Automatisera enhetshanteringsuppgifter med regler

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard, Education Plus och Endpoint Education Upgrade; Cloud Identity Premium. Jämför din utgåva

Som administratör kan du definiera regler för att automatisera enhetshanteringsuppgifter och få säkerhetsvarningar. Du kan till exempel automatiskt blockera enheter som rapporterar misstänkt aktivitet.

Du kan tillämpa regler för enhetshantering på enheter som stöds .

Obs! För att godkänna enheter med regler måste enheterna vara under avancerad mobilhantering. Aktivera avancerad mobilhantering om det behövs.

Hur regler fungerar

En regel för enhetshantering utlöses av en händelse på en hanterad enhet. När händelsen upptäcks kontrollerar regeln om det finns några villkor du anger. Om villkoren är uppfyllda utförs en åtgärd.

Du kan till exempel blockera en enhet när kontots registreringsstatus ändras på Android-enheter på grund av att en användare avregistrerar sitt företagskonto från enheten. I det här exemplet:

  • Händelsen är en ändring av kontoregistreringsstatus på en enhet.
  • Det första villkoret är att enhetstypen är Android .
  • Det andra villkoret är att en användare avregistrerar sitt konto från enheten ( Kontostatus är Oregistrerad från ).
  • Åtgärden blockerar enheten.

Du kan skapa din egen regel eller arbeta med en fördefinierad mall. För omfattningen kan du tilldela en regel till hela organisationen, en organisationsenhet eller en grupp i Google Grupper. Du kan också exkludera en grupp.

Obs! Med regler för enhetshantering kan du godkänna, blockera eller rensa en enhet som svar på en specifik händelse. Om du vill kontrollera åtkomst till Google-appar för enheter baserat på enhetsattribut som operativsystemversion, säkerhetsstatus, IP-adress, geografisk plats eller ägarskap kan du använda kontextmedvetna åtkomstnivåer. Läs mer

Skapa och redigera regler

Du måste vara inloggad som superadministratör för den här uppgiften.

Skapa en regel för enhetshantering

  1. I Googles administratörskonsol, gå till Meny och sedan Regler .

    Kräver administratörsbehörighet för att visa förtroenderegler .

  2. Klicka på Regler för enhetshantering .
  3. Klicka på Lägg till regel och välj ett alternativ:
    • Om du vill använda en regelmall klickar du på Regel från mall och sedan på mallen. Mer information finns i Använd regelmallarna .
    • För att skapa din egen regel, klicka på Ny regel.
  4. Ange eller redigera regeltiteln och beskrivningen.
  5. Välj vem regeln gäller för. Som standard gäller regeln för alla i din organisation.
    • Om du vill tillämpa regeln på endast utvalda användare klickar du på Ange organisationsenheter eller grupper och väljer de organisationsenheter och grupper som ska inkluderas.
    • För att exkludera användare i specifika grupper, välj först minst en organisationsenhet eller grupp som ska inkluderas. Klicka sedan på Exkludera grupper och välj den grupp som ska exkluderas. Upprepa för att exkludera fler grupper.

    Om du till exempel vill tillämpa en regel på alla i din organisation utom en grupp, inkluderar du den översta organisationsenheten och exkluderar den enda undantagna gruppen.

    Om du vill ta bort en organisationsenhet eller grupp klickar du på Rensa bredvid den.

  6. Klicka på Fortsätt .
  7. Om det behövs, välj den händelse som utlöser regeln. Mer information finns i Välj en utlösare och villkor .
  8. Klicka på Lägg till villkor och ange ett villkor för enhetstyp:
    1. Klicka på Fält och välj Enhetstyp .
    2. Klicka på Värde och välj enhetstyp: Alla enheter , Android , ChromeOS , iOS , Linux , Mac eller Windows .
      Alla alternativ för enhetstyper är eventuellt inte tillgängliga eftersom vissa händelser endast stöds för vissa typer.

    Obs! Ett enhetstypsvillkor krävs innan du kan gå vidare till nästa steg.

