Автоматизируйте задачи управления мобильными устройствами с помощью правил.

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard, Education Plus и Endpoint Education Upgrade; Cloud Identity Premium. Сравните вашу версию.

В качестве администратора вы можете определять правила для автоматизации задач управления устройствами и получения оповещений о безопасности. Например, вы можете автоматически блокировать устройства, сообщающие о подозрительной активности.

Вы можете применять правила управления устройствами к поддерживаемым мобильным устройствам .

Примечание: Для утверждения мобильных устройств с помощью правил устройства должны находиться в режиме расширенного управления мобильными устройствами. При необходимости включите расширенное управление мобильными устройствами .

Как работают правила

Правило управления устройством срабатывает при возникновении события на управляемом устройстве. При обнаружении события правило проверяет наличие указанных вами условий. Если условия выполнены, выполняется действие.

Например, вы можете заблокировать устройство, если на устройствах Android изменится состояние регистрации учетной записи из-за того, что пользователь отменил регистрацию корпоративной учетной записи на этом устройстве. В этом примере:

  • Событие представляет собой изменение состояния регистрации учетной записи на устройстве.
  • Первое условие — тип устройства должен быть Android .
  • Второе условие заключается в том, что пользователь отменяет регистрацию своей учетной записи на устройстве ( состояние учетной записи«Отменена регистрация »).
  • Данное действие блокирует устройство.

Вы можете создать собственное правило или использовать предопределенный шаблон. В качестве области действия вы можете назначить правило всей организации, подразделению или группе в Google Groups. Вы также можете исключить определенную группу.

Примечание: Правила управления устройствами позволяют утверждать, блокировать или удалять данные с устройства в ответ на определенное событие. Для управления доступом к приложениям Google на устройствах на основе таких атрибутов, как версия ОС, состояние безопасности, IP-адрес, географическое местоположение или принадлежность, можно использовать уровни доступа с учетом контекста. Подробнее

Создавайте и редактируйте правила.

Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

Создайте правило управления устройствами.

  1. Перейти в меню а потом Правила .
  2. Нажмите «Правила управления устройствами» .
  3. Нажмите «Добавить правило» и выберите один из вариантов:
    • Чтобы использовать шаблон правила, нажмите «Правило из шаблона» , а затем выберите нужный шаблон. Подробности см. в разделе «Использование шаблонов правил» .
    • Чтобы создать собственное правило, нажмите кнопку «Создать правило».
  4. Введите или отредактируйте заголовок и описание правила.
  5. Выберите, к кому применяется правило. По умолчанию правило применяется ко всем сотрудникам вашей организации.
    • Чтобы применить правило только к выбранным пользователям, нажмите «Указать организационные подразделения или группы» и выберите организационные подразделения и группы, которые необходимо включить.
    • Чтобы исключить пользователей из определенных групп, сначала выберите хотя бы одно организационное подразделение или группу, которую нужно включить. Затем нажмите «Исключить группы» и выберите группу для исключения. Повторите эти действия, чтобы исключить больше групп.

    Например, чтобы применить правило ко всем сотрудникам вашей организации, за исключением одной группы, включите в список подразделение высшего уровня и исключите единственную группу, на которую распространяется исключение.

    Чтобы удалить организационное подразделение или группу, нажмите кнопку «Очистить». рядом с ним.

  6. Нажмите «Продолжить» .
  7. При необходимости выберите событие, которое запускает правило. Подробнее см. раздел «Выбор триггера и условий» .
  8. Нажмите «Добавить условие» и задайте условие типа устройства:
    1. Щелкните «Поле» и выберите «Тип устройства» .
    2. Нажмите «Значение» и выберите тип устройства: «Все устройства» , «Android » или «iOS» . Не все варианты типов устройств могут быть доступны, поскольку некоторые события поддерживаются только для определенных типов.

    Примечание: Перед переходом к следующему шагу необходимо указать тип устройства.

