Automatizar tareas de gestión de dispositivos móviles con reglas

Esta función no está disponible en Cloud Identity Free Edition.

Como administrador, puedes definir reglas para que determinadas tareas de la gestión de dispositivos móviles se lleven a cabo de forma automática. Por ejemplo, puedes aprobar automáticamente todos los dispositivos Android que se registren para que los gestione tu organización. También puedes especificar qué acciones se llevarán a cabo cuando se detecte un determinado evento en un dispositivo Android o Apple® iOS®. Cuando se produce un evento, puedes enviar una notificación por correo electrónico a los administradores, bloquear el dispositivo, aprobarlo o eliminar de él la cuenta de la empresa.

Si pasas de Cloud Identity Premium Edition a Cloud Identity Free Edition, el registro de auditoría dejará de recoger datos de los nuevos eventos, aunque los administradores podrán seguir consultando los datos antiguos.

Antes de empezar

  • Para configurar las reglas de gestión de dispositivos en la consola de administración de Google, debes disponer de privilegios de superadministrador. Para obtener más información, consulta el artículo Funciones de administrador preconfiguradas.
  • Las reglas que definas solo se aplican a los dispositivos que se administren mediante la gestión de dispositivos móviles avanzada. Para obtener más información, consulta el artículo Configurar la gestión de dispositivos móviles.

Funcionamiento de las reglas

Todas las reglas de gestión de dispositivos se activan cuando se produce un evento en un dispositivo móvil gestionado. Cuando se detecta el evento, la regla comprueba si se da alguna de las condiciones que has especificado. Si se cumplen, se ejecuta la acción.

Por ejemplo, puedes enviar notificaciones a los administradores si el estado de registro de cuenta de un dispositivo Android cambia porque un usuario da de baja su cuenta de empresa en ese dispositivo. En este ejemplo:

  • El evento es un cambio del estado de registro de una cuenta en un dispositivo Android.
  • La condición es que un usuario da de baja su cuenta en el dispositivo.
  • La acción es notificar a los administradores.

Puedes crear tus propias reglas o utilizar plantillas predefinidas. Además, puedes asignar una regla a todo tu dominio, a una unidad organizativa o a un grupo de Google. También puedes excluir un grupo para que no se le aplique una regla. 

Crear y editar reglas

Crear una regla de gestión de dispositivos

Puedes utilizar una de las plantillas predefinidas y personalizarla para adaptarla a tus necesidades. Si no encuentras la plantilla que necesitas, selecciona una en blanco para crear tu propia regla personalizada.

  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Reglas.

    Para ver Reglas, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior. 

  3. Haz clic en Añadir Añadir.
  4. Desplázate a la sección Administración de dispositivos y elige una opción: 
    • Selecciona la opción Plantilla en blanco si quieres crear tu propia regla desde cero.
    • Selecciona una plantilla predefinida de la lista. Para obtener más información, consulta el apartado Utilizar plantillas de reglas
  5. Edita el título y la descripción de la regla.
  6. Haz clic en Condiciones
  7. (Opcional) En Usuarios, selecciona la unidad organizativa o el grupo al que quieras aplicar la regla. También puedes excluir un grupo para que no se le aplique la regla. Si quieres añadir más de una condición, haz clic en Añadir. La regla se aplica a todos los usuarios aptos de tu nivel organizativo superior.
  8. En Filtros, sigue estos pasos:
    • Selecciona el tipo de dispositivo (Android, iOS o todos) al que se aplicará la regla.
    • Selecciona el evento que activará la regla. 
    • (Opcional) Selecciona las condiciones adicionales que la regla debe comprobar antes de llevar a cabo una acción. Si quieres añadir más de una condición, haz clic en Añadir.
    Para obtener más información, consulta el apartado Elegir un evento y sus condiciones.
  9. Haz clic en Listo
  10. Haz clic en Acciones y selecciona la acción que la regla deberá llevar a cabo en un dispositivo cuando detecte las condiciones que especificaste anteriormente. Para obtener más información, consulta el apartado Elegir una acción.
  11. Haz clic en Listo
  12. Elige una de estas opciones: 
    • Para crear la regla y activarla inmediatamente, haz clic en Crear y activar
    • Para crear la regla y activarla más tarde, haz clic en Crear. Cuando quieras activarla, selecciónala en la lista de reglas y haz clic en el icono Activar reglas Activate rules, situado en la parte superior.
Editar una regla de gestión de dispositivos
  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Reglas.

    Para ver Reglas, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior. 

