Automatizzare le attività di gestione dei dispositivi mobili mediante regole

Questa funzione non è disponibile nella versione gratuita di Cloud Identity.

In qualità di amministratore, puoi definire regole per automatizzare le attività di gestione dei dispositivi mobili. Ad esempio, puoi approvare automaticamente tutti i dispositivi Android che vengono registrati per la gestione. Puoi configurare l'attivazione di determinate azioni quando viene rilevato un evento specifico in un dispositivo Android o Apple® iOS®. Quando si verifica un evento puoi inviare un'email di notifica agli amministratori, bloccare o approvare un dispositivo o eliminare i dati di un account aziendale dal dispositivo.

Se passi dalla versione Cloud Identity Premium alla versione gratuita di Cloud Identity, i log di controllo non raccoglieranno più i dati sui nuovi eventi. Tuttavia, i vecchi dati continueranno a essere visibili agli amministratori.

Prima di iniziare

  • Per impostare le regole di gestione dei dispositivi nella Console di amministrazione Google, devi disporre dei privilegi di super amministratore. Per maggiori dettagli, consulta Ruoli Amministratore predefiniti.
  • Le regole che hai impostato vengono applicate solo ai dispositivi gestiti con gestione dei dispositivi mobili avanzata. Per maggiori dettagli, vedi Configurare la gestione dei dispositivi mobili.

Come funzionano le regole

Ogni regola di gestione dei dispositivi inizia con un evento che si verifica su un dispositivo mobile gestito. Quando viene rilevato l'evento, la regola verifica le condizioni che hai specificato. Se le condizioni sono soddisfatte, viene eseguita un'azione.

Ad esempio, puoi inviare una notifica agli amministratori quando lo stato di registrazione dell'account viene modificato sui dispositivi Android perché un utente ha annullato la registrazione del proprio account aziendale sul dispositivo. In questo esempio:

  • L'evento è la modifica dello stato di registrazione dell'account su un dispositivo Android.
  • La condizione è l'annullamento della registrazione del proprio account dal dispositivo da parte dell'utente.
  • L'azione è l'invio di una notifica agli amministratori.

Puoi creare una regola personalizzata o utilizzare un modello predefinito e assegnare una regola per tutto il dominio, un'unità organizzativa o un gruppo di Google Gruppi. Puoi anche escludere un gruppo. 

Creare e modificare le regole

Creare una regola di gestione dei dispositivi

Puoi utilizzare uno dei modelli predefiniti e personalizzarlo in base alle tue esigenze. Se non riesci a trovare un modello adatto, seleziona un modello vuoto per creare la tua regola personalizzata.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Regole.

    Per visualizzare Regole potrebbe essere necessario fare clic su Altri controlli in fondo alla pagina. 

  3. Fai clic su Aggiungi Aggiungi.
  4. Scorri fino alla sezione Gestione dispositivi e scegli un'opzione: 
    • Seleziona Modello vuoto per creare la tua regola da zero.
    • Seleziona un modello predefinito dall'elenco. Per maggiori dettagli, vedi Utilizzare i modelli di regole
  5. Modifica il titolo e la descrizione della regola.
  6. Fai clic su Condizioni
  7. In Utenti, seleziona un'unità organizzativa o un gruppo a cui applicare la regola (facoltativo). Puoi anche escludere un gruppo dalla regola. Per aggiungere più di una condizione, fai clic su Aggiungi. La regola viene applicata a tutti gli utenti interessati dell'organizzazione di primo livello.
  8. In Filtri, procedi nel seguente modo:
    • Seleziona un tipo di dispositivo (Android, iOS o tutti) a cui applicare la regola.
    • Seleziona l'evento che attiverà la regola. 
    • Seleziona altre condizioni che la regola deve controllare prima che venga eseguita un'azione (facoltativo). Per aggiungere più di una condizione, fai clic su Aggiungi.
    Per ulteriori dettagli, vedi Scegliere l'evento e le condizioni.
  9. Fai clic su Fine
  10. Fai clic su Azioni e seleziona l'azione che la regola deve eseguire su un dispositivo qualora riscontri le condizioni che hai specificato sopra. Per maggiori dettagli, vedi Scegliere un'azione.
  11. Fai clic su Fine
  12. Scegli un'opzione: 
    • Per creare la regola e attivarla subito, fai clic su Crea e attiva
    • Per creare la regola e attivarla in un secondo momento, fai clic su Crea. Quando vuoi attivare la regola, selezionala dall'elenco e fai clic su Attiva regole Activate rules nella parte superiore della pagina.
Modificare una regola di gestione dispositivi esistente
  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Regole.

