Журнал аудита устройств

Эта функция недоступна в бесплатной версии Cloud Identity.

Вы можете посмотреть отчет о действиях на компьютерах и мобильных устройствах, используемых в вашей организации. Например, можно выяснить, добавлен ли на устройство аккаунт пользователя и соответствует ли установленный пароль заданным правилам. Посмотреть действия на устройстве можно в журнале аудита устройств в консоли администратора Google. Чтобы отслеживать события, установите оповещение.

Подготовка

  • Чтобы в журнале были видны все события, для устройств должно быть включено расширенное управление мобильными устройствами. Подробнее… 
  • Нельзя просматривать действия для устройств, корпоративные данные на которых синхронизируются через Google Sync. 

Шаг 1. Откройте журнал аудита устройств

Если вы переходите с Cloud Identity Premium на бесплатную версию Cloud Identity, запись событий в журнал аудита прекращается, но у администраторов сохраняется доступ к уже имеющимся в нем данным.

Как посмотреть события для всех устройств

  1. Войдите в Консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. Перейдите на главную страницу консоли администратора и выберите один из следующих разделов:
    • Отчеты > Аудит > Устройства.
    • Управление устройствами > Статистика > Аудит устройств.

    Если раздела "Отчеты" или "Управление устройствами" нет, нажмите Добавить элементы управления в нижней части страницы.

  3. На панели инструментов нажмите на значок "Выбрать столбцы" Выбрать столбцы, а затем укажите данные, которые хотите увидеть в журнале.
  4. Воспользуйтесь инструкциями ниже, чтобы проанализировать данные в отчете и настроить его содержимое.

Как посмотреть события для определенного устройства

  1. Войдите в Консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Управление устройствами > Мобильные устройства.

    Если значка "Управление устройствами" нет, нажмите Добавить элементы управления в нижней части страницы.

  3. Выберите один из вариантов: 
    • Нажмите Мобильные устройства, чтобы посмотреть список управляемых устройств.
    • Нажмите Проверка конечных точек, чтобы посмотреть сведения о том, на каких компьютерах и ноутбуках используется проверка конечных точек.
    • Слева выберите Ресурсы компании, чтобы посмотреть список устройств, принадлежащих вашей организации.
  4. Выберите одно или несколько устройств и нажмите "Ещё" Ещё > Посмотреть информацию об аудите.
    Примечание. Выберите устройства из списка корпоративных и нажмите на значок "Посмотреть информацию об аудите" Audit info
  5. При необходимости на панели инструментов нажмите на значок "Выбрать столбцы" Выбрать столбцы, а затем укажите данные, которые хотите увидеть в журнале.
  6. Воспользуйтесь инструкциями ниже, чтобы проанализировать данные в отчете и настроить его содержимое.

Шаг 2. Проанализируйте данные в журнале аудита устройств

Доступная информация
Тип данных Описание
Идентификатор устройства Идентификатор устройства, на котором было зарегистрировано событие. 
Название события Название зарегистрированного события, например изменение статуса регистрации аккаунта, дополнительная аутентификация или неудачная попытка входа. Подробные сведения приведены в разделе "Описание событий" ниже.
Описание события Сведения о событии, зарегистрированном на устройстве.
Дата Дата и время, когда произошло событие (указываются в часовом поясе, по умолчанию установленном в вашем браузере).
Пользователь Имя пользователя, инициировавшего событие на устройстве. 
Тип устройства Тип устройства, на котором было зарегистрировано событие (например, Android или iOS).
Хеш приложения Хеш (SHA-256) пакета приложения для событий, связанных с приложением.
Описание событий

В журнале аудита регистрируются записи о приведенных в таблице типах событий. Вы можете воспользоваться фильтром по названию события, расположенным в левой части страницы в консоли администратора, чтобы посмотреть записи только по конкретным событиям. Если раздел "Фильтры" скрыт, нажмите на значок "Фильтр" Фильтр. С помощью фильтров журнал аудита можно настроить так, чтобы в нем были видны определенные события или пользователи. 

Название события Описание Фильтры Поддерживаемые устройства
Изменение статуса регистрации устройства

Статус регистрация устройства был изменен. Событие регистрируется каждый раз, когда пользователь добавляет управляемый аккаунт на новое устройство или удаляет его со старого. 