  3. En la parte superior, selecciona Administrar para ver la lista de reglas.
  4. Haz clic en la regla que quieras modificar.
  5. En Condiciones, selecciona los ajustes que quieras establecer y haz clic en Listo. Para obtener más información, consulta el apartado Elegir un evento y sus condiciones.
  6. En Acciones, selecciona los ajustes que quieras establecer y haz clic en Listo. Para obtener más información, consulta el apartado Elegir una acción.
  7. Elige una de estas opciones: 
    • Para guardar los cambios y activar la regla de inmediato, haz clic en Guardar y activar.
    • Si la regla está en pausa y no quieres activarla todavía, haz clic en Guardar

Utilizar plantillas de reglas

Si quieres, puedes utilizar las plantillas de reglas disponibles. Estas plantillas contienen condiciones y acciones predefinidas que puedes modificar para adaptarlas a las necesidades de tu organización. Por ejemplo, si quieres aprobar automáticamente todos los dispositivos iOS, pero aprobar de forma manual los dispositivos Android, puedes usar la plantilla Aprobar automáticamente el registro de dispositivos y cambiar el tipo de dispositivo a iOS. 

Plantillas disponibles 

Bloquear la cuenta tras varios intentos fallidos de desbloqueo de pantalla

Permite bloquear un dispositivo Android cuando se producen más de cinco intentos fallidos de desbloquearlo, lo que hará que deje de sincronizar los datos de empresa. En cualquiera de estos casos, se envía una notificación por correo electrónico a los superadministradores.

Borrar los datos de una cuenta si se produce un evento sospechoso

Permite borrar los datos de empresa de un dispositivo Android o iOS cuando se detecta actividad sospechosa. En los dispositivos iOS, los datos de la cuenta se borran si se producen cambios en la dirección MAC de Wi‑Fi de un dispositivo. En los dispositivos Android, los datos de la cuenta se borran cuando se detectan cambios en cualquiera de estas propiedades del dispositivo: 

  • Modelo del dispositivo
  • Número de serie
  • Dirección MAC de Wi‑Fi
  • Privilegio de la aplicación Device Policy
  • Fabricante
  • Marca del dispositivo
  • Hardware del dispositivo

En cualquiera de estos casos, se envía una notificación por correo electrónico a los superadministradores.  

Aprobar automáticamente el registro de dispositivos

Permite aprobar dispositivos Android y iOS automáticamente cuando los usuarios los registren para gestionarlos. Los datos de empresa se sincronizarán con los dispositivos cuando los usuarios inicien sesión con su cuenta. De este modo, no hay que esperar a que un administrador apruebe el dispositivo. En este caso, los administradores no reciben ninguna notificación. 

Elegir los usuarios a los que se aplicará la regla

Puedes aplicar una regla únicamente a los usuarios de dispositivos que pertenezcan a una unidad organizativa o un grupo de Google concretos. Por ejemplo, puedes aprobar automáticamente los dispositivos que registren los usuarios de un grupo denominado "Gestión". También puedes evitar que la regla se aplique a los usuarios de un grupo determinado. Puedes elegir una de estas opciones: 

  • Aplicar a la unidad organizativa: la regla se aplica a los usuarios de la organización que selecciones en la lista desplegable. 
  • Aplicar al grupo: la regla se aplica a los usuarios de un grupo. Debes introducir el nombre exacto del grupo.
  • Grupo exento: los usuarios de un grupo quedan excluidos de la regla. Debes introducir el nombre exacto del grupo. La regla se aplica a todos los usuarios excepto a los del grupo que especifiques. 

Para elegir varios grupos u organizaciones, haz clic en Añadir. Haz clic en la X situada junto a una organización o un grupo para quitarlo. Si no seleccionas ninguna opción, la regla se aplica a todos los usuarios aptos del nivel organizativo superior.

Elegir un evento y sus condiciones (filtros)

Puedes utilizar filtros para seleccionar el tipo de dispositivo (Android, iOS o todos), el evento y otras condiciones que harán que se active la regla. De esta forma, la acción asociada a la regla solo se ejecutará cuando el evento se produzca en los dispositivos que cumplan las condiciones que has especificado. 

En cada regla, puedes elegir un evento y varias condiciones. Algunas de las condiciones que puedes elegir son la dirección de correo electrónico del usuario (completa o parcial), el ID de dispositivo, su número de serie o el modelo. También pueden aplicarse condiciones adicionales a eventos concretos. Si quieres aplicar más de una condición a la regla, haz clic en Añadir.

