使用规则让系统自动执行移动设备管理任务

Cloud Identity 专业版提供此功能。版本对比

作为管理员，您可以定义规则来让系统自动执行设备管理任务，并接收安全提醒。例如，如果有报告称某设备存在可疑活动，您可以自动屏蔽该设备。

您可以将设备管理规则应用于受支持的移动设备。

注意：如要批准应用了规则的移动设备，则相应设备必须通过高级移动设备管理服务进行管理。如有需要，请启用高级移动设备管理服务。

规则的运作方式

受管理设备上的事件会触发设备管理规则。当检测到该事件时，系统会检查是否满足规则中指定的条件。如果满足相应条件，系统即会采取相应操作。

例如，您可以在 Android 设备的帐号注册状态更改时（由于用户在设备上取消注册公司帐号）屏蔽该设备。在此示例中：

事件是设备的帐号注册状态更改。
第一个条件是设备类型为 Android。
第二个条件是用户在设备上取消注册帐号（帐号状态为已在以下设备上取消注册）。
操作是屏蔽设备。

您可以自行创建规则或使用预定义的模板。对于应用范围，您可以为整个单位、某个单位部门或 Google 网上论坛中的某个群组指定规则。您也可以排除某个群组。

注意：设备管理规则会根据特定事件让您批准，屏蔽或擦除相应设备。如要根据设备属性（例如操作系统版本、安全状态、IP 地址、地理位置或所有权）来控制对设备的 Google 应用的访问权限，您可以使用情境感知访问权限级别。了解详情

创建和修改规则

您必须以超级用户身份登录，才能执行此任务。

创建设备管理规则

登录您的 Google 管理控制台。
请使用拥有超级用户权限的帐号（不是以 @gmail.com 结尾）登录。
在管理控制台中，依次点击“菜单”图标规则。
点击设备管理规则。
点击添加规则，然后选择一个选项：
- 如要使用规则模板，请点击使用模板创建规则，然后点击相应模板。有关详情，请参阅使用规则模板。
- 如要创建您自己的规则，请点击新建规则。
输入或修改规则标题和说明。
选择规则的应用范围。默认情况下，该规则会应用于您单位中的所有用户。
- 如要仅将规则应用于选定的用户，请点击指定单位部门或群组，然后选择要包含的单位部门和群组。
- 如要排除特定群组中的用户，请先选择至少一个要包含的单位部门或群组。接下来，点击排除群组并选择要排除的群组。如要排除更多群组，请重复以上步骤。
举例来说，要将规则应用于单位中除某一群组以外的所有用户，请在范围中包含顶级单位部门并排除此豁免群组。

如要移除某个单位部门或群组，请点击相应对象旁边的“清除”图标。
点击继续。
如有必要，请选择触发规则的事件。有关详情，请参阅选择触发器和条件。
点击添加条件，然后设置设备类型条件：
1. 点击字段，然后选择设备类型。
2. 点击值，然后选择设备类型：所有设备、Android 或 iOS。部分设备类型选项可能无法使用，因为某些事件仅适用于特定类型的设备。
注意：您必须设置设备类型条件，然后才能执行下一步操作。
（可选）点击添加条件，然后设置更多条件。设备必须满足所有条件才能应用规则。
点击继续。
如有必要，请选择规则的条件得到满足时系统要执行的操作。部分操作不适用于某些事件。
- 屏蔽移动设备：阻止设备同步公司数据。
- 批准移动设备：允许设备同步公司数据（仅限高级移动设备管理服务）。
- 执行擦除：在设备上擦除用户的公司帐号以及相关数据。详细了解帐号擦除。
- 无操作：不对设备执行任何操作。如果您只想在事件发生时收到通知，则可以使用此选项（参见后续步骤）。
（可选）如要向所有超级用户发送电子邮件通知，请勾选发送至提醒中心复选框，然后选中所有超级用户复选框。注意：目前尚不支持提醒中心通知功能，但必须启用此功能，才能向超级用户发送电子邮件。
点击继续。
检查规则设置。如果正确无误，请点击完成。如果存在问题，请点击返回以修改规则。
在打开的对话框中，选择一个选项：
- 如要创建规则并立即启用，请点击活跃。
- 如要创建规则并稍后启用，请点击未启用。
点击完成。
如要启用规则，请在规则列表中点击相应规则。点击左侧的菜单，然后选择活跃。

