Автоматизация управления мобильными устройствами с помощью правил

Эта функция недоступна в бесплатной версии Cloud Identity.

Администратор может настроить правила, чтобы автоматизировать управление мобильными устройствами. Например, можно автоматически одобрять все регистрируемые устройства Android либо настроить действия, которые будут выполняться при определенных событиях на устройстве Android или iOS. Вы можете отправить администраторам оповещение по электронной почте, заблокировать устройство, одобрить его или удалить с него корпоративный аккаунт.

Если вы переходите с Cloud Identity Premium на бесплатную версию Cloud Identity, запись событий в журнал аудита прекращается, но у администраторов сохраняется доступ к уже имеющимся в нем данным.

Подготовка

  • Чтобы настроить правила управления устройствами в консоли администратора Google, требуются права суперадминистратора. Подробнее…
  • Настроенные вами правила будут применяться, только если в вашей организации используется система управления мобильными устройствами. Подробнее…

Как это работает

Любое правило, используемое для управления мобильными устройствами, основано на событии, которое может произойти на устройстве. При обнаружении такого события проверяются указанные вами условия. Если событие соответствует им, выполняется заданное действие.

В частности, администраторам можно отправлять оповещения, когда на устройстве Android меняется статус регистрации аккаунта, например пользователь удаляет с устройства свой корпоративный аккаунт. В этом примере:

  • событие – это изменение статуса регистрации аккаунта на устройстве Android;
  • условие – это удаление аккаунта пользователя с устройства;
  • действие – это оповещение администраторов.

Вы можете создать собственные правила или использовать шаблон. Правила могут распространяться на весь домен, выбранное организационное подразделение или группу в Google Группах. Вы также можете исключить определенную группу из области действия правила. 

Создание и редактирование правил

Как создать правило управления устройствами

Вы можете взять за основу и настроить один из стандартных шаблонов или создать собственное правило на базе пустого шаблона.

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Правила.

    Если значка "Правила" нет, нажмите Добавить элементы управления в нижней части страницы. 

  3. Нажмите на значок "Добавить" Добавить.
  4. Прокрутите страницу до раздела Управление устройствами и выберите один из вариантов: 
    • Пустой шаблон, чтобы создать собственное правило.
    • Стандартный шаблон из списка. Подробнее… 
  5. Измените название и описание правила.
  6. Нажмите Условия
  7. При необходимости в разделе Пользователи выберите организационное подразделение или группу, к которым будет применяться правило, либо исключите определенную группу из области его действия. Для добавления условий используйте кнопку Добавить. Правило применяется ко всем пользователям организации верхнего уровня.
  8. В разделе Фильтры выполните следующие действия:
    • Выберите тип устройств (Android, iOS или все), к которым будет применяться правило.
    • Выберите событие, при котором будет срабатывать правило. 
    • При необходимости выберите дополнительные условия, которым должно соответствовать событие. Для добавления условий используйте кнопку Добавить.
    Подробнее о выборе события и условий
  9. Нажмите Готово
  10. Нажмите Действия и укажите, что должно произойти на устройстве при выполнении указанных выше условий. Подробнее о выборе действия
  11. Нажмите Готово
  12. Выберите один из следующих вариантов: 
    • Чтобы создать и включить правило, нажмите Создать и активировать
    • Чтобы создать правило, но пока не включать его, нажмите Создать. Когда придет время активировать правило, выберите его в списке и нажмите на значок Activate rules в верхней части страницы.
Как изменить правило управления устройствами
  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Правила.

    Если значка "Правила" нет, нажмите Добавить элементы управления в нижней части страницы. 

  3. В верхней части страницы выберите Управление, чтобы открыть список правил.
  4. Выберите правило, которое хотите изменить.
  5. В разделе Условия выберите нужные параметры и нажмите Готово. Подробнее о выборе события и условий
  6. В разделе Действия выберите соответствующие параметры и нажмите Готово. Подробнее о выборе действия
  7. Выберите один из следующих вариантов: 
    • Чтобы сохранить изменения и сразу активировать их, нажмите Сохранить и активировать.
    • Если действие правила приостановлено и вы пока не хотите его активировать, нажмите Сохранить

Использование шаблонов

Вы можете использовать шаблоны с уже заданными условиями и действиями, которые можно менять в зависимости от потребностей. Например, если вы хотите одобрять все устройства iOS автоматически, а устройства Android – вручную, воспользуйтесь шаблоном Автоматическое одобрение регистрации устройства и измените тип устройства на iOS. 

