時套用規則。舉例來說,裝置因為作業系統版本升級而開始支援工作資料夾時,就會觸發這項規則。
查看偵測事件相關資料
您可以在「規則稽核」中查看受管理裝置的事件資料。
-
-
在管理控制台中,依序點選「選單」圖示 「報告」「稽核與調查」「規則記錄事件」。
- 如要查看與裝置管理規則相關的動作,請依序按一下 [新增篩選器] [裝置管理]。您也可以根據其他事件特性來篩選,例如規則名稱或裝置擁有者的帳戶 (依資源擁有者篩選)。
-
(選用) 如需自訂要查看的資料,請按一下右側的「管理資料欄」圖示 。視需求新增或隱藏資料欄 按一下 [儲存]。
- (選用) 如要將報告資料以 Google 試算表檔案的形式直接匯出到 Google 雲端硬碟,或是以 CSV 檔案格式下載報告資料,請按照下列步驟操作:
- 按一下「下載」圖示 。
- 在「選取資料欄」下方,按一下 [目前選取的欄] 或 [所有資料欄]。
- 選取所需格式並點選 [下載]。
不論是哪一種檔案類型,您最多可以匯出 100,000 列資料。