Cambio en el registro de la cuenta

La regla se activa cuando cambia el estado de registro de la cuenta de un dispositivo de tu dominio. El estado de registro puede cambiar cuando se da alguna de estas situaciones:

  • Un usuario añade su cuenta de empresa a un dispositivo nuevo. 
  • Un usuario da de baja su cuenta de empresa en un dispositivo gestionado.
  • Se modifica el privilegio de la aplicación Device Policy de un dispositivo. 

De forma predeterminada, la regla se activa cuando se detecta alguno de esos eventos. Si quieres que la regla solo se aplique cuando se cumplan determinadas condiciones, elige una de estas opciones:  

Condición A qué dispositivos se aplica la regla
Estado de la cuenta

Dispositivos en los que el estado de la cuenta de su usuario ha cambiado. Elige una opción: 

  • Registrada en: la regla se aplica cuando se añade una cuenta a un dispositivo.
  • Con registro anulado en: la regla se aplica cuando se da de baja una cuenta en un dispositivo gestionado. 
Privilegio de la aplicación Device Policy

Elige una de estas opciones: 

  • Con privilegio de administrador del dispositivo: la regla se aplica a los dispositivos personales que tienen una cuenta gestionada en su espacio personal.
  • Con privilegio de perfil de trabajo: la regla se aplica a los dispositivos personales en los que se ha configurado un perfil de trabajo.
  • Con privilegio de propietario del dispositivo: la regla se aplica a los dispositivos en los que se ha definido la organización como propietaria. 
Cambio en una aplicación del dispositivo

La regla se aplica cuando un usuario instala, desinstala o actualiza una aplicación en su dispositivo. En el caso de los dispositivos Android personales que no disponen de un perfil de trabajo, el ajuste Auditoría de las aplicaciones debe estar activado. En los dispositivos iOS, solo se detectan los cambios en aplicaciones gestionadas que se instalaron mediante la aplicación Google Device Policy.

Si quieres que la regla solo se aplique cuando se cumplan determinadas condiciones, elige una de estas opciones:

Evento A qué dispositivos se aplica la regla
ID de la aplicación

Dispositivos en los que se han realizado cambios en la aplicación que especifiques. Elige una de estas opciones: 

  • Contiene: introduce una parte del ID de la aplicación.
  • Igual a: introduce el ID de la aplicación completo.
Valor nuevo Dispositivos en los que el número de versión de una aplicación ha cambiado al valor que indiques. Escribe el número de la nueva versión de la aplicación, como por ejemplo, 50.0.2645.0.
Estado de la aplicación 

Dispositivos en los que el estado de una aplicación ha cambiado al valor que selecciones. Elige una de estas opciones:

  • Instalado en
  • Se ha eliminado de
  • Actualizado en
Hash de la aplicación Dispositivos que tengan instalada una aplicación cuyo hash coincida con el que especifiques. Introduce el hash SHA-256 del paquete de la aplicación.
Estado de cumplimiento del dispositivo (solo en Android)

La regla se activa cuando un dispositivo deja de cumplir las políticas de tu organización. Por ejemplo, si un usuario cambia la contraseña de su dispositivo de modo que incumpla la política de contraseñas que has establecido. Más información sobre el estado de cumplimiento del dispositivo

Si quieres que la regla solo se aplique cuando se cumplan determinadas condiciones, elige una de estas opciones:

Condición A qué dispositivos se aplica la regla
Estado de cumplimiento del dispositivo

Dispositivos cuyo estado de cumplimiento ha cambiado. Elige una de estas opciones:  

  • Cumple las políticas establecidas: la regla se aplica cuando un cambio en un dispositivo provoca que cumpla las políticas de tu organización. 
  • No cumple las políticas establecidas porque el dispositivo: a continuación, haz clic en Añadir y elige la condición Motivo de la desactivación del dispositivo móvil.
Motivo de la desactivación del dispositivo móvil  Dispositivos que dejan de cumplir las políticas de tu organización por el motivo que hayas seleccionado. Puedes elegir uno de los siguientes:
 
  • No respeta la política de contraseña.
  • No está cifrado.
  • No tiene la última versión de la aplicación Device Policy.
  • Su seguridad está en riesgo.
  • Tiene la cámara habilitada.
  • Tiene widgets de pantalla de bloqueo habilitados.
  • No tiene un perfil de trabajo creado.
  • No está en modo de propietario del dispositivo.
  • Está bloqueado por el administrador.
  • No tiene la sincronización habilitada.
  • No tiene la aplicación Device Policy instalada.
  • No se ha sincronizado en las últimas 24 horas.
Dispositivo en riesgo de seguridad (solo en Android)

La regla se aplica a los dispositivos Android cuya seguridad ha sido vulnerada o que han dejado de estar en situación de riesgo. Un dispositivo Android está en situación de riesgo cuando se ha rooteado ("root" es un procedimiento para eliminar las restricciones de los dispositivos). Los dispositivos en riesgo pueden indicar una posible amenaza para la seguridad. 