Блокировать аккаунт после нескольких неудачных попыток разблокировать устройство

Это правило блокирует устройство Android после шестой неудачной попытки разблокировки. В результате синхронизация корпоративных данных с устройством прекращается, а суперадминистраторы получают уведомление по электронной почте.

Удалять данные аккаунта при подозрительных действиях

Это правило удаляет корпоративные данные с устройства Android или iOS при обнаружении подозрительной активности. На устройствах iOS аккаунт удаляется, если регистрируется изменение MAC-адреса в сети Wi-Fi. 

С устройств Android данные удаляются, когда меняется значение любого из следующих свойств:

  • Модель устройства
  • Серийный номер
  • MAC-адрес Wi-Fi
  • Права приложения Device Policy
  • Производитель
  • Бренд устройства
  • Аппаратное обеспечение

Если владельцем устройства Android является компания, при сбросе настроек с него удаляются все данные. Если же устройство принадлежит сотруднику, удаляются только данные рабочего профиля, а личная информация остается без изменений. 

Суперадминистраторы получают уведомление по электронной почте.

Автоматическое одобрение регистрации устройства

Это правило автоматически одобряет все регистрируемые пользователями устройства Android и iOS. Корпоративные данные синхронизируются с устройством, как только пользователь входит в аккаунт. Ждать, пока администратор одобрит устройство, не потребуется. Администраторы не получают уведомлений об одобрении устройств. 

Как выбрать пользователей, к которым применяется правило

Правило можно применить к пользователям из определенного организационного подразделения или группы в Google Группах. Например, можно автоматически одобрять все устройства, которые регистрируют пользователи в управляемой группе. Вы также можете исключить из области действия правила пользователей определенной группы. Выберите один из вариантов ниже. 

  • Применить к организационному подразделению: правило применяется к пользователям организации, которую вы выбираете в раскрывающемся списке. 
  • Применить к группе: правило применяется к пользователям в группе. При этом необходимо ввести ее точное название.
  • Исключенная группа: действие правила не распространяется на пользователей в указанной группе. При этом необходимо ввести ее точное название. Правило применяется ко всем пользователям, кроме участников исключенной группы. 

Чтобы выбрать несколько организаций или групп, используйте кнопку Добавить. Чтобы удалить организацию или группу, нажмите на значок Х рядом с ней. Если не задать область действия правила, оно будет применяться ко всем пользователям организации верхнего уровня.

Как выбрать событие и условия (фильтры)

С помощью фильтров можно выбрать тип устройства (Android, iOS или все), событие и другие условия, которые будут запускать действие правила. Оно будет выполняться, только если событие произойдет на устройствах, соответствующих указанным условиям. 

Для каждого правила можно выбрать одно событие и несколько условий. К условиям относятся полный или частичный адрес электронной почты пользователя, идентификатор, серийный номер и модель устройства. Для разных событий также можно задать свои дополнительные условия. Чтобы применить к правилу несколько условий, используйте кнопку Добавить.

Изменение статуса регистрации аккаунта

Правило срабатывает, если меняется статус регистрации аккаунта на устройстве в домене. Это происходит, когда:

  • пользователь добавляет корпоративный аккаунт на новое устройство; 
  • пользователь удаляет корпоративный аккаунт с управляемого устройства;
  • регистрируются изменения в правах приложения Device Policy на устройстве. 

По умолчанию правило срабатывает, когда происходит любое из этих событий. Чтобы правило применялось только при определенных условиях, используйте описанные ниже параметры.  

Условие Область действия правила
Статус аккаунта

Устройства, на которых изменен статус пользовательского аккаунта. Выберите один из следующих вариантов: 

  • Выполнена регистрация: правило применяется при добавлении аккаунта на устройство.
  • Отменена регистрация: правило применяется при удалении аккаунта с управляемого устройства. 
Права приложения Device Policy

Выберите один из следующих вариантов: 

  • С правами администратора устройства: правило применяется к личным устройствам, на которых настроен управляемый аккаунт.
  • С правами рабочего профиля: правило применяется к личным устройствам, на которых настроен рабочий профиль.
  • С правами владельца устройства: правило применяется к устройствам, владельцем которых считается компания. 
Изменение приложения, установленного на устройстве

Правило применяется, когда пользователь устанавливает, удаляет или обновляет приложение на устройстве. Для личных устройств Android, на которых не настроен рабочий профиль, необходимо включить параметр Аудит приложений. На устройствах iOS фиксируются только изменения управляемых приложений, установленных с помощью Google Device Policy.

Чтобы правило применялось только при определенных условиях, используйте описанные ниже параметры.