    Per visualizzare Regole potrebbe essere necessario fare clic su Altri controlli in fondo alla pagina. 

  3. In alto, seleziona Gestisci per vedere l'elenco delle regole.
  4. Fai clic sulla regola da modificare.
  5. In Condizioni, seleziona le impostazioni opportune e fai clic su Fine. Per maggiori dettagli, vedi Scegliere l'evento e le condizioni.
  6. In Azioni, seleziona le impostazioni opportune e fai clic su Fine. Per maggiori dettagli, vedi Scegliere un'azione.
  7. Scegli un'opzione: 
    • Per salvare le modifiche e attivarle subito, fai clic su Salva e attiva.
    • Se la regola è sospesa e al momento non vuoi attivarla, fai clic su Salva

Utilizzare i modelli di regole

Hai a disposizione diversi modelli di regole contenenti condizioni e azioni predefinite che puoi modificare per adattarle alle esigenze della tua organizzazione. Ad esempio, se vuoi approvare automaticamente tutti i dispositivi iOS, ma preferisci approvare i dispositivi Android manualmente, puoi utilizzare il modello Approvazione automatica della registrazione del dispositivo e cambiare il tipo di dispositivo in iOS. 

Blocca account dopo più tentativi di sblocco schermo non riusciti

Blocca un dispositivo Android quando vengono eseguiti più di cinque tentativi di sblocco con esito negativo. La sincronizzazione dei dati aziendali sul dispositivo viene interrotta e viene inviata un'email di notifica ai super amministratori.

Cancella i dati dell'account in caso di evento sospetto

Rimuove i dati aziendali da un dispositivo Android o iOS quando viene rilevata un'attività sospetta. Per i dispositivi iOS, i dati dell'account vengono eliminati in caso di modifiche all'indirizzo MAC Wi-Fi del dispositivo. 

Per i dispositivi Android, i dati vengono cancellati se viene modificata una qualsiasi delle seguenti proprietà dispositivo:

  • Modello dispositivo
  • Numero di serie
  • Indirizzo MAC Wi-Fi
  • Privilegio dell'app Device Policy
  • Produttore
  • Brand dispositivo
  • Hardware dispositivo

Se la proprietà del dispositivo Android è assegnata all'organizzazione (proprietà dell'azienda), tutti i dati vengono cancellati dal dispositivo e vengono ripristinati i dati di fabbrica. Se il dispositivo è di proprietà dell'utente e ha un profilo di lavoro, viene cancellato solo il profilo di lavoro, mentre i dati personali rimangono intatti. 

Viene inviata un'email di notifica ai super amministratori.

Approvazione automatica della registrazione del dispositivo

Approva automaticamente tutti i dispositivi Android e iOS quando un utente iscrive il dispositivo perché venga gestito. I dati aziendali si sincronizzano sul dispositivo quando l'utente accede con il proprio account; non deve attendere che un amministratore approvi il dispositivo. Gli amministratori non ricevono notifiche quando i dispositivi vengono approvati. 

Scegliere gli utenti a cui applicare la regola

Puoi applicare una regola solo agli utenti di dispositivi che fanno parte di una specifica unità organizzativa o di un gruppo di Google Gruppi. Ad esempio puoi approvare automaticamente i dispositivi che gli utenti iscrivono nel gruppo Gestione. Puoi anche ignorare la regola per gli utenti di un gruppo. Puoi scegliere tra queste opzioni: 

  • Applica a unità organizzativa: applica la regola agli utenti dell'unità organizzativa che selezioni dall'elenco a discesa. 
  • Applica al gruppo: applica la regola agli utenti di un gruppo. Devi inserire il nome esatto del gruppo.
  • Gruppo esenti: esclude dalla regola gli utenti di un gruppo. Devi inserire il nome esatto del gruppo. La regola si applica a tutti gli utenti tranne quelli nel gruppo specificato. 

Per scegliere più di un'organizzazione o gruppo, fai clic su Aggiungi. Per rimuovere un'organizzazione o un gruppo, fai clic sulla X accanto all'elemento. Se non selezioni alcuna opzione, la regola viene applicata a tutti gli utenti dell'organizzazione di primo livello.

Scegliere l'evento e le condizioni (filtri)

Utilizza i filtri per selezionare il tipo di dispositivo (Android, iOS o tutti), il tipo di evento e le altre condizioni che attiveranno la regola. L'azione della regola viene eseguita solo quando l'evento si verifica sui dispositivi che soddisfano le condizioni specificate. 