修改现有设备管理规则

登录您的 Google 管理控制台。
请使用拥有超级用户权限的帐号（不是以 @gmail.com 结尾）登录。
在管理控制台中，依次点击“菜单”图标规则。
点击设备管理规则。
点击您要修改的规则。
点击要修改的部分，然后进行更改。根据需要点击继续以转到检查页面。
检查规则设置。如果正确无误，请点击完成。如果存在问题，请点击返回以修改规则。
在打开的对话框中，选择是否要启用规则。
点击完成。

使用规则模板

我们为常见的条件和操作设置了规则模板。您可以先使用模板，然后根据贵单位的需要对其进行更改。例如，如果您希望自动批准 iPhone 和 iPad，但手动批准 Android 设备，请使用自动批准设备注册模板并将设备类型更改为 iOS。

多次屏幕解锁失败时屏蔽帐号（仅限 Android）

当某台 Android 设备的解锁失败次数超过 5 次时，此规则会屏蔽该设备。此规则会阻止用户的单位数据或学校数据同步到该设备。

如要向所有超级用户发送电子邮件通知，请勾选发送至提醒中心复选框，然后选中所有超级用户复选框。注意：目前尚不支持提醒中心通知功能，但必须启用此功能，才能向超级用户发送电子邮件。

发生可疑活动时执行擦除操作

当系统检测到可疑活动时，此规则会从相应 Android 设备、iPhone 和 iPad 中移除公司数据。

对于 iPhone 和 iPad，如果设备的 Wi-Fi MAC 地址发生更改，系统就会擦除帐号。

对于 Android 设备，如果以下任一设备属性发生更改，系统就会擦除设备：

引导加载程序版本
设备品牌
设备硬件
制造商
设备型号
Device Policy 应用权限
IMEI 号
MEID 号
序列号
Wi-Fi MAC 地址

对于公司自有的 Android 设备和设为工作专用的个人设备，系统会擦除设备上的所有数据，并将设备恢复出厂设置。对于设置了工作资料的个人设备，系统只会擦除工作资料，个人数据将保持不变。

如要详细了解帐号和设备擦除的工作原理，请参阅移除设备中的公司数据。

自动批准设备注册

当用户注册设备以便进行管理时，系统会自动批准所有受支持的设备。用户使用自己的帐号登录后，公司数据就会同步到该设备上。

选择触发器和条件

选择触发该规则的事件。您可以使用条件选择设备类型（Android、iOS 或所有设备），还可以使用其他条件决定是否在设备上应用该规则。只有当满足指定条件的设备上发生相应事件时，系统才会执行规则指定的操作。

您可以为每个规则选择一个事件和多个条件。不过，您必须设置“设备类型”条件。对于所有规则，您还可以根据设备 ID、设备序列号、设备型号或条件专用值，将规则的适用范围限制为特定设备。如要对规则应用多个条件，请点击添加条件。

列出了某些触发器的操作系统版本条件，但当前不支持该条件。

展开所有部分 | 收起所有部分

帐号注册更改

当单位中设备的帐号注册状态发生更改时，就会触发规则。以下情形可能会导致注册状态更改：

用户在新设备上添加受管理的单位帐号或学校帐号。
用户从受管理的设备上取消注册其受管理的单位帐号或学校帐号。
贵组织对 Android 设备的管理权限发生变化。

默认情况下，当系统检测到以上任一事件时，就会触发规则。

如要将该规则仅应用于特定设备，您可以基于设备属性和下列事件特定选项设置条件：

条件	值
帐号状态	选择注册更改的类型：已在以下设备上注册：当帐号添加到设备时应用规则。已在以下设备上取消注册：当在受管理的设备上取消注册帐号时应用规则。
Device Policy 应用权限	选择贵单位在设备上拥有的管理权限：有设备管理员权限：将规则应用于在其个人空间中拥有受管理的帐号的个人设备。有工作资料权限：将规则应用于设置了工作资料的个人设备。有设备所有者权限：将规则应用于公司自有设备和设为“工作专用”的个人设备。

条件

值

帐号状态

选择注册更改的类型：

已在以下设备上注册：当帐号添加到设备时应用规则。
已在以下设备上取消注册：当在受管理的设备上取消注册帐号时应用规则。

Device Policy 应用权限

选择贵单位在设备上拥有的管理权限：

有设备管理员权限：将规则应用于在其个人空间中拥有受管理的帐号的个人设备。
有工作资料权限：将规则应用于设置了工作资料的个人设备。
有设备所有者权限：将规则应用于公司自有设备和设为“工作专用”的个人设备。

