運用規則自動完成行動裝置管理作業

這項功能適用於 Cloud Identity 進階版。版本比較

管理員可以定義自動化規則，讓系統自動處理裝置管理作業及接收安全性快訊。舉例來說，如果裝置出現可疑活動的跡象，系統會自動封鎖該裝置。

您可以將裝置管理規則套用到支援的行動裝置。

注意：如要「核准」設有規則的行動裝置，裝置必須受進階行動管理服務所管理。如有需要，您可以開啟進階行動管理服務。

規則的運作方式

受管理裝置上的事件會觸發裝置管理規則。一旦偵測到對應的事件發生，規則就會檢查是否符合您指定的條件，並在符合條件時執行動作。

例如，當 Android 裝置的帳戶註冊狀態因為使用者取消註冊公司帳戶而改變時，您可以選擇封鎖裝置。在這個例子中：

事件是指裝置的帳戶註冊狀態改變。
第一個條件是裝置類型為 Android。
第二個條件是使用者在裝置上取消註冊帳戶 (帳戶狀態為「已在下列裝置上取消註冊」)。
動作則是封鎖裝置。

您可以自行建立規則或使用預先定義的範本。至於適用範圍，您可以將規則指派給整個機構、特定機構單位或 Google 網路論壇群組，也可以排除特定群組。

注意：裝置管理規則可讓您因應特定事件核准、封鎖裝置，或抹除相關資料。如要根據裝置屬性 (例如 OS 版本、安全性狀態、IP 位址、地理位置或擁有權) 來控管裝置的 Google 應用程式存取權，則可採用情境感知存取權的方式。瞭解詳情

建立及編輯規則

您必須以超級管理員的身分登入才能執行這項工作。

建立裝置管理規則

登入您的 Google 管理控制台。
使用具備超級管理員權限的帳戶 (結尾不是 @gmail.com) 登入。
在管理控制台中，依序點選「選單」圖示「規則」。
按一下 [裝置管理規則]。
按一下 [新增規則]，然後選擇下列任一做法：
- 如要使用規則範本，請按一下 [範本的規則]，然後點選範本。詳情請參閱使用規則範本。
- 如要自行建立規則，請按一下 [新增規則]。
輸入或編輯規則名稱和說明。
選擇要套用規則的對象。根據預設，規則會套用至機構中的所有人。
- 如果只要對特定使用者套用規則，請按一下 [指定機構單位或群組]，然後選取要套用規則的機構單位和群組。
- 如要排除特定群組的使用者，請先選取至少一個要套用規則的機構單位或群組，然後按一下 [排除群組] 並選取要排除的群組。如要排除其他群組，請重複執行此步驟。
舉例來說，如要將規則套用至機構中的所有使用者，但排除某個特定群組，請對頂層機構單位套用規則，然後排除這個例外的群組。

如要移除機構單位或群組，請點選旁邊的「清除」圖示。
按一下 [繼續]。
如有必要，您可以選取會觸發規則的事件。詳情請參閱選擇觸發條件。
按一下 [新增條件]，然後設定裝置類型條件：
1. 按一下 [欄位]，然後選取 [裝置類型]。
2. 按一下 [值]，然後選取裝置類型：[所有裝置]、[Android] 或 [iOS]。部分事件僅適用於特定裝置類型，因此某些選項可能不會顯示。
注意：您必須先設定裝置類型條件，才能進入下一個步驟。
(選用) 按一下 [新增條件]，然後設定其他條件。裝置必須符合「所有」條件，系統才會對裝置套用規則。
按一下 [繼續]。
如有必要，您可選取符合規則條件時要採取的動作。請注意，有些動作可能不適用於所有事件。
- 封鎖行動裝置：停止在裝置上同步處理公司資料。
- 核准行動裝置：(僅限進階行動管理服務) 允許裝置同步處理公司資料。
- 執行抹除作業：在裝置上抹除使用者的公司帳戶和相關資料。進一步瞭解帳戶抹除作業。
- 無動作：不對裝置採取任何行動。如果只想接收事件通知 (詳見下方的後續步驟)，請使用這個選項。
(選用) 如要傳送電子郵件通知給所有超級管理員，請依序勾選 [傳送到快訊中心] 方塊和 [所有超級管理員] 方塊。注意：快訊中心目前尚不支援通知功能，但您必須開啟這項功能，才能傳送電子郵件給超級管理員。
按一下 [繼續]。
檢查規則設定。如果設定正確無誤，請按一下 [完成]；否則，請按一下 [返回] 編輯規則。
在隨即開啟的對話方塊中，選擇下列任一做法：
- 如要立即啟用所建立的規則，請按一下 [啟用]。
- 如果想之後再啟用規則，請按一下 [停用]。
按一下 [完成]。
如要啟用已停用的規則，請在規則清單中按一下規則，然後按一下左側的選單，並選取 [啟用]。