Puoi scegliere un solo evento e varie condizioni per ogni regola. Le condizioni includono un indirizzo email completo o parziale dell'utente, l'ID dispositivo, il numero di serie o il modello del dispositivo. Sono disponibili ulteriori condizioni per i singoli eventi. Per applicare più di una condizione a una regola, fai clic su Aggiungi.

Modifica registrazione account

Attiva la regola quando cambia lo stato di registrazione di un dispositivo nel tuo dominio. La modifica dello stato di registrazione può avvenire quando:

  • Un utente aggiunge il proprio account aziendale su un nuovo dispositivo. 
  • Un utente annulla la registrazione del proprio account aziendale su un dispositivo gestito.
  • Viene modificato il privilegio dell'app Device Policy sul dispositivo. 

Per impostazione predefinita, la regola si attiva quando viene rilevato uno dei suddetti eventi. Per applicare la regola solo quando vengono soddisfatte condizioni specifiche, utilizza queste opzioni:  

Condizione Applica la regola a
Stato account

Dispositivi in cui lo stato dell'account utente è stato modificato. Scegli un'opzione: 

  • Registrato in data: applica la regola quando un account viene aggiunto al dispositivo.
  • Registrazione annullata da: applica la regola quando viene annullata la registrazione di un account da un dispositivo gestito. 
Privilegio dell'app Device Policy

Scegli un'opzione: 

  • Con privilegio di amministratore del dispositivo: applica la regola ai dispositivi personali che dispongono di un account gestito nello spazio personale.
  • Con privilegio di profilo di lavoro: applica la regola ai dispositivi personali in cui è configurato un profilo di lavoro.
  • Con privilegio di proprietario del dispositivo: applica la regola ai dispositivi configurati per riconoscere l'organizzazione come proprietario del dispositivo. 
Modifica applicazione dispositivo

Applica la regola ogni volta che un utente installa, disinstalla o aggiorna un'app nel dispositivo. Per i dispositivi Android personali senza un profilo di lavoro è necessario attivare l'impostazione Controllo dell'applicazione. Per i dispositivi iOS, vengono rilevate solo le modifiche alle app gestite installate tramite l'app Google Device Policy.

Per applicare la regola solo quando vengono soddisfatte condizioni specifiche, utilizza queste opzioni:

Evento Applica la regola a
ID applicazione

Dispositivi che presentano modifiche all'app che hai specificato. Scegli un'opzione: 

  • Contiene: inserisci una parte dell'ID dell'app.
  • Uguale a: inserisci l'ID dell'app per intero.
Nuovo valore Dispositivi in cui il numero di versione di un'app è cambiato in base al valore che hai specificato. Inserisci il nuovo numero di versione dell'app. Ad esempio 50.0.2645.0.
Stato applicazione 

Dispositivi in cui lo stato di un'app è cambiato in base al valore che hai selezionato. Scegli un'opzione:

  • Installata su
  • Eliminata da
  • Aggiornata su
Hash dell'applicazione Dispositivi su cui è installata un'app che corrisponde all'hash dell'applicazione che hai specificato. Inserisci l'hash SHA-256 del pacchetto dell'applicazione.
Stato conformità dispositivo (solo Android)

Attiva la regola quando un dispositivo non è più conforme ai criteri della tua organizzazione. Ad esempio, un utente cambia la password del dispositivo che, di conseguenza, non è più conforme ai criteri aziendali per le password. Per maggiori dettagli, vedi Stato conformità dispositivo.

Per applicare la regola solo quando vengono soddisfatte condizioni specifiche, utilizza queste opzioni:

Condizione Applica la regola a
Stato conformità dispositivo

I dispositivi il cui stato di conformità è cambiato. Scegli un'opzione:  

  • Conforme alle norme stabilite: applica la regola quando un dispositivo è conforme alle norme della tua organizzazione. 
  • Non conforme alle norme stabilite poiché il dispositivo: dopo avere scelto questa opzione, fai clic su Aggiungi e utilizza la condizione "Causa della disattivazione del dispositivo mobile".
Causa della disattivazione del dispositivo mobile  Dispositivi che non sono più compatibili con la tua organizzazione per la causa che specifichi. Puoi scegliere tra queste cause:
 
  • Non rispetta le norme relative alle password
  • Non è criptato
  • Non ha la versione più recente dell'app Device Policy
  • È compromesso
  • Ha la fotocamera abilitata
  • Ha i widget di blocco schermo abilitati
  • Non contiene un profilo di lavoro già creato
  • Non è in modalità Proprietario del dispositivo
  • È stato bloccato dall'amministratore
  • Non ha la sincronizzazione abilitata
  • Non ha l'app Device Policy
  • Non sincronizzato nelle ultime 24 ore
Compromissione del dispositivo (solo Android)

Applica la regola ai dispositivi Android che sono compromessi o che non lo sono più. Un dispositivo Android è compromesso quando viene eseguito il root, una procedura che rimuove le limitazioni dal dispositivo. I dispositivi compromessi possono indicare una potenziale minaccia alla sicurezza. 