  9. (Valfritt) Klicka på Lägg till villkor och ställ in fler villkor. En enhet måste uppfylla alla villkor för att regeln ska gälla.
  10. Klicka på Fortsätt .
  11. Om det behövs, välj den åtgärd som ska vidtas när regelns villkor är uppfyllda. Alla åtgärder är inte tillgängliga för alla händelser.
    • Blockera enhet – Förhindrar att enheten synkroniserar företagsdata.
    • Godkänn enhet — (endast avancerad mobilhantering) Tillåter att enheten synkroniserar företagsdata.
    • Utför rensning – Rensar användarens företagskonto och tillhörande data från enheten. Läs mer om kontorensningar .
    • Ingen åtgärd — Vidta inga åtgärder på enheten. Du kan använda det här alternativet när du bara vill få en avisering om att händelsen inträffade (beskrivs i nästa steg).
  12. (Valfritt) Om du vill skicka e-postmeddelanden till alla avancerade administratörer markerar du rutan Skicka till aviseringscenter och sedan rutan Alla avancerade administratörer . Obs! Aviseringar från aviseringscenter stöds ännu inte, men måste vara aktiverade för att du ska kunna skicka e-postmeddelanden till avancerade administratörer.
  13. Klicka på Fortsätt .
  14. Granska regelinställningarna. Om de är korrekta klickar du på Slutför . Om inte klickar du på Tillbaka för att redigera regeln.
  15. I dialogrutan som öppnas väljer du ett alternativ:
    • För att skapa regeln och aktivera den nu, klicka på Aktiv .
    • Om du vill skapa regeln och aktivera den senare klickar du på Inaktiv .
  16. Klicka på Slutför .
  17. För att aktivera en inaktiv regel, klicka på regeln i regellistan. Klicka på menyn till vänster och välj Aktiv .

Redigera en befintlig regel för enhetshantering

  1. I Googles administratörskonsol, gå till Meny och sedan Regler .

    Kräver administratörsbehörighet för att visa förtroenderegler .

  2. Klicka på Regler för enhetshantering .
  3. Klicka på regeln du vill redigera.
  4. Klicka på det avsnitt du vill redigera och gör dina ändringar. Klicka på Fortsätt efter behov för att gå vidare till granskningssidan.
  5. Granska regelinställningarna. Om de är korrekta klickar du på Slutför . Om inte klickar du på Tillbaka för att redigera regeln.
  6. I dialogrutan som öppnas väljer du om regeln är aktiv eller inaktiv.
  7. Klicka på Slutför .

Använd regelmallarna

Regelmallar konfigureras för vanliga villkor och åtgärder. Du kan använda en som utgångspunkt och ändra den så att den passar din organisations behov. Om du till exempel automatiskt vill godkänna iPhones och iPads men manuellt godkänna Android-enheter, använder du mallen för automatisk godkännande av enhetsregistrering och ändrar enhetstypen till iOS.

Blockera konto vid flera misslyckade skärmupplåsningar (endast Android)

Den här regeln blockerar en Android-enhet när det finns fler än 5 misslyckade försök att låsa upp den. Regeln hindrar användarens arbets- eller skoldata från att synkroniseras med enheten.

Om du vill skicka e-postmeddelanden till alla avancerade administratörer markerar du rutan Skicka till aviseringscenter och sedan rutan Alla avancerade administratörer . Obs! Aviseringar från aviseringscenter stöds ännu inte, men måste vara aktiverade för att du ska kunna skicka e-postmeddelanden till avancerade administratörer.

Utför radering vid misstänkt händelse

Den här regeln tar bort företagsdata från en Android-enhet, iPhone eller iPad när misstänkt aktivitet upptäcks.

För iPhones och iPads raderas kontot när enhetens Wi-Fi MAC-adress ändras.

För Android-enheter rensas enheten när någon av följande enhetsegenskaper ändras:

  • Bootloader-version
  • Enhetsmärke
  • Enhetens hårdvara
  • Tillverkare
  • Enhetsmodell
  • Privilegier för appar med enhetspolicy
  • IMEI-nummer
  • MEID-nummer
  • Serienummer
  • Wi-Fi MAC-adress

För företagsägda Android-enheter och personliga enheter som konfigurerats endast för arbete raderas all data från enheten och enheten återställs till fabriksinställningarna. För personliga enheter med en arbetsprofil raderas endast arbetsprofilen, vilket lämnar personlig data orörda.