編輯現有的裝置管理規則

登入您的 Google 管理控制台。
使用具備超級管理員權限的帳戶 (結尾不是 @gmail.com) 登入。
在管理控制台中，依序點選「選單」圖示「規則」。
按一下 [裝置管理規則]。
按一下要編輯的規則。
按一下您要編輯的部分，並進行所需變更。視需求點選 [繼續]，前往檢查頁面。
檢查規則設定。如果設定正確無誤，請按一下 [完成]；否則，請按一下 [返回] 編輯規則。
在隨即開啟的對話方塊中，選擇是否要啟用規則。
按一下 [完成]。

使用規則範本

我們針對常見的條件和動作設定了規則範本，您可以範本為設定基礎，根據貴機構的需求加以修改。舉例來說，如要自動核准 iPhone 和 iPad，但以手動方式核准 Android 裝置，請使用自動核准裝置註冊範本，並將裝置類型改成 iOS。

多次螢幕解鎖失敗時封鎖帳戶 (僅限 Android 裝置)

在使用者嘗試解鎖裝置失敗超過 5 次時，封鎖 Android 裝置。這項規則會停止在裝置上同步處理使用者的公司/學校資料。

如要傳送電子郵件通知給所有超級管理員，請依序勾選 [傳送到快訊中心] 方塊和 [所有超級管理員] 方塊。注意：快訊中心目前尚不支援通知功能，但您必須開啟這項功能，才能傳送電子郵件給超級管理員。

針對可疑事件執行抹除作業

這項規則會在 Android 裝置、iPhone 或 iPad 上偵測到可疑活動時，移除裝置上的公司資料。

如果是 iPhone 和 iPad，裝置的 Wi-Fi MAC 位址有所變更時，系統便會抹除帳戶資料。

如果是 Android 裝置，只要以下任一裝置屬性有所變更，就會導致系統抹除裝置資料：

系統啟動載入程式版本
裝置品牌
裝置硬體
製造商
裝置型號
Device Policy 應用程式權限
IMEI 號碼
MEID 號碼
序號
Wi-Fi MAC 位址

如果是公司擁有的 Android 裝置和設為僅供工作使用的個人裝置，系統會抹除裝置上的所有資料，並將裝置恢復為原廠設定。如果是設有工作資料夾的個人裝置，系統只會抹除工作資料夾，個人資料不會受到影響。

如要進一步瞭解帳戶和裝置抹除作業，請參閱抹除裝置上的公司資料。

自動核准裝置註冊

在使用者為自己的裝置註冊管理服務時，自動核准所有支援的裝置。如果使用者登入個人帳戶，系統就會將公司資料同步處理到他們的裝置上。

選擇觸發條件

選擇會觸發規則的事件。您可以使用條件來選取裝置類型 (Android、iOS 或全部)，並可利用其他條件，決定裝置是否要套用規則。發生事件的裝置必須符合指定條件，系統才會在裝置上執行規則動作。

每項規則可對應至單一事件並指定多個條件，而您必須設定裝置類型條件。此外，設定所有規則時，您都能依裝置 ID、裝置序號、裝置型號或特定條件值，僅將規則套用至特定裝置。如要為規則指定多個條件，請按一下 [新增條件]。