Per applicare la regola solo quando sono soddisfatte condizioni specifiche, utilizza questa opzione:

Condizione Applica la regola a
Stato dispositivo compromesso

I dispositivi il cui stato di compromissione è cambiato. Scegli un'opzione: 

  • È compromesso: applica la regola ai dispositivi che sono compromessi. 
  • Non è più compromesso: applica la regola ai dispositivi che erano compromessi, ma non lo sono più.  
Aggiornamento sistema operativo dispositivo

Attiva una regola quando vengono rilevate modifiche alle proprietà del sistema operativo del dispositivo. Per i dispositivi Android, le modifiche riguardano la versione del sistema operativo, il numero di build, la versione kernel, la versione banda di base, la patch di sicurezza o la versione bootloader del dispositivo. Per i dispositivi iOS, riguardano solo gli aggiornamenti della versione del sistema operativo e del numero di build. Ad esempio, un utente aggiorna il dispositivo a un nuovo sistema operativo o applica la patch di sicurezza più recente.

Per applicare la regola solo quando vengono soddisfatte condizioni specifiche, utilizza queste opzioni:

Condizione Applica la regola a
Valore precedente Dispositivi in cui una proprietà del sistema operativo è stata modificata rispetto al valore che hai specificato.      
Nuovo valore Dispositivi in cui una proprietà del sistema operativo è stata modificata in base al valore che hai specificato.
Proprietà sistema operativo

I dispositivi che hanno subito modifiche rispetto alla proprietà di sistema operativo che hai selezionato. Seleziona una delle seguenti proprietà del sistema operativo: 

  • Versione OS
  • Numero build
  • Versione kernel
  • Versione banda di base dispositivo
  • Patch di sicurezza sistema operativo
  • Versione bootloader

Per iOS sono supportate solo la versione del sistema operativo e il numero di build. 

Proprietario dispositivo (solo Android)

Applica una regola quando lo stato di proprietà del dispositivo cambia da personale a di proprietà dell'azienda.

Per applicare la regola solo quando sono soddisfatte condizioni specifiche, utilizza questa opzione:

Condizione Applica la regola a
Proprietario dispositivo

I dispositivi il cui stato di proprietà dispositivo è cambiato. Scegli un'opzione: 

  • Di proprietà dell'azienda: applica la regola ai dispositivi che hanno cambiato proprietario diventando di proprietà dell'azienda. 
  • Personale: applica la regola ai dispositivi che hanno cambiato proprietario diventando di proprietà personale. 
Modifica impostazioni dispositivo (solo Android)

Attiva una regola quando vengono rilevate modifiche alle impostazioni dispositivo sui dispositivi Android. Sono incluse le modifiche alle impostazioni dispositivo Debug USB, Fonti sconosciute, Opzioni per sviluppatori o Verifica app.  

Per applicare la regola solo quando vengono modificate impostazioni specifiche, utilizza queste opzioni:

Condizione Applica la regola a
Valore precedente Dispositivi in cui un'impostazione dispositivo è stata modificata rispetto al valore che hai specificato.
Nuovo valore Dispositivi in cui un'impostazione dispositivo è stata modificata in base al valore che hai specificato.
Impostazione dispositivo I dispositivi che hanno subito modifiche rispetto all'impostazione dispositivo che hai selezionato. Scegli tra le seguenti impostazioni: 
  • Opzioni sviluppatore
  • Fonti sconosciute
  • Debug USB
  • Verifica app 
Tentativi di sblocco dello schermo non riusciti (solo Android)

Applica la regola a un dispositivo quando vengono rilevati tentativi di sblocco non andati a buon fine. Per impostazione predefinita, la regola si attiva quando vengono eseguiti più di cinque tentativi non riusciti.