För mer information om hur konto- och enhetsrensning fungerar, se Ta bort företagsdata från en enhet .

Om du vill skicka e-postmeddelanden till alla avancerade administratörer markerar du rutan Skicka till aviseringscenter och sedan rutan Alla avancerade administratörer . Obs! Aviseringar från aviseringscenter stöds ännu inte, men måste vara aktiverade för att du ska kunna skicka e-postmeddelanden till avancerade administratörer.

Godkänn enhetsregistrering automatiskt

Godkänner automatiskt alla enheter som stöds när en användare registrerar sin enhet för hantering. Företagsdata synkroniseras med enheten när användaren loggar in med sitt konto.

Om du vill skicka e-postmeddelanden till alla avancerade administratörer markerar du rutan Skicka till aviseringscenter och sedan rutan Alla avancerade administratörer . Obs! Aviseringar från aviseringscenter stöds ännu inte, men måste vara aktiverade för att du ska kunna skicka e-postmeddelanden till avancerade administratörer.

Välj en utlösare och villkor

Välj den händelse som utlöser regeln. Använd villkor för att välja enhetstyp och andra villkor som avgör om regeln gäller för en enhet. Regelns åtgärd utförs endast när händelsen inträffar på enheter som uppfyller de angivna villkoren.

Du kan välja en händelse och flera villkor för varje regel. Du måste ange ett villkor för enhetstyp. För alla regler kan du också begränsa en regel till specifika enheter efter enhets-ID, enhetens serienummer, enhetsmodell eller villkorsspecifika värden. Om du vill tillämpa mer än ett villkor på en regel klickar du på Lägg till villkor .

Ändring av kontoregistrering

Regeln utlöses när kontoregistreringsstatusen för en enhet i din organisation ändras. Registreringsstatusen kan ändras när:

  • En användare lägger till sitt hanterade arbets- eller skolkonto på en ny enhet.
  • En användare avregistrerar sitt hanterade arbets- eller skolkonto från en hanterad enhet.
  • Den hanteringsbehörighet som din organisation har på en Android-enhet ändras.

Som standard utlöses regeln när någon av dessa händelser upptäcks.

För att endast tillämpa regeln på vissa enheter kan du ange villkor baserat på enhetsegenskaper och följande händelsespecifika alternativ:

Skick Värden
Kontostatus

Välj typ av registreringsändring:

  • Registrerad den — Tillämpar regeln när ett konto läggs till på en enhet.
  • Oregistrerad från — Tillämpar regeln när ett konto avregistreras från en hanterad enhet.
Privilegier för appar med enhetspolicy

Välj den administrationsbehörighet som din organisation har på enheten:

  • Med enhetsadministratörsbehörighet – Tillämpar regeln på personliga enheter som har ett hanterat konto i sitt personliga utrymme.
  • Med arbetsprofilbehörighet – Tillämpar regeln på personliga enheter som har en arbetsprofil konfigurerad.
  • Med enhetsägarbehörighet – Tillämpar regeln på företagsägda enheter och personliga enheter som är konfigurerade som "endast arbete".

Enhetsåtgärdshändelse

Regeln utlöses när användaråtkomsten till arbets- eller skoldata ändras. Dessa händelser inkluderar:

  • En enhet är godkänd, blockerad eller raderad
  • Det hanterade kontot är raderat, utloggat av en administratör eller avregistrerat.

Som standard utlöses regeln när en enhetsåtgärd inträffar.

För att endast tillämpa regeln på vissa enheter kan du ange villkor baserat på enhetsegenskaper och följande händelsespecifika alternativ:

Skick Värden
Status för en åtgärd som vidtagits på en enhet Välj status för åtgärden: Åtgärd avvisad av användaren , Avbruten , Utförd , Misslyckades , Väntar , Skickat till enhet eller Okänd åtgärdskörningsstatus .
Typ av åtgärd som vidtas på en enhet

Välj den åtgärd som är kopplad till händelsen:

  • Kontorensning
  • Tillåt åtkomst
  • Godkänna
  • Blockera
  • Samla in felrapport
  • Enhetsrensning
  • Tillåt inte åtkomst
  • Lokalisera enheten
  • Lås enheten
  • Ta bort appen
  • Ta bort iOS-profil
  • Återställ PIN-koden
  • Återkalla token
  • Ring-enhet
  • Logga ut användaren
  • Synkronisera enhet
  • Avregistrera
  • Okänd

Till exempel, för att blockera en enhet när en enhetsrensning misslyckas:

  1. Ställ in Typ av åtgärd som vidtas på en enhet till Enhetsrensning .
  2. Ställ in statusen för en åtgärd som vidtagits på en enhet till Misslyckades .