  9. (Необязательно) Нажмите «Добавить условие» и настройте дополнительные условия. Для применения правила устройство должно соответствовать всем условиям.
  10. Нажмите «Продолжить» .
  11. При необходимости выберите действие, которое будет выполнено при соблюдении условий правила. Не все действия доступны для всех событий.
    • Блокировка мобильного устройства — предотвращает синхронизацию корпоративных данных с данного устройства.
    • Подтвердить использование мобильного устройства — (только для расширенного управления мобильными устройствами) Позволяет устройству синхронизировать корпоративные данные.
    • Выполнить очистку — удаляет корпоративную учетную запись пользователя и связанные с ней данные с устройства. Подробнее об очистке учетных записей .
    • Никаких действий — Не предпринимать никаких действий на устройстве. Этот вариант можно использовать, если вам нужно только уведомление о произошедшем событии (описано в следующих шагах).
  12. (Необязательно) Чтобы отправлять уведомления по электронной почте всем суперадминистраторам, установите флажок « Отправлять в центр оповещений» , а затем флажок «Всем суперадминистраторам» . Примечание: Уведомления в центр оповещений пока не поддерживаются, но их необходимо включить для отправки электронных писем суперадминистраторам.
  13. Нажмите «Продолжить» .
  14. Проверьте настройки правила. Если они верны, нажмите «Готово» . В противном случае нажмите «Назад» , чтобы отредактировать правило.
  15. В открывшемся диалоговом окне выберите один из вариантов:
    • Чтобы создать правило и включить его, нажмите «Активировать» .
    • Чтобы создать правило и включить его позже, нажмите «Неактивно» .
  16. Нажмите «Завершить» .
  17. Чтобы включить неактивное правило, в списке правил щелкните по нему. Слева щелкните меню и выберите «Активные» .

Отредактируйте существующее правило управления устройством.

  1. Перейти в меню а потом Правила .
  2. Нажмите «Правила управления устройствами» .
  3. Щелкните по правилу, которое хотите отредактировать.
  4. Щелкните по разделу, который хотите отредактировать, и внесите изменения. При необходимости нажмите «Продолжить» , чтобы перейти на страницу проверки.
  5. Проверьте настройки правила. Если они верны, нажмите «Готово» . В противном случае нажмите «Назад» , чтобы отредактировать правило.
  6. В открывшемся диалоговом окне выберите, является ли правило активным или неактивным.
  7. Нажмите «Завершить» .

Используйте шаблоны правил.

Шаблоны правил предназначены для общих условий и действий. Вы можете использовать один из них в качестве отправной точки и изменить его в соответствии с потребностями вашей организации. Например, чтобы автоматически одобрять iPhone и iPad, но вручную одобрять устройства Android, используйте шаблон регистрации устройства «Автоматическое одобрение» и измените тип устройства на iOS.

Блокировка аккаунта при многократных неудачных попытках разблокировки экрана (только для Android)

Это правило блокирует устройство Android, если предпринято более 5 неудачных попыток разблокировки. Правило также предотвращает синхронизацию рабочих или учебных данных пользователя с устройством.

Чтобы отправлять уведомления по электронной почте всем суперадминистраторам, установите флажок « Отправлять в центр оповещений» , а затем флажок «Всем суперадминистраторам» . Примечание: Уведомления в центр оповещений пока не поддерживаются, но их необходимо включить для отправки электронных писем суперадминистраторам.

Выполнить очистку подозрительного события.

Это правило удаляет корпоративные данные с устройств Android, iPhone или iPad при обнаружении подозрительной активности.

На iPhone и iPad учетная запись удаляется при изменении MAC-адреса Wi-Fi устройства.

На устройствах Android данные стираются при изменении любого из следующих параметров:

  • версия загрузчика
  • марка устройства
  • Аппаратное обеспечение устройства
  • Производитель
  • модель устройства
  • Политика устройства, привилегии приложения
  • номер IMEI
  • номер MEID
  • Серийный номер
  • MAC-адрес Wi-Fi

Для корпоративных устройств Android и личных устройств, настроенных только для работы, все данные с устройства удаляются, и устройство сбрасывается до заводских настроек. Для личных устройств с рабочим профилем удаляется только рабочий профиль, личные данные остаются нетронутыми.

Более подробную информацию о том, как происходит удаление данных учетной записи и устройства, см. в разделе «Удаление корпоративных данных с устройства» .