Para aplicar la regla solo cuando se cumplan determinadas condiciones, puedes elegir una de estas opciones:

Condición A qué dispositivos se aplica la regla
Dispositivo en riesgo de seguridad

Dispositivos cuyo estado de riesgo de seguridad ha cambiado. Elige una de estas opciones: 

  • Su seguridad está en riesgo: la regla se aplica a los dispositivos cuya seguridad ha sido vulnerada. 
  • Su seguridad ya no está en riesgo: la regla se aplica a los dispositivos que han dejado de estar en situación de riesgo.  
Actualización del sistema operativo del dispositivo

La regla se activa cuando se producen cambios en las propiedades del sistema operativo (SO) de un dispositivo. En el caso de los dispositivos Android, pueden ser cambios en la versión del SO, el número de compilación, la versión de kernel, la versión de banda base, el parche de seguridad o la versión del gestor de arranque del dispositivo. En los dispositivos iOS, solo se incluyen las actualizaciones de la versión del SO y del número de compilación. Por ejemplo, cuando un usuario actualiza el sistema operativo de su dispositivo a una nueva versión o aplica el parche de seguridad más reciente.

Si quieres que la regla solo se aplique cuando se cumplan determinadas condiciones, elige una de estas opciones:

Condición A qué dispositivos se aplica la regla
Valor anterior Dispositivos en los que el valor de una propiedad del SO que hayas especificado se ha cambiado por otro distinto.      
Valor nuevo Dispositivos en los que el valor de una propiedad del SO se ha cambiado por el que hayas especificado.
Propiedad del SO

Dispositivos en los que se ha cambiado la propiedad del SO que hayas seleccionado. Elige una de las siguientes propiedades del SO: 

  • Versión de sistema operativo
  • Número de compilación
  • Versión de kernel
  • Versión de banda base del dispositivo
  • Parche de seguridad del SO
  • Versión del gestor de arranque del dispositivo

En los dispositivos iOS, solo se admiten la versión de SO y el número de compilación. 

Propiedad del dispositivo (solo en Android)

La regla se aplica cuando un dispositivo personal pasa a ser propiedad de una empresa o a la inversa.

Para aplicar la regla solo cuando se cumplan determinadas condiciones, puedes elegir esta opción:

Condición A qué dispositivos se aplica la regla
Propietario del dispositivo

Dispositivos que han cambiado de propietario. Elige una de estas opciones: 

  • Propiedad de la empresa: la regla se aplica a los dispositivos que han pasado a ser propiedad de la empresa. 
  • Personal: la regla se aplica a los dispositivos que han pasado a ser de propiedad personal. 
Cambio en la configuración del dispositivo (solo en Android)

La regla se activa cuando se producen cambios en los ajustes de los dispositivos Android. Pueden ser cambios en la depuración de USB, fuentes desconocidas, opciones para desarrolladores o ajustes de verificación de aplicaciones del dispositivo.  

Para que la regla solo se aplique cuando cambien determinados ajustes, elige una de estas opciones:

Condición A qué dispositivos se aplica la regla
Valor anterior Dispositivos en los que el valor que hayas especificado en un ajuste se ha cambiado.
Valor nuevo Dispositivos en los que el valor de un ajuste se ha cambiado por el que hayas especificado.
Ajustes del dispositivo Dispositivos en los que se han cambiado los ajustes que hayas seleccionado. Elige uno de estos ajustes: 
  • Opciones para desarrolladores
  • Fuentes desconocidas
  • Depuración de USB
  • Verificar aplicaciones 
Intentos de desbloqueo de pantalla fallidos (solo en Android)

La regla se aplica a un dispositivo cuando se ha intentado desbloquear sin éxito. De forma predeterminada, se aplica cuando se producen más de cinco intentos de desbloqueo fallidos.