Ändring av enhetsapplikation

Regeln utlöses varje gång en användare installerar, avinstallerar eller uppdaterar en app på sin enhet. För personliga Android-enheter som inte har en arbetsprofil måste inställningen Appgranskning vara aktiverad. För iPhones och iPads identifieras endast ändringar i hanterade appar som installerats med Google Device Policy-appen.

För att endast tillämpa regeln på vissa enheter kan du ange villkor baserat på enhetsegenskaper och följande händelsespecifika alternativ:

Skick Värden
Applikations-ID

Ange hela eller delar av app-ID:t för appen som ändrades.

Om du till exempel bara vill tillämpa regeln när YouTube-mobilappen ändras väljer du Innehåller och anger youtube .

Applikation SHA-256 Ange hela eller delar av SHA-256-hashen för apppaketet för den app som ändrades.
Applikationens tillstånd

Välj det tillstånd som appen ändrades till:

  • Installerad på
  • Inte flaggad som potentiellt skadlig
  • Upptäckt som potentiellt skadlig
  • Började den
  • Borttagen från
  • Uppdaterad den
Nytt värde Ange hela eller delar av versionsnumret som en app har ändrats till. Om du till exempel vill aktivera regeln när Chrome-appen uppdateras till version 86 väljer du Innehåller och anger 86 .
Potentiellt skadlig appkategori

Välj typen av potentiellt skadlig app:

  • Appen innehåller potentiellt en bakdörr
  • Appen innehåller potentiellt samtalsbedrägerier
  • Appen innehåller potentiellt datainsamlingsfunktioner
  • Appen innehåller potentiellt överbelastningslogik
  • Appen innehåller potentiellt bedrägeriprogram
  • Appen innehåller potentiellt skadlig kod
  • Appen innehåller potentiellt skadliga webbplatser
  • Appen innehåller potentiellt en fientlig nedladdare
  • Appen innehåller potentiellt hot mot token för system som inte är Android
  • Appen innehåller potentiellt nätfiske
  • Appen innehåller potentiellt funktioner för eskalering av privilegier
  • Appen innehåller potentiellt ransomware
  • Appen innehåller potentiellt rooting-funktioner
  • Appen innehåller potentiellt spam
  • Appen innehåller potentiellt spionprogram
  • Appen innehåller potentiellt vägtullsbedrägerier
  • Appen innehåller potentiellt spårningslogik
  • Appen innehåller potentiellt en trojan
  • Appen är ovanlig
  • Appen innehåller potentiellt WAP-bedrägerier
  • Appen innehåller potentiellt skadlig kod för Windows

Enhetens efterlevnadsstatus (endast Android)

Regeln utlöses när en enhet inte längre följer din organisations policyer. Till exempel ändrar en användare sitt enhetslösenord och den följer inte längre din lösenordspolicy. Mer information finns i Status för enhetsefterlevnad .

För att endast tillämpa regeln på vissa enheter kan du ange villkor baserat på enhetsegenskaper och följande händelsespecifika alternativ:

Skick Tillämpar regeln på
Enhetens efterlevnadsstatus

Enheter vars efterlevnadsstatus har ändrats. Välj ett alternativ:

  • Kompatibel med fastställda policyer – Tillämpar regeln när en enhet blir kompatibel med organisationens policyer.
  • Inte kompatibel med angivna policyer eftersom enhet – Klicka sedan på Lägg till och använd villkoret Orsak till inaktivering av den mobila enheten .
Anledning till avaktivering av mobilenheten Välj orsaken till att enheten inte är kompatibel:
  • Har inte begränsade tillgänglighetstjänster
  • Kontot raderades av administratören
  • Har kameran aktiverad
  • Är komprometterad
  • Har blockerats av administratören
  • Innehåller skadliga appar
  • Behöver verifiering av Device Policy-appen utföras
  • Stöds inte
  • Skärmlåsinformation krävs
  • Är av en modell som inte är tillåten av administratören
  • Raderades av administratören
  • Är inte i enhetsägarläge
  • Har inte den senaste Device Policy-appen
  • Har inte skapat någon arbetsprofil
  • Har inte begränsat inmatningsmetoder
  • Behöver konvertera en eller flera appar till hanterat tillstånd
  • Har inte synkroniserats under de senaste 24 timmarna
  • Har låsskärmswidgetar aktiverade
  • Har flera hanterade konton
  • Följer inte lösenordspolicyn
  • Återställning av enhetens lösenord beviljades inte
  • Har inte synkronisering aktiverad

Enhetskomprometterad (endast Android)

Regeln utlöses när en Android-enhet blir komprometterad eller inte längre är komprometterad. En Android-enhet är komprometterad när den är rootad – en process som tar bort begränsningar på en enhet. Komprometterade enheter kan indikera ett potentiellt säkerhetshot.

För att endast tillämpa regeln på vissa enheter kan du ange villkor baserat på enhetsegenskaper och följande händelsespecifika alternativ:

Skick Värden
Enhetens komprometterade tillstånd

Välj vad enhetens status ändrades till:

  • Är komprometterad — Gäller regeln för enheter som blir komprometterade.
  • Är inte längre komprometterad – Tillämpar regeln på enheter som har komprometterats men inte längre är det.

Uppdatering av enhets-OS

Regeln utlöses när en enhets operativsystem (OS) ändras. Vilka typer av OS-ändringar som utlöser regeln beror på enhetstypen:

  • Android – Ändringar av operativsystemversion, byggnummer, kärnversion, basbandsversion, säkerhetsuppdatering eller bootloader-version.
  • iOS – Endast ändringar av operativsystemversionen och versionsnumret. Till exempel uppdaterar en användare sin enhet till ett nytt operativsystem eller installerar den senaste säkerhetsuppdateringen.

För att endast tillämpa regeln på vissa enheter kan du ange villkor baserat på enhetsegenskaper och följande händelsespecifika alternativ:

Skick Värden
Gammalt värde Ange en del av eller hela OS-egenskapsvärdet som enheten ändrades från.
Nytt värde Ange en del av eller hela OS-egenskapsvärdet som enheten ändrades till.
OS-egenskap

Välj den OS-egenskap som utlöser regeln när dess värde ändras:

  • OS-version
  • Byggnummer
  • Kärnversion
  • Enhetens basbandsversion
  • Säkerhetsuppdatering för operativsystemet
  • Bootloader-versionen på deras enhet

För iOS stöds endast OS-version och buildnummer.

Enhetsägande (endast Android)

Regeln utlöses när ägarskapet för en enhet ändras från personligt till företagsägt, eller från företagsägt till personligt.

För att endast tillämpa regeln på vissa enheter kan du ange villkor baserat på enhetsegenskaper och följande händelsespecifika alternativ:

Skick Värden
Ägarskap av enheten

Välj den enhetsägarstatus som enheten ändrades till:

  • Företagsägt – Tillämpar regeln på enheter vars ägarskap har ändrats till företagsägt.
  • Personlig — Gäller regeln för enheter vars ägarskap har ändrats till personligt.

Ändring av enhetsinställningar (endast Android)

Regeln utlöses när enhetsinställningar ändras på Android-enheter, till exempel USB-felsökning, okända källor, utvecklaralternativ eller verifiering av appar.

För att endast tillämpa regeln på vissa enheter kan du ange villkor baserat på enhetsegenskaper och följande händelsespecifika alternativ:

Skick Värden
Gammalt värde Ange en del av eller hela enhetsinställningsvärdet som enheten ändrades från.
Nytt värde Ange en del av eller hela enhetsinställningsvärdet som enheten ändrades till.
Enhetsinställning Välj den enhetsinställning som utlöser regeln när dess värde ändras:
  • Utvecklaralternativ
  • Okända källor
  • USB-felsökning
  • Verifiera appar

Enhetssynkronisering

Regeln utlöses när en användares konto synkroniseras på en enhet.