Чтобы отправлять уведомления по электронной почте всем суперадминистраторам, установите флажок « Отправлять в центр оповещений» , а затем флажок «Всем суперадминистраторам» . Примечание: Уведомления в центр оповещений пока не поддерживаются, но их необходимо включить для отправки электронных писем суперадминистраторам.

Автоматическое одобрение регистрации устройства

При регистрации устройства пользователем для управления система автоматически одобряет все поддерживаемые устройства. Корпоративные данные синхронизируются с устройством при входе пользователя в систему под своей учетной записью.

Чтобы отправлять уведомления по электронной почте всем суперадминистраторам, установите флажок « Отправлять в центр оповещений» , а затем флажок «Всем суперадминистраторам» . Примечание: Уведомления в центр оповещений пока не поддерживаются, но их необходимо включить для отправки электронных писем суперадминистраторам.

Выберите триггер и условия.

Выберите событие, которое запускает правило. Используйте условия для выбора типа устройства (Android, iOS или все) и других условий, определяющих, применяется ли правило к устройству. Действие правила выполняется только тогда, когда событие происходит на устройствах, отвечающих указанным условиям.

Для каждого правила можно выбрать одно событие и несколько условий. Необходимо задать условие типа устройства. Для всех правил также можно ограничить действие правилом определенными устройствами по идентификатору устройства, серийному номеру устройства, модели устройства или значениям, специфичным для условия. Чтобы применить к правилу несколько условий, нажмите «Добавить условие» .

Изменение регистрации учетной записи

Правило срабатывает при изменении состояния регистрации учетной записи устройства в вашей организации. Состояние регистрации может измениться в следующих случаях:

  • Пользователь добавляет свою рабочую или учебную учетную запись на новое устройство.
  • Пользователь отменяет регистрацию своей рабочей или учебной учетной записи на управляемом устройстве.
  • Изменятся права управления, которыми обладает ваша организация на устройстве Android.

По умолчанию правило срабатывает при обнаружении любого из этих событий.

Чтобы применить правило только к определенным устройствам, можно установить условия на основе свойств устройства и следующих параметров, специфичных для событий:
Состояние Ценности
Состояние учетной записи

Выберите тип изменения регистрации:

  • Зарегистрировано на — Применяет правило при добавлении учетной записи на устройство.
  • Отменена регистрация — Применяет это правило, когда учетная запись отменяется на управляемом устройстве.
Политика устройства, привилегии приложения

Выберите уровень прав управления, которыми обладает ваша организация на этом устройстве:

  • С правами администратора устройства — Применяет правило к личным устройствам, имеющим управляемую учетную запись в своем личном пространстве.
  • С правами доступа, предоставленными рабочим профилем , — Применяет правило к личным устройствам, на которых настроен рабочий профиль.
  • С правами владельца устройства — Применяет правило к устройствам, принадлежащим компании, и личным устройствам, настроенным как «только для работы».

событие действия устройства

Правило срабатывает при изменении доступа пользователя к рабочим или учебным данным. К таким событиям относятся:

  • Устройство одобрено, заблокировано или данные с него удалены.
  • Управляемая учетная запись удаляется, выходит из системы под управлением администратора или отключается от системы.

По умолчанию правило срабатывает при возникновении любого события, связанного с действием устройства.

Чтобы применить правило только к определенным устройствам, можно установить условия на основе свойств устройства и следующих параметров, специфичных для событий:
Состояние Ценности
Статус выполненного действия на устройстве Выберите статус действия: Действие отклонено пользователем , Отменено , Выполнено , Сбой , Ожидание , Отправлено на устройство или Неизвестный статус выполнения действия .
Тип действия, выполняемого на устройстве

Выберите действие, связанное с событием:

  • Удаление данных с аккаунта
  • Разрешить доступ
  • Утвердить
  • Блокировать
  • Соберите отчет об ошибке.
  • Стереть данные с устройства
  • Запретить доступ
  • Найдите устройство
  • Блокирующее устройство
  • Удалить приложение
  • Удалить профиль iOS
  • Сброс PIN-кода
  • Отменить токен
  • Кольцевое устройство
  • Выйти из системы
  • Синхронизирующее устройство
  • Отписаться
  • Неизвестный

Например, чтобы заблокировать устройство, если удаление данных с него не удалось:

  1. Установите для параметра «Тип действия, выполняемого на устройстве» значение «Стирание данных с устройства» .
  2. Установить статус действия, выполненного на устройстве, в значение «Неудачно» .

