Ta funkcja jest dostępna w Cloud Identity Premium. Porównanie wersji
Jako administrator możesz definiować reguły automatyzacji zadań związanych z zarządzaniem urządzeniami i otrzymywać alerty dotyczące zabezpieczeń. Możesz na przykład automatycznie blokować urządzenia, które zgłaszają podejrzaną aktywność.
Możesz stosować reguły zarządzania urządzeniami do obsługiwanych urządzeń mobilnych.
Uwaga: aby zatwierdzać urządzenia mobilne za pomocą reguł, muszą być one objęte zaawansowanymi funkcjami zarządzania urządzeniami mobilnymi. W razie potrzeby włącz zaawansowane funkcje zarządzania urządzeniami mobilnymi.
Działanie reguł
Reguła zarządzania urządzeniami jest wywoływana przez zdarzenie na zarządzanym urządzeniu. Jeśli takie zdarzenie zostanie wykryte, reguła sprawdza ustawione warunki. W przypadku spełnienia warunków wykonywana jest wybrana czynność.
Możesz na przykład zablokować urządzenie z Androidem po zmianie stanu rejestracji konta, gdy użytkownik wyrejestruje swoje konto firmowe z tego urządzenia. W tym przykładzie:
- zdarzenie to zmiana stanu rejestracji konta na urządzeniu;
- pierwszym warunkiem jest to, by urządzenie miało typ Android;
- drugim warunkiem jest wyrejestrowanie konta z urządzenia przez użytkownika (stan konta to Wyrejestrowane z urządzenia);
- działanie polega na blokowaniu urządzenia.
Możesz tworzyć własne reguły oraz używać wstępnie zdefiniowanych szablonów. Regułę możesz zastosować w całej organizacji, wybranych jednostkach organizacyjnych lub określonych grupach utworzonych w Grupach dyskusyjnych Google. Możesz też wykluczyć grupę.
Uwaga: reguły zarządzania urządzeniami umożliwiają Ci zatwierdzanie, blokowanie lub czyszczenie pamięci urządzenia w odpowiedzi na określone zdarzenie. Aby kontrolować dostęp do aplikacji Google na urządzeniach na podstawie takich atrybutów jak wersja systemu operacyjnego, stan zabezpieczeń, adres IP, lokalizacja geograficzna czy własność, możesz używać poziomów dostępu zależnego od kontekstu. Więcej informacji
Tworzenie i edytowanie reguł
Aby wykonać te czynności, musisz zalogować się na konto superadministratora.
Tworzenie reguły zarządzania urządzeniami-
Zaloguj się w: konsoli administracyjnej Google.
Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).
-
W konsoli administracyjnej otwórz Menu Reguły.
- Kliknij Reguły zarządzania urządzeniami.
- Kliknij Dodaj regułę i wybierz opcję:
- Aby użyć szablonu reguły, kliknij Reguła z szablonu i kliknij szablon. Aby dowiedzieć się więcej, zobacz Używanie szablonów reguł.
- Aby utworzyć własną regułę, kliknij Nowa reguła.
- Wpisz lub edytuj tytuł i opis reguły.
- Wybierz, kogo ma obowiązywać reguła. Domyślnie reguła jest stosowana do wszystkich użytkowników w organizacji.
- Aby zastosować regułę tylko do wybranych użytkowników, kliknij Określ jednostki organizacyjne lub grupy i wybierz jednostki organizacyjne i grupy, które chcesz uwzględnić.
- Aby wykluczyć użytkowników z określonych grup, najpierw wybierz co najmniej jedną jednostkę organizacyjną lub grupę do uwzględnienia. Potem kliknij Wyklucz grupy i wybierz grupę, którą chcesz wykluczyć. Jeśli chcesz wykluczyć więcej grup, powtórz te czynności.
Jeśli na przykład chcesz zastosować regułę do wszystkich osób w organizacji z pominięciem członków jednej grupy, uwzględnij jednostkę organizacyjną najwyższego poziomu i wyklucz daną grupę.
Aby usunąć jednostkę organizacyjną lub grupę, kliknij obok niej Wyczyść .
- Kliknij Dalej.