部分觸發條件列有 [作業系統版本] 條件，但系統目前不支援這類條件。

全部展開 | 全部收合

帳戶註冊變更

如果貴機構裝置的帳戶註冊狀態有所變更，系統就會觸發規則。以下情況均會導致註冊狀態變更：

使用者在新裝置上新增受管理的公司或學校帳戶。
使用者在受管理的裝置上取消註冊受管理的公司或學校帳戶。
貴機構在 Android 裝置上的管理權限有所變更。

根據預設，系統在偵測到上述任何事件時就會觸發規則。

如果只要為特定裝置套用規則，您可以根據裝置屬性和下列事件專屬選項來設定條件：

條件	值
帳戶狀態	選取註冊狀態變更類型：已在下列裝置上註冊：在裝置新增帳戶時套用規則。已在下列裝置上取消註冊：在從受管理的裝置取消註冊帳戶時套用規則。
Device Policy 應用程式權限	選取貴機構在裝置上的管理權限：具備裝置管理員權限：將規則套用至個人空間擁有受管理帳戶的個人裝置。具備工作資料夾權限：將規則套用至已設定工作資料夾的個人裝置。具備裝置擁有者權限：將規則套用至公司擁有的裝置和設為「僅用於工作」的個人裝置。

條件

值

帳戶狀態

選取註冊狀態變更類型：

已在下列裝置上註冊：在裝置新增帳戶時套用規則。
已在下列裝置上取消註冊：在從受管理的裝置取消註冊帳戶時套用規則。

Device Policy 應用程式權限

選取貴機構在裝置上的管理權限：

具備裝置管理員權限：將規則套用至個人空間擁有受管理帳戶的個人裝置。
具備工作資料夾權限：將規則套用至已設定工作資料夾的個人裝置。
具備裝置擁有者權限：將規則套用至公司擁有的裝置和設為「僅用於工作」的個人裝置。

裝置動作事件

使用者對公司或學校資料的存取權限變更時，系統就會觸發規則。這類事件包括：

裝置通過核准、遭封鎖或裝置資料遭到抹除
受管理的帳戶資料遭到抹除、管理員將帳戶登出，或這類帳戶取消註冊

預設情況下，規則會在發生任何裝置動作事件時觸發。

如果只要為特定裝置套用規則，您可以根據裝置屬性和下列事件專屬選項來設定條件：

條件	值
在裝置上執行的動作狀態	選取動作的狀態：[使用者已拒絕動作]、[已取消]、[已執行]、[已失敗]、[待處理]、[已傳送到裝置] 或 [動作執行狀態不明]。
在裝置上進行的動作類型	選取與事件相關聯的動作：抹除帳戶資料允許存取核准封鎖收集錯誤報告抹除裝置資料禁止存取裝置定位鎖定裝置移除應用程式移除 iOS 設定檔重設 PIN 碼撤銷符記裝置響鈴將使用者登出同步處理裝置取消註冊不明

條件

值

在裝置上執行的動作狀態

選取動作的狀態：[使用者已拒絕動作]、[已取消]、[已執行]、[已失敗]、[待處理]、[已傳送到裝置] 或 [動作執行狀態不明]。

在裝置上進行的動作類型

選取與事件相關聯的動作：

抹除帳戶資料
允許存取
核准
封鎖
收集錯誤報告
抹除裝置資料
禁止存取
裝置定位
鎖定裝置
移除應用程式
移除 iOS 設定檔
重設 PIN 碼
撤銷符記
裝置響鈴
將使用者登出
同步處理裝置
取消註冊
不明

舉例來說，如要在無法成功抹除裝置資料時封鎖裝置，請按照下列步驟操作：

將「在裝置上進行的動作類型」設為 [抹除裝置資料]。
將「在裝置上執行的動作狀態」設為 [已失敗]。

裝置應用程式變更

每當使用者在裝置中安裝、解除安裝或更新應用程式時，系統就會觸發規則。如果個人自有的 Android 裝置不含工作資料夾，則必須啟用應用程式稽核設定。如果是 iPhone 和 iPad，系統只會針對依據 Google Device Policy 應用程式安裝的受管理應用程式，偵測應用程式的變更情形。