изменение приложения устройства

Правило срабатывает всякий раз, когда пользователь устанавливает, удаляет или обновляет приложение на своем устройстве. Для личных устройств Android, не имеющих рабочего профиля, необходимо включить параметр «Аудит приложений» . Для iPhone и iPad обнаруживаются только изменения в управляемых приложениях, установленных с помощью приложения «Политика устройств Google».

Чтобы применить правило только к определенным устройствам, можно установить условия на основе свойств устройства и следующих параметров, специфичных для событий:
Состояние Ценности
Идентификатор приложения

Введите полный или частичный идентификатор приложения, которое изменилось.

Например, чтобы правило применялось только при изменении мобильного приложения YouTube, выберите пункт «Содержит» и введите youtube .

Хэш приложения SHA-256 Введите полный или частичный хеш SHA-256 пакета приложения, в котором произошли изменения.
Состояние приложения

Выберите состояние, в которое перешло приложение:

  • Установлено на
  • Не помечено как потенциально опасное
  • Выявлено как потенциально опасное
  • Началось с
  • Удалено из
  • Обновлено
Новая ценность Введите полный или частичный номер версии, на которую изменилось приложение. Например, чтобы правило сработало при обновлении приложения Chrome до любой версии 86, выберите «Содержит» и введите 86 .
Потенциально опасная категория приложений

Выберите тип потенциально опасного приложения:

  • Приложение потенциально содержит бэкдор.
  • Приложение потенциально может содержать элементы, способствующие мошенничеству со звонками.
  • Приложение потенциально содержит функции сбора данных.
  • Приложение потенциально содержит логику, ведущую к отказу в обслуживании.
  • Приложение потенциально содержит мошенническое программное обеспечение.
  • Приложение потенциально содержит вредоносное ПО.
  • Приложение потенциально содержит вредоносные сайты.
  • Приложение потенциально содержит вредоносный загрузчик.
  • Приложение потенциально содержит угрозы для токенов, не относящихся к Android-системам.
  • Приложение потенциально содержит фишинговые элементы.
  • Приложение потенциально содержит возможности повышения привилегий.
  • Приложение потенциально содержит программу-вымогатель.
  • Приложение потенциально обладает возможностью получения root-прав.
  • Приложение потенциально содержит спам.
  • Приложение потенциально содержит шпионское ПО.
  • Приложение потенциально может содержать элементы, используемые для мошенничества с оплатой телефонных звонков.
  • Приложение потенциально содержит логику отслеживания.
  • Приложение потенциально содержит троянскую программу.
  • Это приложение встречается нечасто.
  • Приложение потенциально содержит элементы, способствующие мошенничеству с использованием WAP-трафика.
  • Приложение потенциально содержит вредоносное ПО для Windows.

Статус соответствия устройства требованиям (только для Android)

Правило срабатывает, когда устройство перестаёт соответствовать политикам вашей организации. Например, пользователь меняет пароль на своём устройстве, и оно перестаёт соответствовать вашей политике паролей. Подробнее см. раздел «Состояние соответствия устройства» .

Чтобы применить правило только к определенным устройствам, можно установить условия на основе свойств устройства и следующих параметров, специфичных для событий:
Состояние Применяет правило к
Состояние соответствия устройства требованиям

Устройства, статус соответствия которых изменился. Выберите вариант:

  • Соответствует установленным правилам — Правило применяется, когда устройство становится соответствующим правилам вашей организации.
  • Не соответствует установленным правилам, поскольку устройство — тогда нажмите «Добавить» и укажите причину деактивации мобильного устройства.
Причина деактивации мобильного устройства Выберите причину несоответствия устройства стандартам:
  • Не ограничивает доступность услуг для людей с ограниченными возможностями.
  • Учетная запись была удалена администратором.
  • Камера включена.
  • Компрометируется
  • Заблокировано администратором
  • Содержит вредоносные приложения.
  • Необходимо выполнить проверку приложения политики устройства.
  • Не поддерживается
  • Требуется информация для блокировки экрана.
  • Это модель, не разрешенная администратором.
  • Было удалено администратором.
  • Не находится в режиме владельца устройства.
  • Отсутствует последняя версия приложения для управления политиками устройств.
  • У пользователя не создан рабочий профиль.
  • Не имеет ограничений по методам ввода.
  • Необходимо перевести одно или несколько приложений в управляемое состояние.
  • Синхронизация не происходила в течение последних 24 часов.
  • Включены виджеты на экране блокировки
  • Имеет несколько управляемых счетов.
  • Не соблюдает политику паролей.
  • Разрешение на сброс пароля устройства не было предоставлено.
  • Синхронизация не включена.

Взлом устройства (только Android)

Правило срабатывает, когда устройство Android оказывается скомпрометировано или перестаёт быть скомпрометированным. Устройство Android считается скомпрометированным, когда оно получает root-права — процесс, который снимает ограничения с устройства. Скомпрометированные устройства могут указывать на потенциальную угрозу безопасности.

Чтобы применить правило только к определенным устройствам, можно установить условия на основе свойств устройства и следующих параметров, специфичных для событий:
Состояние Ценности
Устройство находится в скомпрометированном состоянии

Выберите, на какое значение изменился статус устройства:

  • Компрометация — Данное правило применяется к устройствам, которые были скомпрометированы.
  • Устройство больше не скомпрометировано — это правило применяется к устройствам, которые были скомпрометированы, но больше не скомпрометированы.

Обновление ОС устройства

Правило срабатывает при изменении операционной системы (ОС) устройства. Типы изменений ОС, которые запускают правило, зависят от типа устройства:

  • Android — Изменения в версии ОС, номере сборки, версии ядра, версии базовой полосы частот, патче безопасности или версии загрузчика.
  • iOS — Изменения касаются только версии ОС и номера сборки. Например, пользователь обновляет свое устройство до новой ОС или устанавливает последнее обновление безопасности.
Чтобы применить правило только к определенным устройствам, можно установить условия на основе свойств устройства и следующих параметров, специфичных для событий:
Состояние Ценности
Старая ценность Введите одно или все значения свойств операционной системы, которые изменились на устройстве.
Новое значение Введите часть или все значения свойств операционной системы, на которые изменилось устройство.
свойство ОС

Выберите свойство операционной системы, при изменении значения которого срабатывает правило:

  • версия ОС
  • Номер сборки
  • Версия ядра
  • версия базовой полосы устройства
  • патч безопасности ОС
  • версия загрузчика на их устройстве

Для iOS поддерживаются только версия ОС и номер сборки.

Владение устройством (только для Android)

Это правило срабатывает, когда право собственности на устройство переходит из личного пользования в собственность компании или из собственности компании в личное пользование.

Чтобы применить правило только к определенным устройствам, можно установить условия на основе свойств устройства и следующих параметров, специфичных для событий:
Состояние Ценности
право собственности на устройство

Выберите состояние владения устройством, на которое оно перешло:

  • Принадлежит компании — Данное правило применяется к устройствам, право собственности на которые перешло к компании.
  • Личное использование — это правило применяется к устройствам, право собственности на которые перешло к личному владельцу.

Изменение настроек устройства (только для Android)

Это правило срабатывает при изменении настроек устройства Android, таких как отладка по USB, установка неизвестных источников, параметры разработчика или проверка приложений.

Чтобы применить правило только к определенным устройствам, можно установить условия на основе свойств устройства и следующих параметров, специфичных для событий:
Состояние Ценности
Старая ценность Введите одно или все значения параметров устройства, которые были изменены.
Новое значение Введите часть или все значения параметров устройства, на которые оно переключилось.
Настройки устройства Выберите параметр устройства, при изменении значения которого будет запускаться правило:
  • Параметры разработчика
  • Неизвестные источники
  • Отладка по USB
  • Проверка приложений

Синхронизация устройств

Правило срабатывает при синхронизации учетной записи пользователя на устройстве.

