אוטומציה של משימות ניהול ניידים באמצעות כללים

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard,‏ Education Plus ו-Endpoint Education Upgrade,‏ Cloud Identity Premium. השוואה בין מהדורות

אדמינים יכולים להגדיר כללים להפעלה אוטומטית של משימות לניהול מכשירים ולקבלת התראות אבטחה. לדוגמה, אתם יכולים לחסום אוטומטית מכשירים שמדווחים על פעילות חשודה.

אפשר להחיל כללי ניהול מכשירים על מכשירים ניידים נתמכים.

הערה: כדי לאשר מכשירים ניידים באמצעות כללים, המכשירים צריכים להיות בניהול מתקדם של מכשירים ניידים. אם צריך, מפעילים ניהול מתקדם של מכשירים ניידים.

איך הכללים פועלים

כלל לניהול מכשירים מופעל כשמתרחש אירוע במכשיר מנוהל. כשהאירוע מזוהה, הכלל בודק אם מתקיימים התנאים שהגדרתם. אם התנאים מתקיימים, מתבצעת פעולה.

לדוגמה, אתם יכולים לחסום מכשיר כשמצב הרישום של החשבון משתנה במכשירי Android כי משתמש ביטל את הרישום של החשבון הארגוני שלו במכשיר. בדוגמה הזו:

  • האירוע הוא שינוי במצב ההרשמה לחשבון במכשיר.
  • התנאי הראשון הוא שסוג המכשיר הוא Android.
  • התנאי השני הוא שמשתמש מבטל את הרישום של החשבון שלו במכשיר (מצב החשבון הוא בוטל הרישום מ).
  • הפעולה חוסמת את המכשיר.

אתם יכולים ליצור כלל משלכם או להשתמש בתבנית מוגדרת מראש. בקטע 'היקף', אפשר להקצות כלל לכל הארגון, ליחידה ארגונית או לקבוצה ב-Google Groups. אפשר גם להחריג קבוצה.

הערה: כללים לניהול מכשירים מאפשרים לאשר, לחסום או לאפס מכשיר בתגובה לאירוע ספציפי. כדי לשלוט בגישה לאפליקציות Google במכשירים על סמך מאפייני המכשיר כמו גרסת מערכת ההפעלה, סטטוס האבטחה, כתובת ה-IP, המיקום הגיאוגרפי או הבעלות, אתם יכולים להשתמש ברמות של בקרת גישה מבוססת-הקשר. מידע נוסף

יצירה ועריכה של כללים

כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.

יצירת כלל לניהול מכשירים

  1. עוברים לתפריט  ואז  כללים.
  2. לוחצים על כללים לניהול מכשירים.
  3. לוחצים על הוספת כלל ובוחרים אפשרות:
    • כדי להשתמש בתבנית כלל, לוחצים על כלל מתבנית ואז על התבנית. פרטים נוספים מופיעים במאמר בנושא שימוש בתבניות של כללים.
    • כדי ליצור כלל משלכם, לוחצים על כלל חדש.
  4. מזינים או עורכים את השם והתיאור של הכלל.
  5. בוחרים על מי יחול הכלל. כברירת מחדל, הכלל הזה חל על כל המשתמשים בארגון.
    • כדי להחיל את הכלל רק על משתמשים נבחרים, לוחצים על בחירת יחידות ארגוניות או קבוצות ובוחרים את היחידות הארגוניות והקבוצות שרוצים לכלול.
    • כדי להחריג משתמשים בקבוצות ספציפיות, קודם בוחרים לפחות יחידה ארגונית אחת או קבוצה אחת להכללה. אחר כך לוחצים על החרגת קבוצות ובוחרים את הקבוצה שרוצים להחריג. חוזרים על הפעולה כדי להחריג עוד קבוצות.

    לדוגמה, כדי להחיל כלל על כל המשתמשים בארגון למעט קבוצה מסוימת, כוללים את היחידה הארגונית בראש ההיררכיה ומחריגים רק את הקבוצה הרצויה.

    כדי להסיר יחידה ארגונית או קבוצה, לוחצים על סמל המחיקה שמוצג לצידה.