Событие Область действия правила
Идентификатор приложения

Устройства, на которых обнаружены изменения в указанных вами приложениях. Выберите один из следующих вариантов: 

  • Содержит: введите частичный идентификатор приложения.
  • Равно: введите полный идентификатор приложения.
Новое значение Устройства, на которых номер версии приложения изменился на выбранное вами значение. Укажите новый номер версии приложения, например 50.0.2645.0.
Статус приложения 

Устройства, на которых статус приложения изменился на заданное вами значение. Выберите один из следующих вариантов:

  • Установлено
  • Удалено
  • Обновлено
Хеш приложения Устройства, на которых установлено приложение с заданным хешем. Укажите хеш (SHA-256) пакета приложения.
Статус соответствия устройства (только для Android)

Правило срабатывает, когда устройство перестает соответствовать правилам вашей организации (например, пользователь изменил пароль доступа к своему устройству, и оно больше не соответствует правилам использования паролей). Подробнее о статусе соответствия устройства

Чтобы правило применялось только при определенных условиях, используйте описанные ниже параметры.

Условие Область действия правила
Статус соответствия устройства

Устройства, статус соответствия которых изменился. Выберите один из следующих вариантов:  

  • Соответствует заданным правилам: правило применяется, когда устройство начинает соответствовать правилам организации. 
  • Не соответствует заданным правилам, поскольку: нажмите Добавить и укажите условие "Причина отключения мобильного устройства".
Причина отключения мобильного устройства  Устройства, которые перестают соответствовать правилам вашей организации по выбранной вами причине. Вы можете выбрать следующие причины:
 
  • На устройстве нарушаются правила использования паролей
  • Устройство не зашифровано
  • На устройстве не установлена последняя версия Device Policy
  • Устройство взломано
  • На устройстве включена камера
  • На устройстве включены виджеты для заблокированного экрана
  • На устройстве не создан рабочий профиль
  • Устройство находится не в режиме владельца
  • Устройство заблокировано администратором
  • На устройстве не включена синхронизация
  • На устройстве не установлено приложение Device Policy
  • В течение последних 24 часов устройство не синхронизировалось
Взлом устройства (только для Android)

Правило применяется, когда устройство Android взламывается или перестает быть взломанным. Устройство Android считается взломанным, если к нему был разрешен root-доступ, то есть были отключены установленные ограничения. Взлом устройства может указывать на угрозу безопасности. 

Чтобы правило применялось только при определенных условиях, используйте указанный ниже параметр.

Условие Область действия правила
Подверженность взлому

Устройства, у которых изменился статус взлома. Выберите один из следующих вариантов: 

  • Взломано: правило применяется ко взломанным устройствам. 
  • Больше не является взломанным: правило применяется к устройствам, которые были взломаны, но более не являются таковыми.  
Обновление ОС устройства

Правило срабатывает, когда меняются свойства ОС устройства. На устройствах Android к таким свойствам относятся версия ОС, номер сборки, версия ядра, прошивка модуля связи, исправление для системы безопасности и версия загрузчика операционной системы, а на устройствах iOS – только версия и номер сборки ОС. Такое правило срабатывает, например, когда пользователь обновляет ОС или устанавливает исправление для системы безопасности.

Чтобы правило применялось только при определенных условиях, используйте описанные ниже параметры.

Условие Область действия правила
Старое значение Устройства, на которых изменилось указанное вами значение свойства ОС.      
Новое значение Устройство, на которых значение свойства ОС изменилось на указанное вами.
Свойство ОС

Устройства, на которых изменилось указанное вами свойство ОС. Выберите одно из следующих свойств: 

  • Версия ОС
  • Номер сборки
  • Версия ядра
  • Прошивка модуля связи устройства
  • Исправление безопасности для ОС
  • Версия загрузчика операционной системы на устройстве

Для устройств iOS можно выбрать только версию ОС и номер сборки. 

Владелец устройства (только для Android)

Правило срабатывает, когда право собственности на устройство меняется с личного на корпоративное или наоборот.

Чтобы правило применялось только при определенных условиях, используйте указанный ниже параметр.

Условие Область действия правила
Владелец устройства

Устройства, для которых изменился статус собственности. Выберите один из следующих вариантов: 

  • Компания: правило применяется к устройствам, которые перешли в собственность компании. 
  • Личное: правило применяется к устройствам, которые перешли из корпоративной собственности в личную. 
Изменение настроек устройства (только для Android)

Правило срабатывает, когда меняются настройки устройства Android, такие как "Отладка по USB", "Установка приложений из неизвестных источников", "Режим разработчика" или "Проверка приложений".  

