אוטומציה של משימות ניהול מכשירים באמצעות כללים

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard,‏ Education Plus ו-Endpoint Education Upgrade,‏ Cloud Identity Premium. השוואה בין המהדורות

אדמינים יכולים להגדיר כללים לאוטומציה של משימות ניהול המכשירים ולקבלת התראות אבטחה. לדוגמה, אתם יכולים לחסום באופן אוטומטי מכשירים שמדווחים על פעילות חשודה.

אפשר להחיל כללים לניהול מכשירים על מכשירים נתמכים.

הערה: כדי לאשר מכשירים באמצעות כללים, המכשירים צריכים להיות בניהול מתקדם של מכשירים ניידים. אם צריך, מפעילים ניהול מתקדם של מכשירים ניידים.

איך הכללים פועלים

כלל לניהול מכשירים מופעל כשמתרחש אירוע במכשיר מנוהל. כשהאירוע מזוהה, הכלל בודק אם מתקיימים התנאים שהגדרתם. אם התנאים מתקיימים, מתבצעת פעולה.

לדוגמה, אתם יכולים לחסום מכשיר כשמצב הרישום של החשבון משתנה במכשירי Android כי משתמש ביטל את הרישום של החשבון הארגוני שלו במכשיר. בדוגמה הזו:

  • האירוע הוא שינוי במצב ההרשמה לחשבון במכשיר.
  • התנאי הראשון הוא שסוג המכשיר הוא Android.
  • התנאי השני הוא שמשתמש מבטל את הרישום של החשבון שלו במכשיר (סטטוס החשבון הוא בוטל הרישום מ).
  • הפעולה חוסמת את המכשיר.

אתם יכולים ליצור כלל משלכם או להשתמש בתבנית מוגדרת מראש. בקטע 'היקף', אפשר להקצות כלל לכל הארגון, ליחידה ארגונית או לקבוצה ב-Google Groups. אפשר גם להחריג קבוצה.

הערה: כללים לניהול מכשירים מאפשרים לאשר, לחסום או למחוק מכשיר בתגובה לאירוע ספציפי. כדי לשלוט בגישה לאפליקציות Google במכשירים על סמך מאפייני המכשיר כמו גרסת מערכת ההפעלה, סטטוס האבטחה, כתובת ה-IP, המיקום הגיאוגרפי או הבעלות, אתם יכולים להשתמש ברמות של בקרת גישה מבוססת-הקשר. מידע נוסף

יצירה ועריכה של כללים

כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

יצירת כלל לניהול מכשירים

  1. במסוף Google Admin, נכנסים לתפריט ואז כללים.

    כדי לעשות את זה צריך הרשאת אדמין לצפייה בכללים להרשאות שיתוף.

  2. לוחצים על כללים לניהול מכשירים.
  3. לוחצים על הוספת כלל ובוחרים אפשרות:
    • כדי להשתמש בתבנית כלל, לוחצים על כלל מתבנית ואז על התבנית. פרטים נוספים מופיעים במאמר בנושא שימוש בתבניות של כללים.
    • כדי ליצור כלל משלכם, לוחצים על כלל חדש.
  4. מזינים או עורכים את השם והתיאור של הכלל.
  5. בוחרים על מי יחול הכלל. כברירת מחדל, הכלל הזה חל על כל המשתמשים בארגון.
    • כדי להחיל את הכלל רק על משתמשים נבחרים, לוחצים על בחירת יחידות ארגוניות או קבוצות ובוחרים את היחידות הארגוניות והקבוצות שרוצים לכלול.
    • כדי להחריג משתמשים בקבוצות ספציפיות, קודם בוחרים לפחות יחידה ארגונית אחת או קבוצה אחת להכללה. אחר כך לוחצים על החרגת קבוצות ובוחרים את הקבוצה שרוצים להחריג. חוזרים על הפעולה כדי להחריג עוד קבוצות.

    לדוגמה, כדי להחיל כלל על כל המשתמשים בארגון למעט קבוצה מסוימת, כוללים את היחידה הארגונית בראש ההיררכיה ומחריגים רק את הקבוצה הרצויה.

    כדי להסיר יחידה ארגונית או קבוצה, לוחצים על סמל המחיקה שמוצג לצידה.