- W razie potrzeby wybierz zdarzenie wyzwalające regułę. Aby dowiedzieć się więcej, zobacz Wybieranie wyzwalacza i warunków.
- Kliknij Dodaj warunek i ustaw warunek typu urządzenia:
- Kliknij Pole i wybierz Typ urządzenia.
- Kliknij Wartość i wybierz typ urządzenia: Wszystkie urządzenia, Android lub iOS. Niektóre opcje typów urządzeń mogą być niedostępne, ponieważ niektóre zdarzenia są obsługiwane tylko w przypadku określonych typów.
Uwaga: zanim przejdziesz do następnego kroku, musisz wybrać warunek typu urządzenia.
- (Opcjonalnie) Kliknij Dodaj warunek i skonfiguruj więcej warunków. Aby reguła została zastosowana, urządzenie musi spełniać wszystkie warunki.
- Kliknij Dalej.
- W razie potrzeby wybierz działanie, które ma zostać wykonane po spełnieniu warunków reguły. Nie wszystkie działania są dostępne dla wszystkich zdarzeń.
- Zablokuj urządzenie mobilne – zatrzymuje synchronizację firmowych danych na urządzeniu.
- Zatwierdź urządzenie mobilne – (tylko zaawansowane funkcje zarządzania urządzeniami mobilnymi) umożliwia synchronizację firmowych danych na urządzeniu.
- Wyczyść dane – usuwa z urządzenia konto firmowe użytkownika wraz z powiązanymi danymi. Dowiedz się więcej o czyszczeniu danych na kontach.
- Brak działania – na urządzeniu nie jest wykonywane żadne działanie. Możesz użyć tej opcji, jeśli chcesz tylko otrzymać powiadomienie o wystąpieniu zdarzenia (dokładniejszy opis znajdziesz w kolejnych krokach).
- (Opcjonalnie) Aby wysłać e-maile z powiadomieniami do wszystkich superadministratorów, zaznacz pole Wyślij do Centrum alertów, a następnie zaznacz pole Wszyscy superadministratorzy. Uwaga: powiadomienia z Centrum alertów nie są jeszcze obsługiwane, jednak muszą być włączone, aby e-maile do superadministratorów mogły zostać wysłane.
- Kliknij Dalej.
- Sprawdź ustawienia reguły. Jeśli są prawidłowe, kliknij Zakończ. W przeciwnym razie kliknij Wstecz, aby edytować regułę.
- W wyświetlonym oknie wybierz opcję:
- Aby utworzyć regułę i od razu ją włączyć, kliknij Aktywna.
- Aby utworzyć regułę i włączyć ją później, kliknij Nieaktywna.
- Kliknij Zakończ.
- Aby włączyć nieaktywną regułę, kliknij ją na liście reguł. Po lewej stronie kliknij menu i wybierz Aktywna.
-
Zaloguj się w: konsoli administracyjnej Google.
Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).
-
W konsoli administracyjnej otwórz Menu Reguły.
- Kliknij Reguły zarządzania urządzeniami.
- Kliknij regułę, którą chcesz edytować.
- Kliknij sekcję, którą chcesz edytować, i wprowadź zmiany. Kliknij Dalej, by przejść do strony sprawdzania.
- Sprawdź ustawienia reguły. Jeśli są prawidłowe, kliknij Zakończ. W przeciwnym razie kliknij Wstecz, aby edytować regułę.
- W wyświetlonym oknie wybierz, czy reguła ma być aktywna czy nieaktywna.
- Kliknij Zakończ.
Używanie szablonów reguł
Szablony reguł są skonfigurowane pod kątem typowych warunków i działań. Możesz wybrać szablon jako punkt wyjścia i dostosować go do potrzeb organizacji. Aby na przykład automatycznie zatwierdzać iPhone'y i iPady, ale ręcznie zatwierdzać urządzenia z Androidem, użyj szablonu Automatycznie zatwierdzaj rejestrację urządzeń i zmień typ urządzeń na iOS.
Zablokuj konto po kilku nieudanych próbach odblokowania urządzenia (tylko Android)Ta reguła blokuje urządzenie z Androidem, jeśli wystąpi ponad 5 nieudanych prób odblokowania. Reguła blokuje synchronizację danych służbowych lub szkolnych z urządzeniem.