如果只要為特定裝置套用規則，您可以根據裝置屬性和下列事件專屬選項來設定條件：

條件	值
應用程式 ID	針對有所變更的應用程式，輸入所有或部分應用程式 ID。舉例來說，如果您只想在 YouTube 行動應用程式變更時套用規則，請選取 [包含] 並輸入 youtube。
應用程式 SHA-256	針對有所變更的應用程式，輸入應用程式套件的 SHA-256 雜湊 (全部或部分)。
應用程式狀態	選取應用程式變更後的狀態：已在下列裝置上安裝並未標記為可能有害經系統認定可能有害已在下列裝置上啟動已從下列裝置刪除已在下列裝置上更新
新值	針對變更後的應用程式，輸入全部或部分版本編號。舉例來說，如要在 Chrome 應用程式更新至任一 86 版本時觸發規則，請選取 [包含] 並輸入 86。
可能有害的應用程式類別	選取可能有害的應用程式類型：這個應用程式可能含有後門程式這個應用程式可能涉及電話詐欺這個應用程式可能具備資料收集功能這個應用程式可能含有阻斷服務邏輯這個應用程式可能含有詐騙軟體這個應用程式可能含有惡意軟體這個應用程式可能包含有害的網站這個應用程式可能含有惡意下載程式這個應用程式可能會對非 Android 系統符記造成威脅這個應用程式可能涉及網路詐騙這個應用程式可能擅自提升權限這個應用程式可能含有勒索軟體這個應用程式可能會取得 Root 權限這個應用程式可能含有垃圾內容這個應用程式可能含有間諜軟體這個應用程式可能涉及話費詐欺這個應用程式可能含有追蹤邏輯這個應用程式可能含有木馬程式這不是常見的應用程式這個應用程式可能涉及 WAP 詐欺這個應用程式可能會在 Windows 作業系統中植入惡意軟體

裝置法規遵循狀態 (僅限 Android 裝置)

一旦裝置不符合機構政策，系統就會觸發規則。舉例來說，使用者因變更裝置密碼而導致違反密碼政策，就屬於這類情況。詳情請參閱裝置法規遵循狀態。

如果只要為特定裝置套用規則，您可以根據裝置屬性和下列事件專屬選項來設定條件：

條件	規則套用對象
裝置法規遵循狀態	法規遵循狀態改變的裝置。請選擇下列任一選項：符合設定的政策：在裝置符合機構政策時套用規則。不符合設定的政策，因為裝置：然後按一下 [新增]，並使用「行動裝置停用原因」條件。
行動裝置停用原因	選取導致裝置不符政策的原因：尚未限制任何無障礙服務已遭管理員清除帳戶已啟用相機遭駭已遭管理員封鎖包含有害的應用程式必須完成 Device Policy 應用程式驗證程序不受支援需要螢幕鎖定資訊不是管理員允許的型號已遭管理員抹除未使用裝置擁有者模式未安裝最新的 Device Policy 應用程式未建立工作資料夾尚未限制任何輸入法必須將一或多個應用程式轉換成受管理狀態過去 24 小時內未保持同步已啟用螢幕鎖定小工具有多個受管理的帳戶未遵循密碼政策使用者未授予重設裝置密碼的權限未啟用同步處理功能

條件

規則套用對象

裝置法規遵循狀態

法規遵循狀態改變的裝置。請選擇下列任一選項：

符合設定的政策：在裝置符合機構政策時套用規則。
不符合設定的政策，因為裝置：然後按一下 [新增]，並使用「行動裝置停用原因」條件。

行動裝置停用原因

選取導致裝置不符政策的原因：

尚未限制任何無障礙服務
已遭管理員清除帳戶
已啟用相機
遭駭
已遭管理員封鎖
包含有害的應用程式
必須完成 Device Policy 應用程式驗證程序
不受支援
需要螢幕鎖定資訊
不是管理員允許的型號
已遭管理員抹除
未使用裝置擁有者模式
未安裝最新的 Device Policy 應用程式
未建立工作資料夾
尚未限制任何輸入法
必須將一或多個應用程式轉換成受管理狀態
過去 24 小時內未保持同步
已啟用螢幕鎖定小工具
有多個受管理的帳戶
未遵循密碼政策
使用者未授予重設裝置密碼的權限
未啟用同步處理功能

裝置遭駭 (僅限 Android 裝置)

當 Android 裝置遭駭或不再處於遭駭狀態，系統就會觸發規則。Android 裝置啟用 Root 權限後，所有限制皆會移除，這種狀態就稱為「遭駭」。遭駭裝置可能會造成潛在的安全威脅。