Для устройств Android также можно посмотреть информацию о владельце устройства, на которого зарегистрирован аккаунт. Подробнее о просмотре сведений о правилах

Пример. Аккаунт пользователя пользователь зарегистрирован на смартфоне Nexus 6P с правами администратора устройства.

Зарегистрировано: пользователь добавил на устройство управляемый аккаунт.

Регистрация отменена: пользователь удалил аккаунт с устройства.

Android
Apple® iOS®
Chrome OS
macOS®
Windows®

Действие с устройством

Статус инициированного администратором действия на устройстве. 

Пример. Ожидается удаление данных аккаунта пользователя пользователь с идентификатором 1234 на устройстве Pixel 2

Неприменимо

Android
iOS
Chrome OS
macOS
Windows

Обновление ОС устройства

ОС на устройстве была обновлена. 

Для устройств на базе iOS система регистрирует только обновления версии ОС и номера сборки.

Пример. Версия ОС на устройстве Nexus 5 пользователя пользователь была обновлена с 8.0 до 8.2.

  • Версия ОС
  • Номер сборки
  • Версия ядра
  • Прошивка модуля связи
  • Исправление системы безопасности
  • Версия загрузчика
Android
iOS
Chrome OS
macOS
Windows
Синхронизация устройства

Синхронизация аккаунта пользователя на устройстве.

Пример. Аккаунт пользователя пользователь синхронизирован на устройстве Nexus 6P.

Неприменимо Android
iOS
Chrome OS
macOS
Windows
Изменение приложения, установленного на устройстве

Пользователь установил, удалил или обновил приложение на устройстве.

Устройства на базе Android: события регистрируются сразу. Если вы не видите записей в журнале аудита, убедитесь, что параметр Аудит приложений включен. 

Устройства на базе iOS: события регистрируются при следующей синхронизации устройства. Аудит выполняется только для управляемых приложений, установленных с помощью Device Policy

Пример. Приложение com.android.chrome версии 50.0.2645.0 было удалено с устройства Nexus 5 пользователя пользователь.

Событие приложения: установлено, удалено, обновлено.

Название пакета: название пакета приложения.

Хеш приложения: хеш (SHA-256) пакета приложения (только для устройств Android) 

Android 
iOS
Статус соответствия устройства нормативным требованиям

Информация о том, соответствует ли устройство правилам организации.

Устройство отмечается как несоответствующее, если:

Пример. Устройство Nexus 6P пользователя пользователь не соответствует заданным правилам, поскольку на нем нарушаются правила использования паролей.

Неприменимо Android
Взлом устройства

Информация о том, взломано ли устройство. Устройство считается взломанным, если к нему был разрешен root-доступ или оно было незаконно разблокировано, то есть на нем были отключены установленные ограничения. Взлом устройства может указывать на потенциальную угрозу безопасности.

В случае взлома устройства или восстановления его защиты система добавляет соответствующую запись в журнал аудита. 

Пример. Устройство Nexus 5 пользователя пользователь взломано.

Неприменимо Android 
iOS
Владелец устройства

Информация о том, изменился ли владелец устройства. 

Например, личное устройство стало корпоративным после того, как данные о нем были импортированы в консоль администратора. 

Аудит выполняется сразу после того, как корпоративное устройство добавляется в консоль администратора.  Если оно удаляется из консоли, аудит проводится при следующей синхронизации (после повторной регистрации устройства для управления им).

Пример. Устройство Nexus 5 пользователя пользователь стало корпоративным, и ему присвоен новый идентификатор abcd1234.

Неприменимо Android
Chrome OS
macOS
Windows
Изменение настроек устройства

Пользователь изменил параметр "Отладка по USB", "Установка приложений из неизвестных источников", "Режим разработчика" или "Проверка приложений" на своем устройстве.  

Запись регистрируется при следующей синхронизации устройства. 

Пример. Параметр "Проверка приложений" на устройстве Nexus 6P пользователя пользователь был включен.

  • Режим разработчика
  • Установка приложений из неизвестных источников
  • Отладка по USB
  • Проверка приложений
Android
Неудачные попытки разблокировки экрана

Информация о том, сколько раз пользователь неудачно пытался ввести пароль для разблокировки устройства. 