Aby wysłać e-maile z powiadomieniami do wszystkich superadministratorów, zaznacz pole Wyślij do Centrum alertów, a następnie zaznacz pole Wszyscy superadministratorzy. Uwaga: powiadomienia z Centrum alertów nie są jeszcze obsługiwane, jednak muszą być włączone, aby e-maile do superadministratorów mogły zostać wysłane.
Ta reguła usuwa dane firmowe z urządzenia z Androidem, iPhone'a lub iPada po wykryciu podejrzanej aktywności.
Na iPhonie lub iPadzie konto jest usuwane, jeśli adres MAC sieci Wi-Fi zostanie zmieniony.
W przypadku urządzenia z Androidem jego pamięć zostanie wyczyszczona, jeśli zostanie zmieniona dowolna z tych właściwości:
- Wersja programu rozruchowego
- Marka urządzenia
- Hardware urządzenia
- Producent
- Model urządzenia
- Uprawnienia aplikacji Device Policy
- Numer IMEI
- Numer MEID
- Numer seryjny
- Adres MAC sieci Wi-Fi
W przypadku urządzeń z Androidem należących do firmy i urządzeń osobistych, które zostały skonfigurowane tylko jako służbowe, pamięć jest czyszczona ze wszystkich danych i są przywracane ustawienia fabryczne. Na urządzeniach osobistych z profilem służbowym czyszczony jest tylko ten profil, a prywatne dane pozostają bez zmian.
Więcej informacji o usuwaniu konta i danych z urządzenia znajdziesz w artykule Usuwanie danych firmowych z urządzenia.
Aby wysłać e-maile z powiadomieniami do wszystkich superadministratorów, zaznacz pole Wyślij do Centrum alertów, a następnie zaznacz pole Wszyscy superadministratorzy. Uwaga: powiadomienia z Centrum alertów nie są jeszcze obsługiwane, jednak muszą być włączone, aby e-maile do superadministratorów mogły zostać wysłane.
Automatycznie zatwierdza wszystkie obsługiwane urządzenia, gdy użytkownik zarejestruje je w funkcjach zarządzania. Dane firmowe zostaną zsynchronizowane z urządzeniem, gdy użytkownik zaloguje się na nim na swoje konto.
Aby wysłać e-maile z powiadomieniami do wszystkich superadministratorów, zaznacz pole Wyślij do Centrum alertów, a następnie zaznacz pole Wszyscy superadministratorzy. Uwaga: powiadomienia z Centrum alertów nie są jeszcze obsługiwane, jednak muszą być włączone, aby e-maile do superadministratorów mogły zostać wysłane.
Wybieranie wyzwalacza i warunków
Wybierz zdarzenie, które ma wyzwalać tę regułę. Za pomocą warunków wybierz typ urządzenia (Android, iOS lub wszystkie) i inne warunki, które określają, czy reguła ma zastosowanie do urządzenia. Działanie określone w regule jest wykonywane na urządzeniach spełniających ustalone warunki, tylko jeśli wystąpi odpowiednie zdarzenie.
W każdej regule możesz ustawić kilka warunków, ale tylko jedno zdarzenie. Musisz ustawić warunek typu urządzenia. Każdą regułę możesz ograniczyć do konkretnych urządzeń według ich identyfikatorów, numerów seryjnych, modeli lub wartości zależnych od warunków. Aby zastosować w regule więcej niż jeden warunek, kliknij Dodaj warunek.
Otwórz wszystko | Zamknij wszystko
Zmiana rejestracji kontaReguła jest wyzwalana, gdy zmieni się stan rejestracji konta na urządzeniu w organizacji. Taka zmiana może wystąpić, gdy:
- użytkownik doda zarządzane konto służbowe lub szkolne na nowym urządzeniu,
- użytkownik wyrejestruje zarządzane konto służbowe lub szkolne z zarządzanego urządzenia,
- zmienią się uprawnienia zarządzania używane przez organizację na urządzeniu z Androidem.
Domyślnie reguła jest wyzwalana, gdy zostanie wykryte dowolne z tych zdarzeń.