设备操作事件

当用户对单位或学校数据的访问权限发生变化时，就会触发规则。这些事件包括：

设备获得批准、遭到屏蔽或被擦除
受管理的帐号遭到擦除、被管理员退出或被取消注册

默认情况下，当任一设备操作事件发生时，就会触发规则。

如要将该规则仅应用于特定设备，您可以基于设备属性和下列事件特定选项设置条件：

条件	值
设备上所执行操作的状态	选择操作的状态：用户已拒绝操作、已取消、已执行、失败、待批准、已发送到设备或未知的操作执行状态。
设备上所执行操作的类型	选择与事件关联的操作：擦除帐号允许访问批准屏蔽收集错误报告擦除设备禁止访问定位设备锁定设备移除应用移除 iOS 配置文件重置 PIN 码撤消令牌让设备响铃退出当前用户同步设备取消注册未知

条件

值

设备上所执行操作的状态

选择操作的状态：用户已拒绝操作、已取消、已执行、失败、待批准、已发送到设备或未知的操作执行状态。

设备上所执行操作的类型

选择与事件关联的操作：

擦除帐号
允许访问
批准
屏蔽
收集错误报告
擦除设备
禁止访问
定位设备
锁定设备
移除应用
移除 iOS 配置文件
重置 PIN 码
撤消令牌
让设备响铃
退出当前用户
同步设备
取消注册
未知

例如，要在擦除设备失败时屏蔽相应设备，请执行以下操作：

将设备上所执行操作的类型设置为擦除设备。
将设备上所执行操作的状态设置为失败。

设备应用更改

当用户在其设备上安装、卸载或更新应用时，就会触发规则。对于没有工作资料的个人 Android 设备，请务必启用应用审核设置。对于 iPhone 和 iPad，系统只能检测到使用 Google Device Policy 应用安装的受管理应用发生的更改。

如要将该规则仅应用于特定设备，您可以基于设备属性和下列事件特定选项设置条件：

条件	值
应用 ID	输入发生更改的应用的完整或部分应用 ID。例如，要仅在 YouTube 移动应用发生更改时应用规则，请选择包含，然后输入 youtube。
应用 SHA-256	针对发生更改的应用，输入相应应用包的完整或部分 SHA-256 哈希。
应用状态	选择应用发生更改后所处的状态：已在以下设备上安装未被标记为可能有害已检测为可能有害已在以下设备上启动已从以下设备上删除已在以下设备上更新
新值	输入应用发生更改后的完整或部分版本号。例如，要在 Chrome 应用更新为任一 86 版本时触发规则，请选择包含，然后输入 86。
可能有害的应用类别	选择可能有害的应用类型：应用可能包含后门程序应用可能存在电话欺诈危险应用可能会收集数据应用可能包含拒绝服务攻击逻辑应用可能包含欺诈软件应用可能包含恶意软件应用可能包含有害网站应用可能包含恶意下载程序应用可能包含非 Android 系统的令牌，因此可能会对非 Android 系统造成威胁应用可能包含网上欺诈内容应用可能会擅自升级权限应用可能包含勒索软件应用可能会获取 Root 权限应用可能包含垃圾内容应用可能包含间谍软件应用可能存在话费欺诈危险应用可能含有跟踪逻辑应用可能包含特洛伊木马程序应用不太常见应用可能存在 WAP 欺诈危险应用可能包含基于 Windows 的恶意软件

设备法规遵从状态（仅限 Android 设备）

当设备变为不符合单位政策时，就会触发规则。例如：用户更改的设备密码不符合密码政策。有关详情，请参阅设备法规遵从状态。

如要将该规则仅应用于特定设备，您可以基于设备属性和下列事件特定选项设置条件：

条件	将规则应用于
设备法规遵从状态	法规遵从状态已更改的设备。选择一个选项：符合已设置的政策：当设备变为符合贵单位的政策时应用规则。不符合已设置的政策，因为设备：然后点击添加，并使用“停用移动设备的原因”这个条件。
停用移动设备的原因	选择设备不符合政策的原因：尚未限制无障碍服务管理员擦除了帐号已启用相机已破解已被管理员屏蔽安装了有害应用需要完成 Device Policy 应用验证不受支持需要屏幕锁定信息不是管理员允许的型号管理员擦除了设备未处于设备所有者模式未安装最新的 Device Policy 应用没有创建工作资料尚未限制输入法需要将一个或多个应用转换为受管理状态过去 24 小时内未同步已启用锁屏微件有多个受管理的帐号未遵守密码政策用户未授予重置设备密码的权限未启用同步功能