Чтобы применить правило только к определенным устройствам, можно установить условия на основе свойств устройства и следующих параметров, специфичных для событий:
Состояние Ценности
Дата последнего события аудита синхронизации

Введите дату в формате метки времени UNIX. Например, 1606167154.

Правило может быть активировано, если последняя синхронизация устройства произошла после указанной даты ( больше ) или в указанную дату или после нее ( больше или равно ).

Неудачные попытки разблокировки экрана (только для Android)

Правило срабатывает, когда устройство достигает заданного количества неудачных попыток разблокировки. По умолчанию правило применяется, если количество неудачных попыток превышает 5.

Чтобы изменить количество неудачных попыток до применения правила, используйте эту опцию:

Состояние Ценности
Неудачные попытки разблокировки экрана

Выберите способ подсчета количества неудачных попыток ( больше или больше или равно ) и введите количество неудачных попыток.

Например, если вы введете 3 и выберете «Больше» , то правило сработает после четвертой неудачной попытки. Если вы введете 3 и выберете «Больше или равно» , то правило сработает после третьей неудачной попытки.

Подозрительная активность

Правило срабатывает, когда изменяется свойство управляемого устройства, и это свойство обычно не меняется. Например, изменяется модель устройства, хотя само устройство не менялось.

Для устройств Android подозрительная активность включает в себя изменения следующих свойств устройства:

  • версия загрузчика
  • марка устройства
  • Аппаратное обеспечение устройства
  • Производитель
  • модель устройства
  • Политика устройства, привилегии приложения
  • номер IMEI
  • номер MEID
  • Серийный номер
  • MAC-адрес Wi-Fi

Для iPhone и iPad это включает только изменения MAC-адреса Wi-Fi.

Чтобы применить правило только к определенным устройствам, можно установить условия на основе свойств устройства и следующих параметров, специфичных для событий:
Состояние Ценности
Свойство устройства

Выберите свойство устройства, при изменении которого будет запускаться правило. Чтобы выбрать несколько свойств, создайте для каждого свойства отдельное правило. Если вы добавите в правило более одного свойства, устройство должно будет сообщать об изменениях всех выбранных свойств.

Примечание: на устройствах iOS отслеживаются только изменения MAC-адреса сети Wi-Fi.

Старая ценность Для устройств Android выберите уровень привилегий управления устройством, с которого было изменено разрешение устройства.
Новое значение Для устройств Android выберите уровень привилегий управления устройством, на который оно перешло.

Поддержка рабочих профилей (только для Android)

Это правило применяется, когда устройство Android начинает поддерживать рабочие профили. Например, при обновлении версии ОС, когда устройство теперь поддерживает рабочие профили.

Просмотреть данные об обнаруженных событиях

В разделе «Аудит правил» можно просмотреть данные о событиях на управляемых устройствах.

  1. В консоли администратора Google перейдите в меню. а потом Отчетность а потом Аудит и расследование а потом Правила регистрируют события .

    Для этого необходимы права администратора по аудиту и расследованиям .

  2. Чтобы просмотреть действия, связанные с правилами управления устройствами, нажмите «Добавить фильтр». а потом Управление устройствами . Вы также можете фильтровать события по другим характеристикам, таким как имя правила или учетная запись владельца устройства (фильтр по владельцу ресурса ).

  3. (Необязательно) Чтобы настроить отображаемые данные, справа нажмите «Управление столбцами». Выберите столбцы, которые вы хотите отобразить или скрыть. а потом Нажмите « Сохранить ».

  4. (Необязательно) Чтобы экспортировать данные отчета непосредственно в файл Google Sheets в Google Drive или загрузить CSV-файл с данными отчета:

    1. Нажмите «Скачать» .
    2. В разделе «Выбрать столбцы» нажмите «Выбранные столбцы» или «Все столбцы» .
    3. Выберите формат и нажмите «Скачать» .

    В любом из этих форматов файлов можно экспортировать до 100 000 строк данных.