Aby zastosować regułę tylko do określonych urządzeń, możesz ustawić warunki na podstawie właściwości urządzenia i te opcje dotyczące konkretnych zdarzeń:
Warunek | Wartości |
---|---|
Stan konta |
Wybierz typ zmiany rejestracji:
|
Uprawnienia aplikacji Device Policy |
Wybierz uprawnienia zarządzania używane przez organizację na urządzeniu:
|
Reguła jest wyzwalana, gdy w przypadku użytkownika zmienią się uprawnienia dostępu do danych służbowych lub szkolnych. Takie zdarzenia obejmują:
- zatwierdzenie, zablokowanie lub wyczyszczenie pamięci urządzenia;
- wyczyszczenie zarządzanego konta, wylogowanie z niego przez administratora lub wyrejestrowanie konta.
Domyślnie reguła jest wyzwalana, gdy wystąpi dowolne zdarzenie związane z działaniem urządzenia.
Aby zastosować regułę tylko do określonych urządzeń, możesz ustawić warunki na podstawie właściwości urządzenia i te opcje dotyczące konkretnych zdarzeń:
Warunek | Wartości |
---|---|
Stan działania wykonanego na urządzeniu | Wybierz stan działania: Działanie odrzucone przez użytkownika, Anulowane, Wykonane, Niepowodzenie, Oczekujące, Wysłane na urządzenie lub Nieznany stan wykonania działania. |
Typ działania wykonanego na urządzeniu |
Wybierz działanie powiązane z wydarzeniem:
|
Aby na przykład zablokować urządzenie, gdy nie można wyczyścić na nim pamięci:
- Ustaw Typ działania wykonanego na urządzeniu na Czyszczenie pamięci urządzenia.
- Ustaw Stan działania wykonanego na urządzeniu na Niepowodzenie.
Reguła jest uruchamiana za każdym razem, gdy użytkownik zainstaluje, odinstaluje lub zaktualizuje aplikację na urządzeniu. W przypadku osobistych urządzeń z Androidem, na których nie skonfigurowano profilu służbowego, musi być włączone ustawienie Kontrola aplikacji. W przypadku iPhone'ów oraz iPadów wykrywane są tylko zmiany w zarządzanych aplikacjach zainstalowanych przy użyciu aplikacji Google Device Policy.
Aby zastosować regułę tylko do określonych urządzeń, możesz ustawić warunki na podstawie właściwości urządzenia i te opcje dotyczące konkretnych zdarzeń:
Warunek | Wartości |
---|---|
Identyfikator aplikacji |
Wpisz całość lub część identyfikatora aplikacji objętej zmianą. Aby na przykład zastosować regułę tylko w przypadku zmiany aplikacji mobilnej YouTube, wybierz Zawiera i wpisz youtube. |
Identyfikator SHA-256 aplikacji | Wpisz całość lub część identyfikatora SHA-256 pakietu aplikacji objętej zmianą. |
Stan aplikacji |
Wybierz zmieniony stan aplikacji:
|
Nowa wartość | Wpisz całość lub część zmienionego numeru wersji aplikacji. Jeśli na przykład chcesz uruchomić regułę po zaktualizowaniu aplikacji Chrome do dowolnej wersji 86, wybierz Zawiera i wpisz 86. |
Kategoria potencjalnie szkodliwej aplikacji |
Wybierz typ potencjalnie szkodliwej aplikacji:
|
Reguła jest wyzwalana, gdy urządzenie przestanie spełniać zasady obowiązujące w organizacji. Może się tak zdarzyć, jeśli na przykład użytkownik zmieni na urządzeniu hasło na takie, które nie spełnia zasad związanych z hasłami. Aby dowiedzieć się więcej, zobacz Stan zgodności urządzenia.