  6. לוחצים על המשך.
  7. אם צריך, בוחרים את האירוע שמפעיל את הכלל. פרטים נוספים מופיעים במאמר בנושא בחירת טריגר ותנאים.
  8. לוחצים על הוספת תנאי ומגדירים תנאי של סוג מכשיר:
    1. לוחצים על שדה ובוחרים באפשרות סוג המכשיר.
    2. לוחצים על ערך ובוחרים את סוג המכשיר: כל המכשירים, Android או iOS. יכול להיות שלא כל האפשרויות של סוגי המכשירים יהיו זמינות, כי חלק מהאירועים נתמכים רק בסוגים מסוימים.

    הערה: כדי להמשיך לשלב הבא, צריך להגדיר תנאי מסוג מכשיר.

  9. (אופציונלי) לוחצים על הוספת תנאי ומגדירים עוד תנאים. כדי שהכלל יחול, המכשיר צריך לעמוד בכל התנאים.
  10. לוחצים על המשך.
  11. אם צריך, בוחרים את הפעולה שתתבצע כשהתנאים של הכלל מתקיימים. לא כל הפעולות זמינות לכל האירועים.
    • חסימת מכשיר נייד – מונעת מהמכשיר לסנכרן נתונים של החברה.
    • אישור של המכשיר הנייד – (רק בניהול מתקדם של מכשירים ניידים) מאפשר למכשיר לסנכרן נתונים ארגוניים.
    • ביצוע איפוס—החשבון הארגוני של המשתמש והנתונים המשויכים לו יאופסו במכשיר. מידע נוסף על מחיקת חשבונות
    • לא תתבצע שום פעולה – לא תתבצע שום פעולה במכשיר. אתם יכולים להשתמש באפשרות הזו אם אתם רוצים לקבל רק התראה על כך שהאירוע התרחש (כפי שמתואר בשלבים הבאים).
  12. (אופציונלי) כדי לשלוח התראות באימייל לכל הסופר-אדמינים, מסמנים את התיבה שליחה למרכז ההתראות ואז מסמנים את התיבה כל הסופר-אדמינים. הערה: עדיין אין תמיכה בהתראות ממרכז ההתראות, אבל צריך להפעיל אותן כדי לשלוח אימיילים לסופר-אדמינים.
  13. לוחצים על המשך.
  14. בודקים את הגדרות הכלל. אם הם נכונים, לוחצים על סיום. אם לא, לוחצים על הקודם כדי לערוך את הכלל.
  15. בתיבת הדו-שיח שנפתחת, בוחרים באחת מהאפשרויות:
    • כדי ליצור את הכלל ולהפעיל אותו עכשיו, לוחצים על פעיל.
    • כדי ליצור את הכלל ולהפעיל אותו מאוחר יותר, לוחצים על לא פעיל.
  16. לוחצים על סיום.
  17. כדי להפעיל כלל לא פעיל, לוחצים על הכלל ברשימת הכללים. בצד ימין, לוחצים על התפריט ובוחרים באפשרות פעיל.

עריכה של כלל קיים לניהול מכשירים

  1. עוברים לתפריט  ואז  כללים.
  2. לוחצים על כללים לניהול מכשירים.
  3. לוחצים על הכלל שרוצים לערוך.
  4. לוחצים על הקטע שרוצים לערוך ומבצעים את השינויים. לוחצים על המשך לפי הצורך כדי לעבור לדף הבדיקה.
  5. בודקים את הגדרות הכלל. אם הם נכונים, לוחצים על סיום. אם לא, לוחצים על הקודם כדי לערוך את הכלל.
  6. בתיבת הדו-שיח שנפתחת, בוחרים אם הכלל פעיל או לא פעיל.
  7. לוחצים על סיום.

שימוש בתבניות של כללים

תבניות הכללים מוגדרות לתנאים ולפעולות נפוצים. אתם יכולים להשתמש באחת מהן כנקודת התחלה ולשנות אותה בהתאם לצרכים של הארגון. לדוגמה, כדי לאשר אוטומטית מכשירי אייפון ואייפד ולאשר ידנית מכשירי Android, משתמשים בתבנית אישור אוטומטי של רישום מכשיר ומשנים את סוג המכשיר ל-iOS.

חסימת החשבון לאחר כמה ניסיונות כושלים לביטול נעילת המסך (Android בלבד)

הכלל הזה חוסם מכשיר Android אם יש יותר מ-5 ניסיונות כושלים לבטל את הנעילה שלו. הכלל מפסיק את הסנכרון של נתוני העבודה או בית הספר של המשתמש עם המכשיר.