如果只要為特定裝置套用規則，您可以根據裝置屬性和下列事件專屬選項來設定條件：

條件	值
裝置遭駭狀態	選取變更後的裝置狀態：遭駭：將規則套用至遭駭的裝置。已不再處於遭駭狀態：將規則套用至曾經遭駭，但目前已不再處於該狀態的裝置。

條件

值

裝置遭駭狀態

選取變更後的裝置狀態：

遭駭：將規則套用至遭駭的裝置。
已不再處於遭駭狀態：將規則套用至曾經遭駭，但目前已不再處於該狀態的裝置。

裝置 OS 更新

裝置的作業系統 (OS) 有所變更時，系統就會觸發規則。至於哪一類的 OS 變更會觸發規則，則視裝置類型而定：

Android：OS 版本、版本號碼、核心版本、基頻版本、安全性修補程式或系統啟動載入程式版本相關變更。
iOS：僅限 OS 版本和版本號碼相關變更。舉例來說，使用者更新裝置的 OS 或套用最新的安全性修補程式時，系統就會觸發這項規則。

如果只要為特定裝置套用規則，您可以根據裝置屬性和下列事件專屬選項來設定條件：

條件	值
舊值	針對變更前的裝置，輸入部分或全部 OS 屬性值。
新值	針對變更後的裝置，輸入部分或全部 OS 屬性值。
OS 屬性	選取會在值變更時觸發規則的 OS 屬性： OS 版本版本號碼核心版本裝置基頻版本作業系統安全性修補程式裝置上的系統啟動載入程式版本如果是 iOS 裝置，您能選擇的屬性只有 OS 版本和版本號碼。

條件

值

舊值

針對變更前的裝置，輸入部分或全部 OS 屬性值。

新值

針對變更後的裝置，輸入部分或全部 OS 屬性值。

OS 屬性

選取會在值變更時觸發規則的 OS 屬性：

OS 版本
版本號碼
核心版本
裝置基頻版本
作業系統安全性修補程式
裝置上的系統啟動載入程式版本

如果是 iOS 裝置，您能選擇的屬性只有 OS 版本和版本號碼。

裝置擁有權 (僅限 Android 裝置)

裝置擁有權從個人變為公司擁有，或從公司擁有變為個人時，系統就會觸發規則。

如果只要為特定裝置套用規則，您可以根據裝置屬性和下列事件專屬選項來設定條件：

條件	值
這個裝置的擁有權	選取裝置擁有權變更後的狀態：公司擁有：將規則套用至擁有權轉移至公司的裝置。個人：將規則套用至擁有權轉移至個人的裝置。

條件

值

這個裝置的擁有權

選取裝置擁有權變更後的狀態：

公司擁有：將規則套用至擁有權轉移至公司的裝置。
個人：將規則套用至擁有權轉移至個人的裝置。

裝置設定變更 (僅限 Android 裝置)

當 Android 裝置的設定有所變更時，系統就會觸發規則。舉凡與 USB 偵錯、不明來源、開發人員選項和驗證應用程式相關的變更，都是此規則的觸發條件。

如果只要為特定裝置套用規則，您可以根據裝置屬性和下列事件專屬選項來設定條件：

條件	值
舊值	針對變更前的裝置，輸入部分或全部裝置設定值。
新值	針對變更後的裝置，輸入部分或全部裝置設定值。
裝置設定	選取會在值改變時觸發規則的裝置設定：開發人員選項不明來源 USB 偵錯驗證應用程式

裝置同步處理

當使用者帳戶在裝置上同步處理時，系統就會觸發規則。

如果只要為特定裝置套用規則，您可以根據裝置屬性和下列事件專屬選項來設定條件：

條件	值
上次同步處理稽核事件的日期	輸入日期做為 UNIX 時間戳記，例如 1606167154。您可以設定在以下時間點觸發規則：裝置上次同步處理的時間在指定日期之後 ([大於])，或是在指定日期當天或之後 ([大於或等於])。

條件

值

上次同步處理稽核事件的日期

輸入日期做為 UNIX 時間戳記，例如 1606167154。

您可以設定在以下時間點觸發規則：裝置上次同步處理的時間在指定日期之後 ([大於])，或是在指定日期當天或之後 ([大於或等於])。

螢幕解鎖失敗 (僅限 Android 裝置)