För att endast tillämpa regeln på vissa enheter kan du ange villkor baserat på enhetsegenskaper och följande händelsespecifika alternativ:

Skick Värden
Datum för senaste synkroniseringsgranskningshändelse

Ange ett datum som en UNIX-tidsstämpel. Till exempel 1606167154.

Du kan utlösa regeln när den senaste enhetssynkroniseringen inträffade efter det angivna datumet ( är större än ) eller på eller efter det angivna datumet ( är större än eller lika med ).

Misslyckade försök att låsa upp skärmen (endast Android)

Regeln utlöses när en enhet når ett visst antal misslyckade försök att låsa upp den. Som standard tillämpas regeln när det finns fler än 5 misslyckade försök.

För att ändra antalet misslyckade försök innan regeln tillämpas, använd det här alternativet:

Skick Värden
Misslyckade försök att låsa upp skärmen

Välj hur antalet misslyckade försök räknas ( Är större än eller Är större än eller lika med ) och ange antalet misslyckade försök.

Om du till exempel anger 3 och väljer Är större än , utlöses regeln vid det fjärde misslyckade försöket. Om du anger 3 och väljer Är större än eller lika med , utlöses regeln vid det tredje misslyckade försöket.

Misstänkt aktivitet

Regeln utlöses när en enhetsegenskap ändras på en hanterad enhet och den egenskapen inte är en som vanligtvis ändras. Till exempel ändras enhetsmodellen när enheten inte har ändrats.

För Android-enheter inkluderar misstänkt aktivitet ändringar av följande enhetsegenskaper:

  • Bootloader-version
  • Enhetsmärke
  • Enhetens hårdvara
  • Tillverkare
  • Enhetsmodell
  • Privilegier för appar med enhetspolicy
  • IMEI-nummer
  • MEID-nummer
  • Serienummer
  • Wi-Fi MAC-adress

För iPhones och iPads inkluderar den bara ändringar av Wi-Fi MAC-adressen.

För att endast tillämpa regeln på vissa enheter kan du ange villkor baserat på enhetsegenskaper och följande händelsespecifika alternativ:

Skick Värden
Enhetsegenskap

Välj den enhetsegenskap som utlöser regeln när den ändras. Om du vill välja mer än en egenskap skapar du en separat regel för den egenskapen. Om du lägger till mer än en egenskap i en regel måste enheten rapportera ändringar för alla egenskaper du väljer.

Obs: För iOS-enheter detekteras endast ändringar av Wi-Fi MAC-adressen.

Gammalt värde För Android-enheter, välj den enhetshanteringsbehörighet som enheten ändrade från.
Nytt värde För Android-enheter, välj den enhetshanteringsbehörighet som enheten ändrades till.

Stöd för arbetsprofiler (endast Android)

Tillämpar regeln när en Android-enhet börjar stödja arbetsprofiler. Till exempel när operativsystemversionen uppgraderas och enheten nu stöder arbetsprofiler.

Visa data om upptäckta händelser

Du kan granska data om händelser på hanterade enheter i en regelgranskning.

  1. I Googles administratörskonsol, gå till Meny och sedan Rapportering och sedan Revision och utredning och sedan Regellogghändelser .

    Kräver administratörsbehörighet som granskning och utredning .

  2. Om du vill granska åtgärder relaterade till dina regler för enhetshantering klickar du på Lägg till filter och sedan Enhetshantering . Du kan också filtrera efter andra händelseegenskaper, till exempel regelnamn eller enhetsägarens konto (filtrera efter Resursägare ).

  3. (Valfritt) Om du vill anpassa vilka data du ser klickar du på Hantera kolumner till höger. Markera de kolumner som du vill se eller dölja och sedan klicka på Spara .

  4. (Valfritt) Så här exporterar du rapportdata direkt till en Google Sheets-fil i Google Drive eller laddar ner en CSV-fil med rapportdata:

    1. Klicka på Ladda ner .
    2. Under Markera kolumner klickar du på Markerade kolumner eller Alla kolumner .
    3. Välj ett format och klicka på Ladda ner .

    Med båda filtyperna kan du exportera upp till 100 000 rader med data.