  6. לוחצים על המשך.
  7. אם צריך, בוחרים את האירוע שמפעיל את הכלל. פרטים נוספים מופיעים במאמר בנושא בחירת טריגר ותנאים.
  8. לוחצים על הוספת תנאי ומגדירים תנאי של סוג מכשיר:
    1. לוחצים על שדה ובוחרים באפשרות סוג המכשיר.
    2. לוחצים על ערך ובוחרים את סוג המכשיר: כל המכשירים, Android,‏ ChromeOS,‏ iOS,‏ Linux,‏ Mac או Windows.
      יכול להיות שלא כל האפשרויות של סוגי המכשירים יהיו זמינות כי חלק מהאירועים נתמכים רק בסוגים מסוימים.

    הערה: כדי להמשיך לשלב הבא, צריך להגדיר תנאי מסוג מכשיר.

  9. (אופציונלי) לוחצים על הוספת תנאי ומגדירים עוד תנאים. כדי שהכלל יחול, המכשיר צריך לעמוד בכל התנאים.
  10. לוחצים על המשך.
  11. אם צריך, בוחרים את הפעולה שתתבצע כשהתנאים של הכלל מתקיימים. לא כל הפעולות זמינות לכל האירועים.
    • חסימת המכשיר – המכשיר לא יוכל לסנכרן נתונים של החברה.
    • אישור המכשיר – (רק בניהול מתקדם של מכשירים ניידים) מאפשר למכשיר לסנכרן נתונים ארגוניים.
    • ביצוע איפוס—החשבון הארגוני של המשתמש והנתונים המשויכים לו יאופסו במכשיר. מידע נוסף על מחיקת חשבונות
    • ללא פעולה – לא מתבצעת פעולה במכשיר. אפשר להשתמש באפשרות הזו כשרוצים לקבל רק התראה על כך שהאירוע התרחש (כפי שמתואר בשלבים הבאים).
  12. (אופציונלי) כדי לשלוח התראות באימייל לכל הסופר-אדמינים, מסמנים את התיבה שליחה למרכז ההתראות ואז מסמנים את התיבה כל הסופר-אדמינים. הערה: עדיין אין תמיכה בהתראות ממרכז ההתראות, אבל צריך להפעיל אותן כדי לשלוח אימיילים לסופר-אדמינים.
  13. לוחצים על המשך.
  14. בודקים את הגדרות הכלל. אם הם נכונים, לוחצים על סיום. אם לא, לוחצים על הקודם כדי לערוך את הכלל.
  15. בתיבת הדו-שיח שנפתחת, בוחרים באחת מהאפשרויות:
    • כדי ליצור את הכלל ולהפעיל אותו עכשיו, לוחצים על פעיל.
    • כדי ליצור את הכלל ולהפעיל אותו מאוחר יותר, לוחצים על לא פעיל.
  16. לוחצים על סיום.
  17. כדי להפעיל כלל לא פעיל, לוחצים על הכלל ברשימת הכללים. בצד ימין, לוחצים על התפריט ובוחרים באפשרות פעיל.

עריכה של כלל קיים לניהול מכשירים

  1. במסוף Google Admin, נכנסים לתפריט ואז כללים.

    כדי לעשות את זה צריך הרשאת אדמין לצפייה בכללים להרשאות שיתוף.

  2. לוחצים על כללים לניהול מכשירים.
  3. לוחצים על הכלל שרוצים לערוך.
  4. לוחצים על הקטע שרוצים לערוך ומבצעים את השינויים. לוחצים על המשך לפי הצורך כדי להגיע לדף הבדיקה.
  5. בודקים את הגדרות הכלל. אם הם נכונים, לוחצים על סיום. אם לא, לוחצים על הקודם כדי לערוך את הכלל.
  6. בתיבת הדו-שיח שנפתחת, בוחרים אם הכלל פעיל או לא פעיל.
  7. לוחצים על סיום.

שימוש בתבניות של כללים

תבניות הכללים מוגדרות לתנאים ולפעולות נפוצים. אתם יכולים להשתמש באחת מהן כנקודת התחלה ולשנות אותה בהתאם לצרכים של הארגון. לדוגמה, כדי לאשר אוטומטית מכשירי אייפון ואייפד ולאשר ידנית מכשירי Android, צריך להשתמש בתבנית אישור אוטומטי של רישום מכשיר ולשנות את סוג המכשיר ל-iOS.