כדי לשלוח התראות באימייל לכל הסופר-אדמינים, מסמנים את התיבה לצד שליחה למרכז ההתראות ואז מסמנים את התיבה לצד כל הסופר-אדמינים. הערה: עדיין אין תמיכה בהתראות ממרכז ההתראות, אבל צריך להפעיל אותן כדי לשלוח אימיילים לסופר-אדמינים.

איפוס נתונים אם מזוהה אירוע חשוד

הכלל הזה מסיר נתונים של החברה ממכשיר Android,‏ iPhone או iPad כשמזוהה פעילות חשודה.

באייפונים ובאייפדים, החשבון נמחק כשכתובת ה-MAC של ה-Wi-Fi במכשיר משתנה.

במכשירי Android, המכשיר עובר ניגוב כשמשתנה אחת מהתכונות הבאות של המכשיר:

  • גרסת Bootloader
  • מותג המכשיר
  • חומרת המכשיר
  • היצרן
  • דגם המכשיר
  • הרשאה באפליקציית Device Policy
  • מספר IMEI
  • מספר MEID
  • מספר סידורי
  • כתובת MAC של Wi-Fi

במכשירי Android שבבעלות החברה ובמכשירים אישיים שהוגדרו לשימוש לצורכי עבודה בלבד, כל הנתונים יאופסו מהמכשיר והמכשיר יאופס להגדרות היצרן. במכשירים אישיים עם פרופיל עבודה, רק הפרופיל יאופס, והנתונים האישיים לא יימחקו.

מידע נוסף על אופן הפעולה של איפוס נתוני החשבון והמכשיר זמין במאמר הסרה של נתוני חברה ממכשיר.

כדי לשלוח התראות באימייל לכל הסופר-אדמינים, מסמנים את התיבה לצד שליחה למרכז ההתראות ואז מסמנים את התיבה לצד כל הסופר-אדמינים. הערה: עדיין אין תמיכה בהתראות ממרכז ההתראות, אבל צריך להפעיל אותן כדי לשלוח אימיילים לסופר-אדמינים.

אישור אוטומטי של רישום מכשיר

מאשרת באופן אוטומטי את כל המכשירים הנתמכים כשמשתמש רושם את המכשיר שלו לניהול. הנתונים הארגוניים יסתנכרנו עם המכשיר כשהמשתמש ייכנס לחשבון שלו.

כדי לשלוח התראות באימייל לכל הסופר-אדמינים, מסמנים את התיבה לצד שליחה למרכז ההתראות ואז מסמנים את התיבה לצד כל הסופר-אדמינים. הערה: עדיין אין תמיכה בהתראות ממרכז ההתראות, אבל צריך להפעיל אותן כדי לשלוח אימיילים לסופר-אדמינים.

בחירת טריגר ותנאים

בוחרים את האירוע שמפעיל את הכלל. כדי לבחור את סוג המכשיר (Android, ‏ iOS או כל המכשירים) ותנאים אחרים שקובעים אם הכלל חל על מכשיר מסוים, צריך להשתמש בתנאים. הפעולה של הכלל מתבצעת רק כשהאירוע מתרחש במכשירים שעומדים בתנאים שצוינו.

אפשר לבחור אירוע אחד וכמה תנאים לכל כלל. חובה להגדיר תנאי של סוג מכשיר. בכל הכללים, אפשר גם להגביל כלל למכשירים ספציפיים לפי מזהה המכשיר, המספר הסידורי של המכשיר, דגם המכשיר או ערכים ספציפיים לתנאי. כדי להחיל יותר מתנאי אחד על כלל, לוחצים על הוספת תנאי.

שינוי רישום של חשבון

הכלל מופעל כשמצב רישום החשבון של מכשיר בארגון משתנה. מצב ההרשמה יכול להשתנות במקרים הבאים:

  • משתמש מוסיף את החשבון המנוהל שלו לצורכי עבודה או חשבון בית ספרי למכשיר חדש.
  • משתמש מבטל את הרישום של החשבון המנוהל שלו (של מקום עבודה או מוסד לימודים) במכשיר מנוהל.
  • ההרשאה לניהול שיש לארגון במכשיר Android משתנה.