条件

将规则应用于

设备法规遵从状态

法规遵从状态已更改的设备。选择一个选项：

符合已设置的政策：当设备变为符合贵单位的政策时应用规则。
不符合已设置的政策，因为设备：然后点击添加，并使用“停用移动设备的原因”这个条件。

停用移动设备的原因

选择设备不符合政策的原因：

尚未限制无障碍服务
管理员擦除了帐号
已启用相机
已破解
已被管理员屏蔽
安装了有害应用
需要完成 Device Policy 应用验证
不受支持
需要屏幕锁定信息
不是管理员允许的型号
管理员擦除了设备
未处于设备所有者模式
未安装最新的 Device Policy 应用
没有创建工作资料
尚未限制输入法
需要将一个或多个应用转换为受管理状态
过去 24 小时内未同步
已启用锁屏微件
有多个受管理的帐号
未遵守密码政策
用户未授予重置设备密码的权限
未启用同步功能

设备破解（仅限 Android 设备）

当 Android 设备遭到破解或从破解状态恢复正常时，就会触发规则。用户获得 Root 权限（一种移除设备限制的操作）后，设备便处于破解状态。已破解的设备可能面临潜在的安全威胁。

如要将该规则仅应用于特定设备，您可以基于设备属性和下列事件特定选项设置条件：

条件	值
设备破解状态	选择将设备状态更改为：已破解：将规则应用于已遭到破解的设备。已不再处于破解状态：将规则应用于曾经被破解但现已不再处于破解状态的设备。

条件

值

设备破解状态

选择将设备状态更改为：

已破解：将规则应用于已遭到破解的设备。
已不再处于破解状态：将规则应用于曾经被破解但现已不再处于破解状态的设备。

设备操作系统更新

当设备的操作系统 (OS) 发生更改时，就会触发规则。触发规则的操作系统的更改类型取决于设备类型：

Android - 操作系统版本、版本号、内核版本、基带版本、安全补丁程序或引导加载程序版本的更改。
iOS - 仅限操作系统版本和版本号的更改。例如，用户更新了设备的操作系统，或者运行了最新的安全补丁程序。

如要将该规则仅应用于特定设备，您可以基于设备属性和下列事件特定选项设置条件：

条件	值
旧值	输入发生更改前设备的部分或完整操作系统属性值。
新值	输入发生更改后设备的部分或完整操作系统属性值。
操作系统属性	选择要在哪一操作系统属性的值发生更改时触发规则：操作系统版本版本号内核版本设备基带版本操作系统安全补丁程序设备引导加载程序版本对于 iOS 设备，仅支持操作系统版本和版本号。

条件

值

旧值

输入发生更改前设备的部分或完整操作系统属性值。

新值

输入发生更改后设备的部分或完整操作系统属性值。

操作系统属性

选择要在哪一操作系统属性的值发生更改时触发规则：

操作系统版本
版本号
内核版本
设备基带版本
操作系统安全补丁程序
设备引导加载程序版本

对于 iOS 设备，仅支持操作系统版本和版本号。

设备所有权（仅限 Android 设备）

当设备所有权从个人所有变为公司所有或从公司所有变为个人所有时，就会触发规则。

如要将该规则仅应用于特定设备，您可以基于设备属性和下列事件特定选项设置条件：

条件	值
设备的所有权	选择发生更改后设备的所有权状态：归公司所有：将规则应用于所有权已改为公司所有的设备。个人：将规则应用于所有权已改为个人所有的设备。

条件

值

设备的所有权

选择发生更改后设备的所有权状态：

归公司所有：将规则应用于所有权已改为公司所有的设备。
个人：将规则应用于所有权已改为个人所有的设备。

设备设置更改（仅限 Android 设备）

当 Android 设备的设备设置（例如 USB 调试、未知来源、开发者选项或验证应用）发生更改时，就会触发规则。

如要将该规则仅应用于特定设备，您可以基于设备属性和下列事件特定选项设置条件：

条件	值
旧值	输入发生更改前设备的部分或完整设备设置值。
新值	输入发生更改后设备的部分或完整设备设置值。
设备设置	选择要在哪一设备设置的值发生更改时触发规则：开发者选项未知来源 USB 调试验证应用