Para cambiar el número de intentos fallidos que deben producirse para que se aplique la regla, elige esta opción:

Condición A qué dispositivos se aplica la regla
Intentos de desbloqueo de pantalla fallidos

Dispositivos en los que se han detectado intentos de desbloqueo fallidos. Si quieres especificar cuántos intentos deben producirse para que se aplique la regla, elige una opción e indica el número de intentos:

  • > (Superior a)
  • >= (Superior o igual a)
Actividad sospechosa

La regla se activa cuando se detecta actividad sospechosa en los dispositivos móviles gestionados en tu dominio. Por ejemplo, si se cambia un modelo de dispositivo, pero el dispositivo no ha cambiado. 

En los dispositivos Android, pueden ser cambios en las propiedades siguientes: 

  • Modelo del dispositivo
  • Número de serie
  • Dirección MAC de Wi‑Fi
  • Privilegio de la aplicación Device Policy
  • Fabricante
  • Marca del dispositivo
  • Hardware del dispositivo
  • Versión del gestor de arranque

En el caso de los dispositivos iOS, solo se reconocen los cambios en la dirección MAC de Wi‑Fi.

Si quieres que la regla solo se aplique cuando se cumplan determinadas condiciones, elige una de estas opciones:

Condición A qué dispositivos se aplica la regla
Propiedad del dispositivo

Dispositivos en los que se realicen cambios en las propiedades que selecciones. Debes elegir una propiedad de la lista. Si quieres elegir más de una, haz clic en Añadir y selecciona otra propiedad del dispositivo. 

Nota: En los dispositivos iOS, solo se detectan los cambios en la dirección MAC de Wi‑Fi.

Valor anterior Dispositivos en los que el valor que hayas especificado en una propiedad se ha cambiado por otro distinto.
Valor nuevo Dispositivos en los que el valor de una propiedad se ha cambiado por el que hayas especificado.
Compatibilidad con el perfil de trabajo (solo en Android)

La regla se aplica cuando un dispositivo Android empieza a admitir perfiles de trabajo. Por ejemplo, cuando se actualiza la versión del SO y esto provoca que el dispositivo admita perfiles de trabajo.

Elegir una acción 

Puedes especificar qué acción ejecutará la regla cuando detecte un evento, ya sea enviar una notificación por correo electrónico a los superadministradores, bloquear o aprobar el dispositivo afectado o borrar la cuenta de empresa del dispositivo. Si no eliges ninguna acción, podrás ver los dispositivos que han activado una regla en el registro de auditoría de reglas. Para obtener más información, consulta el apartado Ver datos sobre los eventos detectados.

Elige una de las siguientes acciones: 

  • Enviar un correo electrónico a superadministradores: se envía un correo electrónico para informar a los superadministradores cuando se produzca un evento en un dispositivo móvil gestionado. Se enviarán 25 correos electrónicos como máximo en un intervalo de 2 horas.
  • Bloquear el dispositivo móvil: detiene la sincronización de los datos corporativos en el dispositivo. 
  • Aprobar el dispositivo móvil: permite sincronizar datos de empresa en el dispositivo. 
  • Borrar la cuenta corporativa del dispositivo: borra la cuenta de empresa del usuario y los datos asociados a ella. 

Ver datos sobre eventos detectados

Puedes ver datos sobre los eventos detectados en dispositivos móviles en una auditoría de reglas. 

  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Reglas.

    Para ver Reglas, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior. 

  3. En la parte superior, haz clic en Auditoría.
  4. (Opcional) Para cambiar los criterios que se muestran, haz clic en Seleccionar columnas Seleccionar columnas. Los cambios se guardarán automáticamente y estarán disponibles la próxima vez que inicies sesión.
  5. Para configurar la tabla de forma que solo se muestren determinados elementos, en la parte izquierda, utiliza la sección Filtros.
    • Nombre de la regla: el evento que se ha detectado.
    • Nombre del elemento marcado: el nombre del dispositivo en el que se detectó el evento.
    • Identificador del elemento marcado: el ID de dispositivo.
    • Propietario del elemento: la dirección de correo electrónico del usuario registrado en el dispositivo en el que se detectó el evento.
    • Intervalo de fecha y hora: la fecha y hora de inicio y de finalización de los eventos de la lista. Cada entrada del registro se asocia con un único evento.
  6. (Opcional) Para exportar los datos del informe directamente a un archivo de Hojas de cálculo en Google Drive o descargarlos en un archivo CSV, haz clic en Descargar Descargar. Tanto la hoja de cálculo de Google exportada como en el archivo CSV descargado contienen un máximo de 200.000 celdas. La cantidad máxima de filas depende del número de columnas seleccionadas.
¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?