חסימת החשבון לאחר כמה ניסיונות כושלים לביטול נעילת המסך (Android בלבד)

הכלל הזה חוסם מכשיר Android אם יש יותר מ-5 ניסיונות כושלים לבטל את הנעילה שלו. הכלל מונע סנכרון של נתוני העבודה או בית הספר של המשתמש עם המכשיר.

כדי לשלוח התראות באימייל לכל הסופר-אדמינים, מסמנים את התיבה לצד שליחה למרכז ההתראות ואז מסמנים את התיבה לצד כל הסופר-אדמינים. הערה: עדיין אין תמיכה בהתראות ממרכז ההתראות, אבל צריך להפעיל אותן כדי לשלוח אימיילים לסופר-אדמינים.

איפוס נתונים אם מזוהה אירוע חשוד

הכלל הזה מסיר נתונים של החברה ממכשיר Android,‏ iPhone או iPad כשמזוהה פעילות חשודה.

באייפונים ובאייפדים, החשבון נמחק כשכתובת ה-MAC של ה-Wi-Fi במכשיר משתנה.

במכשירי Android, המכשיר נמחק כשמשתנה אחת מהתכונות הבאות של המכשיר:

  • גרסת תוכנת אתחול
  • מותג המכשיר
  • חומרת המכשיר
  • היצרן
  • דגם המכשיר
  • הרשאה באפליקציית Device Policy
  • מספר IMEI
  • מספר MEID
  • מספר סידורי
  • כתובת MAC ב-Wi-Fi

במכשירי Android שבבעלות החברה ובמכשירים אישיים שהוגדרו לשימוש לצורכי עבודה בלבד, כל הנתונים נמחקים מהמכשיר והמכשיר מאופס להגדרות המקוריות. במכשירים אישיים עם פרופיל עבודה, רק הפרופיל יאופס, והנתונים האישיים לא יימחקו.

מידע נוסף על אופן הפעולה של איפוס נתוני החשבון ואיפוס נתונים במכשיר זמין במאמר הסרה של נתוני חברה ממכשיר.

כדי לשלוח התראות באימייל לכל הסופר-אדמינים, מסמנים את התיבה לצד שליחה למרכז ההתראות ואז מסמנים את התיבה לצד כל הסופר-אדמינים. הערה: עדיין אין תמיכה בהתראות ממרכז ההתראות, אבל צריך להפעיל אותן כדי לשלוח אימיילים לסופר-אדמינים.

אישור אוטומטי של רישום מכשיר

מאשרת באופן אוטומטי את כל המכשירים הנתמכים כשמשתמש רושם את המכשיר שלו לניהול. הנתונים הארגוניים יסתנכרנו עם המכשיר כשהמשתמש ייכנס לחשבון שלו.

כדי לשלוח התראות באימייל לכל הסופר-אדמינים, מסמנים את התיבה לצד שליחה למרכז ההתראות ואז מסמנים את התיבה לצד כל הסופר-אדמינים. הערה: עדיין אין תמיכה בהתראות ממרכז ההתראות, אבל צריך להפעיל אותן כדי לשלוח אימיילים לסופר-אדמינים.

בחירת טריגר ותנאים

בוחרים את האירוע שמפעיל את הכלל. כדי לבחור את סוג המכשיר ותנאים אחרים שיקבעו אם הכלל יחול על מכשיר מסוים, צריך להשתמש בתנאים. הפעולה של הכלל מתבצעת רק כשהאירוע מתרחש במכשירים שעומדים בתנאים שצוינו.

אפשר לבחור אירוע אחד וכמה תנאים לכל כלל. חובה להגדיר תנאי של סוג המכשיר. בכל הכללים, אפשר גם להגביל את הכלל למכשירים ספציפיים לפי מזהה המכשיר, המספר הסידורי של המכשיר, דגם המכשיר או ערכים ספציפיים לתנאי. כדי להחיל יותר מתנאי אחד על כלל, לוחצים על הוספת תנאי.

שינוי רישום של חשבון

הכלל מופעל כשמצב הרישום של מכשיר בחשבון בארגון משתנה. מצב ההרשמה יכול להשתנות במקרים הבאים:

  • משתמש מוסיף את החשבון המנוהל שלו לצורכי עבודה או חשבון בית ספרי למכשיר חדש.
  • משתמש מבטל את הרישום של החשבון המנוהל שלו (של מקום עבודה או מוסד לימודים) במכשיר מנוהל.
  • ההרשאה לניהול שיש לארגון במכשיר Android משתנה.