Чтобы правило применялось только при изменении определенных настроек, используйте описанные ниже параметры.

Условие Область действия правила
Старое значение Устройства, на которых изменилось указанное вами значение параметра.
Новое значение Устройства, на которых значение параметра изменилось на указанное вами.
Параметр устройства Устройства, на которых изменился указанный вами параметр. Доступны следующие параметры: 
  • Режим разработчика
  • Установка приложений из неизвестных источников
  • Отладка по USB
  • Проверка приложений 
Неудачные попытки разблокировки экрана (только для Android)

Правило применяется к устройству, на котором зарегистрированы неудачные попытки разблокировки. По умолчанию оно срабатывает, когда таких попыток более пяти.

Чтобы изменить количество неудачных попыток до срабатывания правила, используйте указанный ниже параметр.

Условие Область действия правила
Неудачные попытки разблокировки экрана

Устройства, на которых зарегистрированы неудачные попытки разблокировки. Чтобы задать допустимое количество попыток, выберите соответствующий вариант и укажите значение:

  • > (больше)
  • >= (больше или равно)
Подозрительные действия

Правило срабатывает, если на управляемых мобильных устройствах в домене регистрируются подозрительные действия, например меняется модель устройства, хотя устройство остается прежним. 

Для устройств Android регистрируются изменения следующих свойств: 

  • Модель устройства
  • Серийный номер
  • MAC-адрес Wi-Fi
  • Права приложения Device Policy
  • Производитель
  • Бренд устройства
  • Аппаратное обеспечение
  • Версия загрузчика

Для устройств iOS отслеживаются только изменения MAC-адреса в сети Wi-Fi.

Чтобы правило применялось только при определенных условиях, используйте описанные ниже параметры.

Условие Область действия правила
Свойство устройства

Устройства, для которых изменились указанные вами свойства. Выберите свойство из списка. Чтобы задать несколько свойств, используйте кнопку "Добавить". 

Примечание. Для устройств iOS регистрируются только изменения MAC-адреса в сети Wi-Fi.

Старое значение Устройства, на которых изменилось указанное вами значение свойства.
Новое значение Устройства, на которых значение свойства изменилось на указанное вами.
Поддержка рабочего профиля (только для Android)

Правило применяется, когда устройство Android начинает поддерживать рабочие профили, например после обновления версии ОС.

Выбор действия 

Действие описывает результат применения правила при обнаружении события. Можно отправить администраторам уведомление по электронной почте, заблокировать устройство, одобрить его или удалить с него корпоративный аккаунт. Если действие не выбрано, устройства, для которых срабатывает правило, будут регистрироваться в журнале аудита правил. Подробнее…

Выберите одно из следующих действий: 

  • Оповестить суперадминистраторов по электронной почте об обнаружении события на управляемом мобильном устройстве. Максимальное количество писем – 25 в течение 2 часов.
  • Блокировать мобильное устройство, чтобы прекратить синхронизацию корпоративных данных с ним. 
  • Одобрить мобильное устройство, чтобы разрешить синхронизацию корпоративных данных с ним. 
  • Удалить корпоративный аккаунт с мобильного устройства, чтобы стереть рабочий аккаунт и связанные с ним данные.

Как посмотреть сведения об обнаруженных событиях

Данные о событиях, обнаруженных на мобильных устройствах, можно посмотреть в журнале аудита правил. 

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Правила.

    Если значка "Правила" нет, нажмите Добавить элементы управления в нижней части страницы. 

  3. В верхней части страницы нажмите Аудит.
  4. Чтобы выбрать другие столбцы, нажмите на значок Выбрать столбцы. Изменения сохраняются автоматически и отражаются при следующем входе.
  5. Чтобы отфильтровать данные в таблице, используйте раздел Фильтры в левой части страницы:
    • Название правила – обнаруженное событие.
    • Название помеченного элемента – название устройства, на котором было зарегистрировано событие.
    • Идентификатор помеченного элемента – идентификатор устройства.
    • Владелец объекта – адрес электронной почты зарегистрированного пользователя устройства, на котором зафиксировано событие.
    • Временной диапазон – начало и конец периода, показанного в журнале. Каждая запись в журнале связана с одним событием.
  6. Чтобы экспортировать данные отчета в таблицу Google или CSV-файл, нажмите на значок Скачать. Файл Google Таблиц и CSV-файл могут содержать до 200 000 ячеек. Максимальное количество строк зависит от числа выбранных столбцов.
Эта информация оказалась полезной?
Как можно улучшить эту статью?