Aby zastosować regułę tylko do określonych urządzeń, możesz ustawić warunki na podstawie właściwości urządzenia i te opcje dotyczące konkretnych zdarzeń:
Warunek | Stosuje regułę na urządzeniach |
---|---|
Stan zgodności urządzenia z zasadami |
Urządzenia, których stan zgodności z zasadami uległ zmianie. Wybierz opcję:
|
Powód dezaktywacji urządzenia mobilnego | Wybierz powód, dla którego urządzenie nie jest zgodne:
|
Reguła jest wyzwalana, gdy urządzenie z Androidem zostanie przejęte lub przywrócone do normalnego stanu (nie będzie już przejęte). Urządzenie z Androidem jest przejęte, gdy zostało poddane rootowaniu, czyli procesowi, który wyłącza ograniczenia na tym urządzeniu. Obecność przejętych urządzeń to potencjalne zagrożenie bezpieczeństwa.
Aby zastosować regułę tylko do określonych urządzeń, możesz ustawić warunki na podstawie właściwości urządzenia i te opcje dotyczące konkretnych zdarzeń:
Warunek | Wartości |
---|---|
Zmiana stanu przejęcia urządzenia |
Wybierz zmieniony stan urządzenia:
|
Reguła jest wyzwalana po wprowadzeniu zmian w systemie operacyjnym urządzenia. Typy zmian systemu operacyjnego, które wywołują regułę, zależą od typu urządzenia:
- Android – zmiany wersji systemu operacyjnego, numeru kompilacji, wersji jądra, wersji pasma podstawowego, poprawki zabezpieczeń lub programu rozruchowego;
- iOS – obejmuje tylko zmiany wersji i kompilacji systemu operacyjnego. W ten sposób można na przykład zastosować regułę, gdy użytkownik zaktualizuje system operacyjny lub zainstaluje poprawkę zabezpieczeń.
Aby zastosować regułę tylko do określonych urządzeń, możesz ustawić warunki na podstawie właściwości urządzenia i te opcje dotyczące konkretnych zdarzeń:
Warunek | Wartości |
---|---|
Stara wartość | Wpisz kilka lub wszystkie wartości właściwości systemu operacyjnego przed zmianą. |
Nowa wartość | Wpisz kilka lub wszystkie wartości właściwości systemu operacyjnego zmienione na urządzeniu. |
Właściwość systemu operacyjnego |
Wybierz właściwość systemu operacyjnego, która wyzwala regułę po zmianie jej wartości:
W przypadku urządzeń z iOS wykrywane są tylko zmiany wersji systemu operacyjnego i numeru kompilacji. |
Reguła jest wyzwalana, gdy własność urządzenia zmieni się z osobistego na firmowe lub odwrotnie.
Aby zastosować regułę tylko do określonych urządzeń, możesz ustawić warunki na podstawie właściwości urządzenia i te opcje dotyczące konkretnych zdarzeń:
Warunek | Wartości |
---|---|
Własność urządzenia |
Wybierz stan własności urządzenia, który zaczął obowiązywać na urządzeniu po zmianie:
|
Wyzwala regułę, gdy ustawienia urządzenia z Androidem zostaną zmienione. Obejmuje to zmiany w ustawieniach Debugowanie USB, Nieznane źródła, Opcje programisty i Weryfikowanie aplikacji na urządzeniu.
Aby zastosować regułę tylko do określonych urządzeń, możesz ustawić warunki na podstawie właściwości urządzenia i te opcje dotyczące konkretnych zdarzeń:
Warunek | Wartości |
---|---|
Stara wartość | Wpisz część lub całość wartości ustawienia urządzenia, które zostało zmienione. |
Nowa wartość | Wpisz część lub całość wartości ustawienia urządzenia, które zaczęło obowiązywać po zmianie. |
Ustawienie urządzenia | Wybierz ustawienie urządzenia, które wyzwala regułę, gdy zmieni się jego wartość:
|
Reguła jest wyzwalana, gdy konto użytkownika zostanie zsynchronizowane na urządzeniu.
Aby zastosować regułę tylko do określonych urządzeń, możesz ustawić warunki na podstawie właściwości urządzenia i te opcje dotyczące konkretnych zdarzeń:
Warunek | Wartości |
---|---|
Data ostatniego zdarzenia kontroli synchronizacji |
Wpisz datę w formacie sygnatury czasowej systemu UNIX, np. 1606167154. Możesz wyzwalać regułę, kiedy ostatnia synchronizacja urządzenia miała miejsce po określonej dacie (wynosi więcej niż) lub w określonym dniu lub po nim (jest większe od lub równe). |
Reguła jest wyzwalana, gdy urządzenie osiągnie określoną liczbę nieudanych prób odblokowania. Domyślnie reguła jest wyzwalana po 5 nieudanych próbach odblokowania ekranu.