כברירת מחדל, הכלל מופעל כשמזוהה אחד מהאירועים האלה.

כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:

תנאי ערכים
מצב החשבון

בוחרים את סוג השינוי ברישום:

  • נרשם ב – הכלל חל כשמוסיפים חשבון למכשיר.
  • ביטול הרישום מ – הכלל חל כשביטול הרישום של חשבון מתבצע ממכשיר מנוהל.
הרשאה באפליקציית Device Policy

בוחרים את הרשאת הניהול שיש לארגון במכשיר:

  • עם הרשאת אדמין במכשיר – הכלל חל על מכשירים אישיים שיש בהם חשבון מנוהל במרחב האישי.
  • עם הרשאה לפרופיל העבודה – הכלל חל על מכשירים אישיים שהוגדר בהם פרופיל עבודה.
  • עם הרשאת בעלות על המכשיר – הכלל חל על מכשירים בבעלות החברה ועל מכשירים אישיים שהוגדרו כ "למטרות עבודה בלבד".

אירוע פעולה במכשיר

הכלל מופעל כשמשתנה הגישה של משתמש לנתוני העבודה או בית הספר. האירועים האלה כוללים:

  • מכשיר מאושר, חסום או שהנתונים שלו נמחקים
  • האדמין איפס את נתוני החשבון המנוהל, הוציא אותו מהחשבון או ביטל את ההרשמה שלו

כברירת מחדל, הכלל מופעל כשמתרחש אירוע של פעולה במכשיר.

כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:

תנאי ערכים
סטטוס של פעולה שבוצעה במכשיר בוחרים את הסטטוס של הפעולה: המשתמש דחה את הפעולה, בוטלה, בוצעה, נכשלה, בהמתנה, נשלחה למכשיר או נמצאת בסטטוס ביצוע לא ידוע.
סוג פעולה שבוצעה במכשיר

בוחרים את הפעולה שמשויכת לאירוע:

  • מחיקת חשבון
  • מתן גישה
  • אישור
  • חסימה
  • איסוף דוח על באג
  • איפוס נתונים במכשיר
  • חסימת גישה
  • איתור מכשיר
  • נעילת המכשיר
  • הסרת האפליקציה
  • הסרה של פרופיל iOS
  • איפוס מיקום הסיכה
  • ביטול הטוקן
  • הפעלת צלצול במכשיר
  • ניתוק משתמש מהמערכת
  • סנכרון מכשיר
  • ביטול ההרשמה
  • לא ידוע

לדוגמה, כדי לחסום מכשיר כשאיפוס הנתונים במכשיר לא מצליח:

  1. מגדירים את סוג הפעולה שבוצעה במכשיר לאיפוס נתונים במכשיר.
  2. מגדירים את הסטטוס של פעולה שבוצעה במכשיר לנכשלה.

שינוי באפליקציה שבמכשיר

הכלל מופעל בכל פעם שמשתמש מתקין, מסיר או מעדכן אפליקציה במכשיר שלו. במכשירי Android אישיים שאין בהם פרופיל עבודה, צריך להפעיל את ההגדרה בקרה על אפליקציות. באייפונים ובאייפדים, המערכת מזהה רק שינויים באפליקציות מנוהלות שהותקנו באמצעות אפליקציית Google Device Policy.

כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:

תנאי ערכים
מזהה האפליקציה

מזינים את מזהה האפליקציה המלא או חלק ממנו.

לדוגמה, כדי להחיל את הכלל רק כשמתבצע שינוי באפליקציית YouTube לנייד, בוחרים באפשרות מכיל ומזינים youtube.
אפליקציה SHA-256 מזינים את כל הגיבוב SHA-256 של חבילת ה-APK של האפליקציה שהשתנתה, או חלק ממנו.
מצב האפליקציה

בוחרים את המצב שאליו האפליקציה השתנתה:

  • מותקנת ב
  • לא סומנה כאפליקציה שעלולה להזיק
  • זוהתה כאפליקציה שעלולה להזיק
  • זמן תחילת הפעולה:
  • נמחק מ
  • תאריך העדכון
ערך חדש מזינים את מספר הגרסה של האפליקציה שהשתנה, או חלק ממנו. לדוגמה, כדי להפעיל את הכלל כשעדכון של אפליקציית Chrome לגרסה 86 מתבצע, בוחרים באפשרות מכיל ומזינים 86.
הקטגוריה של אפליקציה שעלולה להזיק (PHA)

בוחרים את סוג האפליקציה שעלולה להזיק:

  • ייתכן שיש באפליקציה דלתות אחוריות
  • ייתכן שהאפליקציה כוללת אמצעים לזיוף שיחות
  • ייתכן שיש לאפליקציה יכולות לאיסוף נתונים
  • ייתכן שיש בקוד של האפליקציה לוגיקה של התקפת מניעת שירות (DoS)
  • ייתכן שהאפליקציה כוללת תוכנה זדונית שמטרתה לרמות את המשתמשים (fraudware)
  • ייתכן שהאפליקציה כוללת תוכנה זדונית
  • ייתכן שבאפליקציה יש קישורים לאתרים מזיקים
  • ייתכן שהאפליקציה כוללת תוכנה להורדת תוכנות מזיקות
  • יכול להיות שהאפליקציה כוללת רכיבים שיזיקו למכשירים שלא מבוססים על טוקנים של מערכת Android
  • ייתכן שהאפליקציה כוללת אמצעי פישינג
  • ייתכן שיש לאפליקציה יכולות הסלמת הרשאות (privilege escalation)
  • ייתכן שהאפליקציה כוללת תוכנת כופר
  • ייתכן שיש לאפליקציה יכולות לביצוע תהליך רוט (Rooting)
  • ייתכן שהאפליקציה כוללת ספאם
  • ייתכן שהאפליקציה כוללת רוגלה
  • ייתכן שהאפליקציה כוללת אמצעים לביצוע שיחות לא מקומיות מהטלפון (Toll Fraud)
  • ייתכן שהקוד של האפליקציה כולל לוגיקת מעקב
  • ייתכן שהאפליקציה כוללת סוס טרויאני
  • אפליקציה לא נפוצה
  • ייתכן שהאפליקציה כוללת אמצעים לביצוע הונאת WAP
  • יכול להיות שהאפליקציה כוללת תוכנה זדונית שתזיק ל-Windows

סטטוס העמידה בתנאי המדיניות של מכשיר (Android בלבד)

הכלל מופעל כשמכשיר לא עומד בדרישות המדיניות של הארגון. לדוגמה, משתמש משנה את הסיסמה למכשיר והיא כבר לא עומדת בדרישות של מדיניות הארגון בנושא סיסמאות. פרטים נוספים מופיעים במאמר בנושא סטטוס התאימות של המכשיר.

כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:

תנאי הכלל חל על
מצב התאימות של המכשיר

מכשירים שסטטוס התאימות שלהם השתנה. בוחרים אפשרות:

  • תואם למדיניות – הכלל יחול כשהמכשיר יעמוד בדרישות המדיניות של הארגון.
  • לא עומד בתנאי למדיניות שנקבעו כי המכשיר – לוחצים על הוספה ומשתמשים בתנאי הסיבה להשבתת המכשיר הנייד.
סיבות להשבתת הנייד בוחרים את הסיבה לכך שהמכשיר לא עומד בדרישות:
  • לא הוגבלו במכשיר שירותי נגישות
  • אדמין איפס את נתוני החשבון של המכשיר
  • הופעלה בו מצלמה
  • בסיכון
  • האדמין חסם אותו
  • נמצאו אפליקציות מזיקות במכשיר
  • לא בוצע במכשיר אימות של אפליקציית Device Policy
  • המכשיר לא נתמך
  • נדרש מידע על נעילת המסך
  • מדגם שמנהל המערכת לא התיר להשתמש בו
  • אדמין איפס את נתוני המכשיר
  • לא במצב 'בעלי המכשיר'
  • לא כולל את הגרסה העדכנית של אפליקציית Device Policy
  • לא נוצר לו פרופיל עבודה
  • לא הוגבלו במכשיר שיטות קלט
  • צריך להעביר אפליקציה אחת או יותר למצב מנוהל
  • לא סונכרן ב-24 השעות האחרונות
  • מופעל בו ווידג'ט מסך נעילה
  • במכשיר מוגדרים כמה חשבונות מנוהלים
  • לא מציית למדיניות בנושא סיסמה
  • לא ניתנה הרשאה לאיפוס הסיסמה במכשיר
  • לא הופעל בו סנכרון

מכשיר בסיכון (Android בלבד)

הכלל מופעל כשמכשיר Android נפרץ או כשמכשיר שנפרץ כבר לא נפרץ. מכשיר Android נפרץ כשמבצעים בו רוט (Root) – תהליך שמסיר הגבלות במכשיר. מכשירים שנפרצו יכולים להצביע על איום אבטחה פוטנציאלי.

כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:

תנאי ערכים
המצב 'מכשיר בסיכון'

בוחרים את הסטטוס החדש של המכשיר:

  • נמצאים בסיכון – הכלל חל על מכשירים שנמצאים בסיכון.
  • אינו בסיכון יותר – הכלל חל על מכשירים שהיו בסיכון, אבל כבר לא בסיכון.

עדכון מערכת ההפעלה של מכשיר

הכלל מופעל כשמערכת ההפעלה (OS) של מכשיר משתנה. סוגי השינויים במערכת ההפעלה שמפעילים את הכלל תלויים בסוג המכשיר:

  • ‫Android – שינויים בגרסת מערכת ההפעלה, במספר ה-Build, בגרסת הליבה, בגרסת פס הבסיס, בתיקון האבטחה או בגרסת טוען האתחול.
  • ‫iOS – רק שינויים בגרסת מערכת ההפעלה ובמספר ה-build. לדוגמה, משתמש מעדכן את המכשיר שלו למערכת הפעלה חדשה או מתקין את תיקון האבטחה האחרון.

כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:

תנאי ערכים
ערך ישן מזינים חלק מערך המאפיין של מערכת ההפעלה שהמכשיר השתנה ממנה, או את כולו.
הערך החדש מזינים חלק מערך המאפיין של מערכת ההפעלה שהמכשיר השתנה אליו, או את כולו.
מאפיין של מערכת ההפעלה

בוחרים את מאפיין מערכת ההפעלה שמפעיל את הכלל כשהערך שלו משתנה:

  • גרסת OS
  • מספר Build
  • גירסת ליבה
  • גרסת פס בסיס של המכשיר
  • תיקון אבטחה ל-OS
  • גרסת תוכנת האתחול במכשיר

ב-iOS, יש תמיכה רק בגרסת מערכת ההפעלה ובמספר Build.

בעלות על המכשיר (Android בלבד)

הכלל מופעל כשהבעלות על מכשיר משתנה מאישית לבעלות החברה, או מבעלות החברה לאישית.

כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:

תנאי ערכים
בעלות על המכשיר

בוחרים את מצב הבעלות על המכשיר שאליו המכשיר השתנה:

  • בבעלות החברה: הכלל חל על מכשירים שהבעלות עליהם השתנתה לבעלות החברה.
  • אישי – הכלל חל על מכשירים שהבעלות עליהם השתנתה לבעלות אישית.

שינוי הגדרות במכשיר (Android בלבד)

הכלל מופעל כשמתבצעים שינויים בהגדרות המכשיר במכשירי Android, כמו ניפוי באגים ב-USB, מקורות לא ידועים, אפשרויות למפתחים או אימות אפליקציות.

כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:

תנאי ערכים
ערך ישן מזינים חלק מהערך של הגדרת המכשיר או את כולו, שהמכשיר השתנה ממנו.
הערך החדש מזינים חלק מהערך של הגדרת המכשיר שהמכשיר השתנה אליו, או את כולו.
הגדרת המכשיר בוחרים את הגדרת המכשיר שמפעילה את הכלל כשהערך שלה משתנה:
  • אפשרויות למפתחים
  • מקורות לא מוכרים
  • ניפוי באגים ב-USB
  • אימות אפליקציות

סנכרון המכשיר

הכלל מופעל כשחשבון של משתמש מסתנכרן במכשיר.

כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:

תנאי ערכים
תאריך הסנכרון האחרון של אירוע שמצריך בדיקה

מזינים תאריך כחותמת זמן של UNIX. לדוגמה, 1606167154.

אפשר להפעיל את הכלל כשהסנכרון האחרון של המכשיר התרחש אחרי התאריך שצוין (גדול מ) או בתאריך שצוין או אחריו (גדול או שווה ל).