Событие регистрируется только после пятой неудачной попытки разблокировки. 

Пример. Зафиксированы неудачные попытки ввода пароля (5) для разблокирования устройства Nexus 7 пользователя.

Больше чем: укажите число, чтобы увидеть только те события, где количество неудачных попыток превышает заданное вами.

Android
Подозрительные действия 

На устройстве были зафиксированы подозрительные действия.

Устройства на базе Android: система создает запись в журнале при изменении данных устройства, указанных в столбце "Фильтры" для этого типа события. 
 
Устройства на базе iOS: система регистрирует только изменение MAC-адреса в сети Wi-Fi.

Пример. MAC-адрес Wi-Fi на устройстве Nexus 5 пользователя пользователь был изменен с x на y.

  • Модель устройства 
  • Серийный номер 
  • MAC-адрес Wi-Fi
  • Права приложения Device Policy 
  • Производитель
  • Бренд устройства
  • Аппаратное обеспечение
Android 
iOS
 
Поддержка рабочего профиля

Устройство поддерживает рабочие профили. 

Например, так можно убедиться, что пользователь обновил версию ОС и его телефон соответствует всем требованиям.

Система регистрирует эти данные для всех устройств с поддержкой рабочих профилей.

Пример. Рабочий профиль поддерживается на устройстве Nexus 5 пользователя пользователь.

Неприменимо Android

Шаг 3. Выберите и экспортируйте данные журнала аудита

Как фильтровать данные журнала аудита по пользователю или действию

Журнал аудита можно настроить так, чтобы он показывал определенные события или пользователей. Например, вы можете найти записи о неудачных попытках разблокировать экран или подозрительных действиях на устройстве определенного пользователя.

  1. Откройте журнал аудита, как описано выше.
  2. Если раздел "Фильтры" скрыт, нажмите на значок "Фильтр" Фильтр.
  3. Введите или выберите условия фильтрации: события, пользователей, устройства и временной диапазон. Подробная информация о каждом типе событий и соответствующих фильтрах приведена в разделе "Описание событий" выше.
  4. Нажмите Поиск.

Фильтр по организационным подразделениям

Чтобы сравнить данные по дочерним организациям в домене, отфильтруйте сведения по организационным подразделениям.

  1. Откройте отчет, как описано выше.
  2. В разделе Фильтры слева выберите подразделение из списка.

Даже в случае поиска старых данных сведения можно отфильтровать только по текущей организационной структуре. Данные, имеющиеся до 20 декабря 2018 года, не появятся в результатах поиска.

Как экспортировать данные журнала аудита

Вы можете экспортировать данные журнала аудита в таблицу Google или скачать их в виде CSV-файла.

  1. Откройте журнал аудита, как описано выше.
  2. Если вы хотите выбрать данные для экспорта:
    1. На панели инструментов нажмите на значок "Выбрать столбцы" Выбрать столбцы.
    2. Установите флажок напротив данных, которые нужно экспортировать, и нажмите Применить.
  3. На панели инструментов нажмите на значок "Скачать" Скачать.

Можно экспортировать до 210 000 ячеек. Максимальное количество строк зависит от числа выбранных столбцов. В таблицу Google можно экспортировать до 10 000 строк, а в CSV-файл – до 500 000.

Насколько устарели данные, которые я просматриваю?

Подробнее о сроках хранения данных и задержках

Шаг 4. Настройте получение уведомлений по электронной почте

С помощью оповещений можно отслеживать определенные действия на управляемых устройствах. Например, вы можете получать оповещения о создании или удалении календаря на устройстве.

  1. Откройте журнал аудита, как описано выше.
  2. Если раздел Фильтры скрыт, нажмите на значок "Фильтр" Фильтр.
  3. Введите или выберите условия фильтрации. Вы можете выбрать несколько типов данных из доступных в журнале, кроме временных диапазонов.
  4. Нажмите Настроить оповещение.
  5. В поле Настройка оповещения: мобильное устройство введите название оповещения.
  6. Установите флажок, чтобы доставлять оповещения суперадминистраторам аккаунта.
  7. Укажите адреса электронной почты других получателей.
  8. Нажмите Сохранить.

Подробнее об оповещениях по электронной почте для администраторов

Эта информация оказалась полезной?
Как можно улучшить эту статью?