设备同步

当用户的帐号在设备上同步时，就会触发规则。

如要将该规则仅应用于特定设备，您可以基于设备属性和下列事件特定选项设置条件：

条件	值
上次同步审核事件的日期	以 UNIX 时间戳格式输入日期。示例：1606167154。您可以设置在以下时间点出发规则：设备上次同步日期在指定日期之后（大于），或在指定日期当天或之后（大于或等于）。

条件

值

上次同步审核事件的日期

以 UNIX 时间戳格式输入日期。示例：1606167154。

您可以设置在以下时间点出发规则：设备上次同步日期在指定日期之后（大于），或在指定日期当天或之后（大于或等于）。

屏幕解锁失败次数（仅限 Android 设备）

当设备解锁失败次数达到设定的值时，就会触发规则。默认情况下，当解锁失败次数超过 5 次时，系统就会应用规则。

如要更改在应用规则之前的失败次数上限，请使用此选项：

条件	值
屏幕解锁失败次数	选择尝试失败次数的计数方式（大于或大于或等于），然后输入指定的失败次数。例如，如果您输入 3 并选择大于，系统就会在第 4 次尝试失败时触发规则。如果您输入 3 并选择大于或等于，系统就会在第 3 次尝试失败时触发规则。

条件

值

屏幕解锁失败次数

选择尝试失败次数的计数方式（大于或大于或等于），然后输入指定的失败次数。

例如，如果您输入 3 并选择大于，系统就会在第 4 次尝试失败时触发规则。如果您输入 3 并选择大于或等于，系统就会在第 3 次尝试失败时触发规则。

可疑活动

当受管理设备上的某一设备属性发生更改，而该属性通常不会变化时，就会触发规则。例如，设备型号已更改，但设备未更改。

对于 Android 设备，可疑活动包括以下任一设备属性的更改：

引导加载程序版本
设备品牌
设备硬件
制造商
设备型号
Device Policy 应用权限
IMEI 号
MEID 号
序列号
Wi-Fi MAC 地址

对于 iPhone 和 iPad，可疑活动仅包括 Wi-Fi MAC 地址的更改。

如要将该规则仅应用于特定设备，您可以基于设备属性和下列事件特定选项设置条件：

条件	值
设备属性	选择要在哪一设备属性发生更改时触发规则。如要选择多个属性，请为各个属性分别创建规则。如果您在一条规则中添加了多个属性，那么设备必须报告全部所选属性发生的更改。注意：对于 iOS 设备，仅检测 Wi-Fi MAC 地址的更改。
旧值	对于 Android 设备，选择发生更改前设备的设备管理权限。
新值	对于 Android 设备，选择发生更改后设备的设备管理权限。

条件

值

设备属性

选择要在哪一设备属性发生更改时触发规则。如要选择多个属性，请为各个属性分别创建规则。如果您在一条规则中添加了多个属性，那么设备必须报告全部所选属性发生的更改。

注意：对于 iOS 设备，仅检测 Wi-Fi MAC 地址的更改。

旧值

对于 Android 设备，选择发生更改前设备的设备管理权限。

新值

对于 Android 设备，选择发生更改后设备的设备管理权限。

工作资料支持（仅限 Android 设备）

当 Android 设备开始支持工作资料时应用规则。例如：当操作系统版本升级后，设备现已支持工作资料。

查看检测到的事件相关的数据

您可以在“规则审核”中查看受管理设备上事件的相关数据。

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
在管理控制台中，依次点击“菜单”图标报告审核和调查规则日志事件。
如要查看与设备管理规则相关的操作，请依次点击添加过滤条件 设备管理。您还可以按其他事件特征过滤，例如规则名称或设备所有者帐号（按资源所有者过滤）。
（可选）要自定义系统显示的数据，请点击右侧的“管理列”图标。选择您希望显示或隐藏的列，并执行相应操作点击保存。
（可选）如要将报告数据直接导出为云端硬盘中的 Google 表格文件或以 CSV 文件格式下载报告数据，请执行以下操作：
1. 点击“下载”图标。
2. 在选择列下方，点击当前选择的列或所有列。
3. 选择格式，然后点击下载。
无论选择哪一种文件类型，您最多可以导出 10 万行数据。

该内容对您有帮助吗？

您有什么改进建议？