ניסיונות כושלים לביטול הנעילה של המסך (Android בלבד)

הכלל מופעל כשמכשיר מגיע למספר מוגדר של ניסיונות כושלים לפתוח את הנעילה שלו. כברירת מחדל, הכלל מופעל כשמתבצעים יותר מ-5 ניסיונות כושלים.

כדי לשנות את מספר הניסיונות הכושלים לפני החלת הכלל, משתמשים באפשרות הזו:

תנאי ערכים
ניסיונות כושלים לביטול הנעילה של המסך

בוחרים איך לספור את מספר הניסיונות הכושלים (גדול מ- או גדול מ- או שווה ל-) ומזינים את מספר הניסיונות הכושלים.

לדוגמה, אם מזינים 3 ובוחרים באפשרות גדול מ, הכלל מופעל בניסיון הכושל הרביעי. אם מזינים 3 ובוחרים באפשרות גדול מ או שווה ל, הכלל מופעל בניסיון הכושל השלישי.

פעילות חשודה

הכלל מופעל כשמאפיין של מכשיר משתנה במכשיר מנוהל, והמאפיין הזה הוא לא מאפיין שבדרך כלל משתנה. לדוגמה, דגם המכשיר משתנה כשהמכשיר לא השתנה.

במכשירי Android, פעילות חשודה כוללת שינויים במאפייני המכשיר הבאים:

  • גרסת תוכנת אתחול
  • מותג המכשיר
  • חומרת המכשיר
  • היצרן
  • דגם המכשיר
  • הרשאה באפליקציית Device Policy
  • מספר IMEI
  • מספר MEID
  • מספר סידורי
  • כתובת MAC ב-Wi-Fi

במכשירי אייפון ואייפד, הנתונים כוללים רק שינויים בכתובת ה-MAC של ה-Wi-Fi.

כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:

תנאי ערכים
מאפיין המכשיר

בוחרים את מאפיין המכשיר שמפעיל את הכלל כשהוא משתנה. כדי לבחור יותר ממאפיין אחד, צריך ליצור כלל נפרד לכל מאפיין. אם מוסיפים יותר ממאפיין אחד לכלל, המכשיר צריך לדווח על שינויים בכל המאפיינים שבחרתם.

הערה: במכשירי iOS, המערכת מזהה רק שינויים בכתובת ה-MAC של ה-Wi-Fi.
ערך ישן במכשירי Android, בוחרים את הרשאת ניהול המכשיר שהשתנתה במכשיר.
הערך החדש במכשירי Android, בוחרים את הרשאת ניהול המכשיר שהמכשיר עבר אליה.

תמיכה בפרופיל עבודה (Android בלבד)

הכלל יחול כשמכשיר Android יתחיל לתמוך בפרופילי עבודה. לדוגמה, כשמשדרגים את גרסת מערכת ההפעלה והמכשיר תומך עכשיו בפרופילים של העבודה.

הצגת נתונים על אירועים שזוהו

אפשר לבדוק נתונים על אירועים במכשירים מנוהלים בביקורת כללים.

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווח ואז ביקורת וחקירה ואז אירועים ביומן של כללים.

    כדי לעשות את זה צריך הרשאות אדמין לביקורת וחקירה.

  2. כדי לבדוק פעולות שקשורות לכללים לניהול מכשירים, לוחצים על הוספת מסנן ואז ניהול מכשירים. אפשר גם לסנן לפי מאפיינים אחרים של האירוע, כמו שם הכלל או החשבון של בעל המכשיר (סינון לפי בעל המשאב).

  3. (אופציונלי) כדי להתאים אישית את הנתונים שיוצגו, לוחצים על 'ניהול עמודות' בצד שמאל, בוחרים את העמודות שרוצים להציג או להסתיר ואז ולוחצים על שמירה.

  4. (אופציונלי) כדי לייצא את נתוני הדוח ישירות לקובץ Google Sheets ב-Google Drive או להוריד קובץ CSV עם נתוני הדוח:

    1. לוחצים על Download (הורדה) .
    2. בקטע בחירת עמודות, לוחצים על העמודות שנבחרו או על כל העמודות.
    3. בוחרים פורמט ולוחצים על הורדה.

    בכל אחד מסוגי הקבצים האלה, אפשר לייצא עד 100,000 שורות של נתונים.