Aby zmienić dozwoloną liczbę nieudanych prób, użyj tej opcji:
Warunek | Wartości |
---|---|
Nieudane próby odblokowania ekranu |
Wybierz sposób zliczania nieudanych prób (Większe niż lub Większe od lub równe) i wpisz liczbę nieudanych prób. Jeśli na przykład wpiszesz 3 i wybierzesz Większe niż, reguła zostanie uruchomiona przy czwartej nieudanej próbie. Jeśli wpiszesz 3 i wybierzesz Większe od lub równe, reguła uruchomi się przy trzeciej nieudanej próbie. |
Reguła jest wyzwalana, gdy zmieni się właściwość na zarządzanym urządzeniu i nie będzie to właściwość, która zazwyczaj ulega zmianie – na przykład zmieni się model urządzenia, gdy urządzenie się nie zmieni.
Na urządzeniach z Androidem podejrzana aktywność obejmuje zmiany następujących właściwości urządzenia:
- Wersja programu rozruchowego
- Marka urządzenia
- Hardware urządzenia
- Producent
- Model urządzenia
- Uprawnienia aplikacji Device Policy
- Numer IMEI
- Numer MEID
- Numer seryjny
- Adres MAC sieci Wi-Fi
W przypadku iPhone'ów oraz iPadów uwzględniane są tylko zmiany adresu MAC sieci Wi-Fi.
Aby zastosować regułę tylko do określonych urządzeń, możesz ustawić warunki na podstawie właściwości urządzenia i te opcje dotyczące konkretnych zdarzeń:
Warunek | Wartości |
---|---|
Właściwość urządzenia |
Wybierz właściwość urządzenia, która wywołuje regułę po zmianie. Aby uwzględnić więcej niż jedną właściwość, wybierz odrębną regułę w przypadku każdej właściwości. Jeśli dodasz do reguły kilka właściwości, urządzenie musi zgłosić zmiany we wszystkich wybranych właściwościach. Uwaga: w przypadku urządzeń z iOS wykrywane są tylko zmiany adresu MAC sieci Wi-Fi |
Stara wartość | W przypadku urządzeń z Androidem wybierz uprawnienie zarządzania urządzeniami, które zostało zmienione. |
Nowa wartość | W przypadku urządzeń z Androidem wybierz uprawnienie zarządzania urządzeniami, które zaczęło obowiązywać po zmianie. |
Stosuje regułę, gdy urządzenie zacznie obsługiwać profile służbowe, na przykład wersja systemu operacyjnego zostanie uaktualniona do spełniającej wymagania takich profilów.
Wyświetlanie danych związanych z wykrytymi zdarzeniami
W dzienniku kontrolnym reguł możesz przeglądać dane o zdarzeniach na urządzeniach zarządzanych.
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
W konsoli administracyjnej otwórz Menu RaportowanieKontrola i analiza zagrożeńZdarzenia w dzienniku reguł.
- Aby sprawdzić działania związane z regułami zarządzania urządzeniami, kliknij Dodaj filtr Zarządzanie urządzeniami. Możesz też filtrować według innych właściwości zdarzeń, np. nazwy reguły lub konta właściciela urządzenia (użyj filtra Właściciel zasobu).
-
(Opcjonalnie) Aby określić, jakie dane mają być widoczne, po prawej stronie kliknij Zarządzaj kolumnami . Wybierz kolumny, które chcesz wyświetlić lub ukryć kliknij Zapisz.
- (Opcjonalnie) Aby wyeksportować dane raportu bezpośrednio do pliku Arkuszy Google na Dysku lub pobrać plik CSV z tymi danymi:
- Kliknij Pobierz .
- W sekcji Wybierz kolumny kliknij Obecnie zaznaczone kolumny lub Wszystkie kolumny.
- Wybierz format i kliknij Pobierz.
Oba typy plików pozwalają eksportować do 100 tys. wierszy danych.