כברירת מחדל, הכלל מופעל כשמזוהה אחד מהאירועים האלה.

כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:
תנאי ערכים
מצב החשבון

בוחרים את סוג השינוי ברישום:

  • נרשם ב – הכלל חל כשמוסיפים חשבון למכשיר.
  • ביטול הרישום מ – הכלל חל כשמבטלים את הרישום של חשבון ממכשיר מנוהל.
הרשאה באפליקציית Device Policy

בוחרים את הרשאת הניהול שיש לארגון במכשיר:

  • עם הרשאת אדמין במכשיר – הכלל חל על מכשירים אישיים שיש בהם חשבון מנוהל במרחב האישי.
  • עם הרשאה לפרופיל עבודה – הכלל חל על מכשירים אישיים שהוגדר בהם פרופיל עבודה.
  • עם הרשאת בעלים של המכשיר – הכלל חל על מכשירים בבעלות החברה ועל מכשירים אישיים שהוגדרו כ "למטרות עבודה בלבד".

אירוע פעולה במכשיר

הכלל מופעל כשמשתנה הגישה של משתמש לנתונים של העבודה או בית הספר. האירועים האלה כוללים:

  • מכשיר מאושר, נחסם או שהנתונים שלו נמחקים
  • האדמין איפס את נתוני החשבון המנוהל, הוציא אותו מהחשבון או ביטל את ההרשמה שלו

כברירת מחדל, הכלל מופעל כשמתרחש אירוע של פעולה במכשיר.

כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:
תנאי ערכים
סטטוס של פעולה שבוצעה במכשיר בוחרים את הסטטוס של הפעולה: המשתמש דחה את הפעולה, בוטלה, בוצעה, נכשלה, בהמתנה, נשלחה למכשיר או נמצאת בסטטוס ביצוע לא ידוע.
סוג פעולה שבוצעה במכשיר

בוחרים את הפעולה שמשויכת לאירוע:

  • איפוס נתונים בחשבון
  • מתן גישה
  • אישור
  • חסימה
  • איסוף דוח על באג
  • איפוס נתונים במכשיר
  • חסימת גישה
  • אתר מכשיר
  • נעילת המכשיר
  • הסר את האפליקציה
  • הסרה של פרופיל iOS
  • איפוס מיקום הסיכה
  • ביטול טוקן
  • השמעת צלצול במכשיר
  • ניתוק משתמש מהמערכת
  • סנכרון מכשיר
  • ביטול הרשמה
  • לא ידוע

לדוגמה, כדי לחסום מכשיר כשאיפוס הנתונים במכשיר לא מצליח:

  1. מגדירים את סוג הפעולה שבוצעה במכשיר לאיפוס המכשיר.
  2. מגדירים את הסטטוס של פעולה שבוצעה במכשיר לנכשלה.

שינוי ביישום המכשיר

הכלל מופעל בכל פעם שמשתמש מתקין, מסיר או מעדכן אפליקציה במכשיר שלו. במכשירי Android אישיים שאין בהם פרופיל עבודה, צריך להפעיל את ההגדרה בקרה על אפליקציות. באייפונים ובאייפדים, המערכת מזהה רק שינויים באפליקציות מנוהלות שהותקנו באמצעות אפליקציית Google Device Policy.

כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:
תנאי ערכים
מזהה האפליקציה

מזינים את מזהה האפליקציה המלא או חלק ממנו של האפליקציה שהשתנתה.

לדוגמה, כדי להחיל את הכלל רק כשיש שינוי באפליקציית YouTube לנייד, בוחרים באפשרות מכיל ומזינים youtube.
אפליקציה SHA-256 מזינים את הגיבוב SHA-256 של חבילת האפליקציה של האפליקציה שהשתנתה, או חלק ממנו.
מצב אפליקציה

בוחרים את המצב שאליו האפליקציה השתנתה:

  • מותקנת ב
  • לא סומנה כאפליקציה שעלולה להזיק
  • זוהתה כאפליקציה שעלולה להזיק
  • התחיל ב-
  • נמחק מ
  • תאריך העדכון
ערך חדש מזינים את מספר הגרסה המלא או החלקי של האפליקציה שהשתנתה. לדוגמה, כדי להפעיל את הכלל כשאפליקציית Chrome מתעדכנת לגרסה 86, בוחרים באפשרות מכיל ומזינים 86.
קטגוריה של אפליקציה שעלולה להזיק (PHA)