Per modificare il numero di tentativi non riusciti prima dell'applicazione della regola, utilizza questa opzione:

Condizione Applica la regola a
Tentativi di sblocco dello schermo non riusciti

Dispositivi in cui sono stati rilevati tentativi di sblocco non riusciti. Per specificare il numero di tentativi consentiti prima dell'applicazione della regola, scegli un'opzione e inserisci il numero di tentativi:

  • > (Maggiore di)
  • >= (Maggiore o uguale a)
Attività sospetta

La regola viene attivata quando viene rilevata attività sospetta nei dispositivi mobili gestiti del tuo dominio. Ad esempio, se un modello di dispositivo è cambiato, ma il dispositivo è lo stesso. 

Per i dispositivi Android, sono incluse le modifiche alle seguenti proprietà dispositivo: 

  • Modello dispositivo
  • Numero di serie
  • Indirizzo MAC Wi-Fi
  • Privilegio dell'app Device Policy
  • Produttore
  • Brand dispositivo
  • Hardware dispositivo
  • Versione bootloader

Per i dispositivi iOS, sono incluse solo le modifiche all'indirizzo Wi-Fi MAC.

Per applicare la regola solo quando vengono soddisfatte condizioni specifiche, utilizza queste opzioni:

Condizione Applica la regola a
Proprietà dispositivo

Dispositivi con modifiche alle proprietà che hai selezionato per il dispositivo. Seleziona una proprietà dall'elenco. Per selezionare più di una proprietà, fai clic su Aggiungi e seleziona un'altra proprietà dispositivo. 

Nota: per i dispositivi iOS, vengono rilevate solo le modifiche all'indirizzo Wi-Fi MAC.

Valore precedente Dispositivi in cui una proprietà dispositivo è stata modificata rispetto al valore che hai specificato.
Nuovo valore Dispositivi in cui una proprietà dispositivo è stata modificata in base al valore che hai specificato.
Supporto profilo di lavoro (solo Android)

Applica la regola quando un dispositivo Android inizia a supportare i profili di lavoro, ad esempio quando viene eseguito l'upgrade del sistema operativo e quindi il dispositivo è in grado di supportare i profili di lavoro.

Scegliere un'azione 

L'azione specifica cosa accade quando la regola rileva un evento. Puoi inviare un'email di notifica ai super amministratori, bloccare o approvare un dispositivo o cancellare i dati di un account aziendale dal dispositivo. Se non scegli un'azione, puoi vedere quali dispositivi hanno attivato una regola nel log di controllo regole. Per maggiori dettagli, vedi Visualizzare i dati relativi agli eventi rilevati.

Scegli una delle seguenti azioni: 

  • Invia email a super amministratore: invia un'email per informare i super amministratori che si è verificato un evento su un dispositivo mobile gestito. Il numero massimo di email inviate è di 25 in due ore.
  • Blocca dispositivo mobile: impedisce al dispositivo di sincronizzare i dati aziendali. 
  • Approva dispositivo mobile: consente al dispositivo di sincronizzare i dati aziendali. 
  • Cancella l'account aziendale dal dispositivo: cancella l'account aziendale dell'utente e i relativi dati dal dispositivo.

Visualizzare i dati relativi agli eventi rilevati

Puoi vedere i dati relativi agli eventi rilevati sui dispositivi mobili nel Controllo regole. 

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Regole.

    Per visualizzare Regole potrebbe essere necessario fare clic su Altri controlli in fondo alla pagina. 

  3. In alto, fai clic su Controllo.
  4. Per modificare i criteri visualizzati, fai clic su Seleziona colonne Seleziona colonne. (facoltativo) Le modifiche vengono salvate automaticamente e saranno disponibili all'accesso successivo.
  5. Per configurare la tabella in modo che mostri solo determinati elementi, utilizza la sezione Filtri, a sinistra:
    • Nome regola: l'evento rilevato.
    • Nome elemento segnalato: il nome del dispositivo su cui è stato rilevato l'evento.
    • Identificatore elemento segnalato: l'ID del dispositivo.
    • Proprietario dell'elemento: l'indirizzo email dell'utente registrato del dispositivo su cui è stato rilevato l'evento.
    • Intervallo di data e ora: la data di inizio e di fine e l'ora in base a cui elencare gli eventi. Ogni voce del log è associata a un singolo evento.
  6. Per esportare i dati del rapporto direttamente in un file di Fogli Google su Google Drive o per scaricare un file CSV con i dati del rapporto, fai clic su Scarica Scarica. Il file di Fogli esportato e il file CSV scaricato possono contenere 200.000 celle al massimo ciascuno. Il numero massimo di righe dipende dal numero di colonne selezionate. (facoltativo)
È stato utile?
Come possiamo migliorare l'articolo?