嘗試解鎖裝置的失敗次數達到指定標準時，系統就會觸發規則。根據預設，如果解鎖失敗超過 5 次，系統就會套用規則。

如要變更套用規則的失敗次數，請使用這個選項：

條件	值
螢幕解鎖失敗	選取嘗試失敗次數的計算方式 ([大於] 或 [大於或等於])，並輸入指定的失敗次數。舉例來說，如果輸入 3 並選取 [大於]，系統就會在第 4 次嘗試失敗時觸發規則。如果輸入 3 並選取 [大於或等於]，系統則會在第 3 次嘗試失敗時觸發規則。

條件

值

螢幕解鎖失敗

選取嘗試失敗次數的計算方式 ([大於] 或 [大於或等於])，並輸入指定的失敗次數。

舉例來說，如果輸入 3 並選取 [大於]，系統就會在第 4 次嘗試失敗時觸發規則。如果輸入 3 並選取 [大於或等於]，系統則會在第 3 次嘗試失敗時觸發規則。

可疑活動

如果受管理裝置的裝置屬性有所變更，且這類變更對該屬性而言並非常態的話，系統就會觸發規則。舉例來說，在裝置未發生異動的情況下，如果裝置型號改變，就屬於這類情況。

如果是 Android 裝置，只要以下裝置屬性有所變更，即屬於可疑活動：

系統啟動載入程式版本
裝置品牌
裝置硬體
製造商
裝置型號
Device Policy 應用程式權限
IMEI 號碼
MEID 號碼
序號
Wi-Fi MAC 位址

如果是 iPhone 和 iPad，只有 Wi-Fi MAC 位址改變時，才視為可疑活動。

如果只要為特定裝置套用規則，您可以根據裝置屬性和下列事件專屬選項來設定條件：

條件	值
裝置屬性	選取會在變更時觸發規則的裝置屬性。若要選取多個屬性，請為該屬性另外建立規則。如果您在規則中新增了多個屬性，只要您所選取的「任何」屬性有所變更，裝置就必須回報。注意：如果是 iOS 裝置，系統僅會偵測 Wi-Fi MAC 位址的變更狀況。
舊值	如果是 Android 裝置，請選取裝置變更前的裝置管理權限。
新值	如果是 Android 裝置，請選取裝置變更後的裝置管理權限。

條件

值

裝置屬性

選取會在變更時觸發規則的裝置屬性。若要選取多個屬性，請為該屬性另外建立規則。如果您在規則中新增了多個屬性，只要您所選取的「任何」屬性有所變更，裝置就必須回報。

注意：如果是 iOS 裝置，系統僅會偵測 Wi-Fi MAC 位址的變更狀況。

舊值

如果是 Android 裝置，請選取裝置變更前的裝置管理權限。

新值

如果是 Android 裝置，請選取裝置變更後的裝置管理權限。

工作資料夾支援 (僅限 Android 裝置)

在 Android 裝置開始支援工作資料夾時套用規則。舉例來說，裝置因為作業系統版本升級而開始支援工作資料夾時，就會觸發這項規則。

查看偵測事件相關資料

您可以在「規則稽核」中查看受管理裝置的事件資料。

登入 Google 管理控制台。
請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。
在管理控制台中，依序點選「選單」圖示「報告」「稽核與調查」「規則記錄事件」。
如要查看與裝置管理規則相關的動作，請依序按一下 [新增篩選器] [裝置管理]。您也可以根據其他事件特性來篩選，例如規則名稱或裝置擁有者的帳戶 (依資源擁有者篩選)。
(選用) 如需自訂要查看的資料，請按一下右側的「管理資料欄」圖示。視需求新增或隱藏資料欄按一下 [儲存]。
(選用) 如要將報告資料以 Google 試算表檔案的形式直接匯出到 Google 雲端硬碟，或是以 CSV 檔案格式下載報告資料，請按照下列步驟操作：
1. 按一下「下載」圖示。
2. 在「選取資料欄」下方，按一下 [目前選取的欄] 或 [所有資料欄]。
3. 選取所需格式並點選 [下載]。
不論是哪一種檔案類型，您最多可以匯出 100,000 列資料。

這對您有幫助嗎？

我們應如何改進呢？