בוחרים את סוג האפליקציה שעלולה להזיק:

  • יכול להיות שיש באפליקציה דלתות אחוריות
  • יכול להיות שהאפליקציה כוללת אמצעים לזיוף שיחות
  • יכול להיות שיש לאפליקציה יכולות לאיסוף נתונים
  • יכול להיות שהאפליקציה מכילה לוגיקה של התקפת מניעת שירות (DoS)
  • יכול להיות שהאפליקציה כוללת תוכנה זדונית שמטרתה לרמות את המשתמשים (fraudware)
  • יכול להיות שהאפליקציה כוללת תוכנה זדונית
  • יכול להיות שהאפליקציה מכילה קישורים לאתרים מזיקים
  • יכול להיות שהאפליקציה כוללת תוכנה להורדת תוכנות מזיקות
  • יכול להיות שהאפליקציה כוללת רכיבים שיזיקו למכשירים שלא מבוססים על טוקנים של מערכת Android
  • יכול להיות שהאפליקציה כוללת פישינג
  • יכול להיות שיש לאפליקציה יכולות הסלמת הרשאות
  • יכול להיות שהאפליקציה כוללת תוכנת כופר
  • יכול להיות שיש לאפליקציה יכולות לביצוע תהליך רוט (Rooting)
  • יכול להיות שהאפליקציה מכילה ספאם
  • יכול להיות שהאפליקציה מכילה רוגלה
  • יכול להיות שהאפליקציה כוללת אמצעים לביצוע שיחות לא מקומיות מהטלפון (Toll Fraud)
  • יכול להיות שהאפליקציה כוללת לוגיקת מעקב
  • יכול להיות שהאפליקציה כוללת סוס טרויאני
  • אפליקציה לא נפוצה
  • יכול להיות שהאפליקציה כוללת אמצעים לביצוע הונאת WAP
  • יכול להיות שהאפליקציה כוללת תוכנה זדונית שתזיק ל-Windows

סטטוס העמידה בתנאי המדיניות של המכשיר (Android בלבד)

הכלל מופעל כשמכשיר לא עומד בדרישות המדיניות של הארגון. לדוגמה, משתמש משנה את הסיסמה למכשיר והיא כבר לא עומדת בדרישות של מדיניות הארגון בנושא סיסמאות. פרטים נוספים מופיעים במאמר בנושא סטטוס תאימות של מכשיר.

כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:
תנאי הכלל חל על
מצב התאימות של המכשיר

מכשירים שסטטוס התאימות שלהם השתנה. בוחרים אפשרות:

  • תאימות למדיניות – הכלל יחול כשהמכשיר יהיה תואם למדיניות של הארגון.
  • לא עומד בתנאי למדיניות שנקבעו כי המכשיר – לוחצים על הוספה ומשתמשים בתנאי 'סיבות להשבתת הנייד'.
סיבות להשבתת הנייד בוחרים את הסיבה לכך שהמכשיר לא עומד בדרישות:
  • לא הוגבלו במכשיר שירותי נגישות
  • אדמין איפס את נתוני החשבון של המכשיר
  • הופעלה בו מצלמה
  • בסיכון
  • האדמין חסם אותו
  • נמצאו אפליקציות מזיקות במכשיר
  • לא בוצע במכשיר אימות של אפליקציית Device Policy
  • המכשיר לא נתמך
  • נדרש מידע על נעילת המסך
  • מדגם שהאדמין לא התיר להשתמש בו
  • אדמין איפס את נתוני המכשיר
  • לא במצב 'בעלי המכשיר'
  • לא כולל את הגרסה העדכנית של אפליקציית Device Policy
  • לא נוצר לו פרופיל עבודה
  • לא הוגבלו במכשיר שיטות קלט
  • צריך להעביר אפליקציה אחת או יותר למצב מנוהל
  • לא סונכרן ב-24 השעות האחרונות
  • מופעל בו ווידג'ט מסך נעילה
  • במכשיר מוגדרים כמה חשבונות מנוהלים
  • לא מציית למדיניות בנושא סיסמה
  • לא ניתנה הרשאה לאיפוס הסיסמה במכשיר
  • לא הופעל בו סנכרון

מכשיר בסיכון (Android בלבד)

הכלל מופעל כשמכשיר Android נמצא בסיכון או כשמכשיר Android כבר לא נמצא בסיכון. מכשיר Android נפרץ כשהוא עובר תהליך רוט (Root) – תהליך שמסיר הגבלות במכשיר. מכשירים שנפרצו יכולים להעיד על איום אבטחה פוטנציאלי.

כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:
תנאי ערכים
מצב סיכון של מכשיר

בוחרים את הסטטוס החדש של המכשיר:

  • נמצאים בסיכון – הכלל חל על מכשירים שנמצאים בסיכון.
  • אינו בסיכון יותר – הכלל חל על מכשירים שהיו בסיכון, אבל כבר לא בסיכון.

עדכון מערכת ההפעלה של מכשיר

הכלל מופעל כשמערכת ההפעלה (OS) של מכשיר משתנה. סוגי השינויים במערכת ההפעלה שמפעילים את הכלל תלויים בסוג המכשיר:

  • ‫Android – שינויים בגרסת מערכת ההפעלה, במספר ה-Build, בגרסת הליבה, בגרסת פס הבסיס, בתיקון האבטחה או בגרסת טוען האתחול.
  • ‫iOS – רק שינויים בגרסת מערכת ההפעלה ובמספר ה-build. לדוגמה, משתמש מעדכן את המכשיר שלו למערכת הפעלה חדשה או מחיל את תיקון האבטחה האחרון.
כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:
תנאי ערכים
ערך ישן מזינים חלק מערך המאפיין של מערכת ההפעלה שהמכשיר השתנה ממנו, או את כולו.
ערך חדש מזינים חלק מערך המאפיין של מערכת ההפעלה שהמכשיר השתנה אליו, או את כולו.
מאפיין של מערכת ההפעלה

בוחרים את מאפיין מערכת ההפעלה שמפעיל את הכלל כשהערך שלו משתנה:

  • גרסת מערכת הפעלה
  • מספר Build
  • גרסת ליבה
  • גרסת פס בסיס של המכשיר
  • תיקון אבטחה ל-OS
  • גרסת תוכנת האתחול במכשיר

ב-iOS, יש תמיכה רק בגרסת מערכת ההפעלה ובמספר ה-build.

בעלות על המכשיר (Android בלבד)

הכלל מופעל כשהבעלות על מכשיר משתנה מאישית לבעלות החברה, או מבעלות החברה לאישית.

כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:
תנאי ערכים
בעלות על המכשיר

בוחרים את מצב הבעלות על המכשיר שאליו המכשיר עבר:

  • בבעלות החברה: הכלל חל על מכשירים שהבעלות עליהם השתנתה לבעלות החברה.
  • אישי – הכלל חל על מכשירים שהבעלות עליהם השתנתה לבעלות אישית.

שינוי הגדרות במכשיר (Android בלבד)

הכלל מופעל כשמתבצעים שינויים בהגדרות המכשיר במכשירי Android, כמו ניפוי באגים באמצעות USB, מקורות לא ידועים, אפשרויות למפתחים או אימות אפליקציות.

כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:
תנאי ערכים
ערך ישן מזינים חלק מהערך של הגדרת המכשיר או את כולו, שהמכשיר השתנה ממנו.
ערך חדש מזינים חלק מהערך של הגדרת המכשיר שהמכשיר השתנה אליו, או את כולו.
הגדרת המכשיר בוחרים את הגדרת המכשיר שמפעילה את הכלל כשהערך שלה משתנה:
  • אפשרויות למפתחים
  • מקורות לא ידועים
  • ניפוי באגים ב-USB
  • אימות אפליקציות

סנכרון המכשיר

הכלל מופעל כשחשבון של משתמש מסתנכרן במכשיר.

כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:
תנאי ערכים
תאריך הסנכרון האחרון של אירוע בקרה

מזינים תאריך כחותמת זמן של UNIX. לדוגמה, 1606167154.

אפשר להפעיל את הכלל כשהסנכרון האחרון של המכשיר התרחש אחרי התאריך שצוין (גדול מ) או בתאריך שצוין או אחריו (גדול או שווה ל).

ניסיונות כושלים לביטול הנעילה של המסך (Android בלבד)

הכלל מופעל כשמכשיר מגיע למספר מוגדר של ניסיונות כושלים לבטל את הנעילה שלו. כברירת מחדל, הכלל חל כשיש יותר מ-5 ניסיונות כושלים.

כדי לשנות את מספר הניסיונות הכושלים לפני החלת הכלל, משתמשים באפשרות הזו:

תנאי ערכים
ניסיונות כושלים לביטול הנעילה של המסך

בוחרים איך לספור את מספר הניסיונות הכושלים (גדול מ- או גדול מ- או שווה ל-) ומזינים את מספר הניסיונות הכושלים.

לדוגמה, אם מזינים 3 ובוחרים באפשרות גדול מ-, הכלל מופעל בניסיון השלישי שנכשל. אם מזינים 3 ובוחרים באפשרות גדול או שווה ל-, הכלל מופעל בניסיון השלישי שנכשל.

פעילות חשודה

הכלל מופעל כשמאפיין של מכשיר משתנה במכשיר מנוהל, והמאפיין הזה הוא לא מאפיין שבדרך כלל משתנה. לדוגמה, דגם המכשיר משתנה כשלא בוצעו שינויים במכשיר.

במכשירי Android, פעילות חשודה כוללת שינויים במאפייני המכשיר הבאים:

  • גרסת Bootloader
  • מותג המכשיר
  • חומרת המכשיר
  • היצרן
  • דגם המכשיר
  • הרשאה באפליקציית Device Policy
  • מספר IMEI
  • מספר MEID
  • מספר סידורי
  • כתובת MAC של Wi-Fi

במכשירי אייפון ואייפד, הנתונים כוללים רק שינויים בכתובת ה-MAC של ה-Wi-Fi.

כדי להחיל את הכלל רק על מכשירים מסוימים, אפשר להגדיר תנאים על סמך מאפייני המכשיר והאפשרויות הבאות שספציפיות לאירוע:
תנאי ערכים
מאפיין המכשיר

בוחרים את מאפיין המכשיר שגורם להפעלת הכלל כשהוא משתנה. כדי לבחור יותר ממאפיין אחד, צריך ליצור כלל נפרד לכל מאפיין. אם מוסיפים יותר ממאפיין אחד לכלל, המכשיר צריך לדווח על שינויים בכל המאפיינים שבוחרים.

הערה: במכשירי iOS, המערכת מזהה רק שינויים בכתובת ה-MAC של ה-Wi-Fi.
ערך ישן במכשירי Android, בוחרים את הרשאת ניהול המכשיר שהשתנתה במכשיר.
ערך חדש במכשירי Android, בוחרים את הרשאת ניהול המכשיר שהשתנתה במכשיר.

תמיכה בפרופיל עבודה (Android בלבד)

הכלל יחול כשמכשיר Android יתחיל לתמוך בפרופילי עבודה. לדוגמה, כשמשדרגים את גרסת מערכת ההפעלה והמכשיר תומך עכשיו בפרופילים של העבודה.

הצגת נתונים על אירועים שזוהו

אפשר לבדוק נתונים על אירועים במכשירים מנוהלים בביקורת כללים.

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווח and thenביקורת וחקירה ואזאירועים ביומן של כללים.

    כדי לעשות את זה צריך הרשאות אדמין לביקורת וחקירה.

  2. כדי לעיין בפעולות שקשורות לכללי ניהול המכשירים, לוחצים על הוספת מסנן ואזניהול מכשירים. אפשר גם לסנן לפי מאפיינים אחרים של האירוע, כמו שם הכלל או החשבון של בעל המכשיר (מסננים לפי בעלים של משאב).

  3. (אופציונלי) בלחיצה על 'ניהול עמודות' בצד שמאל , אפשר להתאים אישית את הנתונים שיוצגו. בוחרים את העמודות שרוצים להציג או להסתיר ואזלוחצים על שמירה.

  4. (אופציונלי) כדי לייצא את נתוני הדוח ישירות לקובץ Google Sheets ב-Google Drive או להוריד קובץ CSV עם נתוני הדוח:

    1. לוחצים על סמל ההורדה .
    2. בקטע בחירת עמודות, לוחצים על העמודות שנבחרו או על כל העמודות.
    3. בוחרים פורמט ולוחצים על הורדה.

    בכל אחד מסוגי הקבצים האלה, אפשר לייצא עד 100,000 שורות של נתונים.