Automatisieren Sie mobile Verwaltungsaufgaben mit Regeln

Unterstützte Editionen für diese Funktion: Enterprise ; Bildungsstandard und Bildungsplus; Cloud Identity-Premium. Vergleichen Sie Ihre Ausgabe

Als Administrator können Sie Regeln definieren, um Geräteverwaltungsaufgaben zu automatisieren und Sicherheitswarnungen zu erhalten. Beispielsweise können Sie Geräte, die verdächtige Aktivitäten melden, automatisch blockieren.

Sie können Geräteverwaltungsregeln auf unterstützte Mobilgeräte anwenden .

Hinweis: Um mobile Geräte mit Regeln zu genehmigen , müssen die Geräte der erweiterten mobilen Verwaltung unterliegen. Aktivieren Sie bei Bedarf die erweiterte Mobilgeräteverwaltung .

Wie Regeln funktionieren

Eine Geräteverwaltungsregel wird durch ein Ereignis auf einem verwalteten Gerät ausgelöst. Wenn das Ereignis erkannt wird, prüft die Regel auf alle von Ihnen angegebenen Bedingungen. Wenn die Bedingungen erfüllt sind, wird eine Aktion ausgeführt.

Beispielsweise können Sie ein Gerät blockieren, wenn sich der Kontoregistrierungsstatus auf Android-Geräten ändert, weil ein Benutzer sein Unternehmenskonto vom Gerät abmeldet. In diesem Beispiel:

Das Ereignis ist eine Kontoregistrierungsstatusänderung auf einem Gerät.
Die erste Bedingung ist, dass der Gerätetyp Android ist.
Die zweite Bedingung ist, dass ein Benutzer sein Konto vom Gerät abmeldet ( Kontostatus ist Abgemeldet von ).
Die Aktion blockiert das Gerät.

Sie können Ihre eigene Regel erstellen oder mit einer vordefinierten Vorlage arbeiten. Für den Geltungsbereich können Sie Ihrer gesamten Organisation, einer Organisationseinheit oder einer Gruppe in Google Groups eine Regel zuweisen. Sie können auch eine Gruppe ausschließen.

Hinweis: Mit Geräteverwaltungsregeln können Sie ein Gerät als Reaktion auf ein bestimmtes Ereignis genehmigen, blockieren oder löschen. Um den Zugriff auf Google-Apps für Geräte basierend auf Geräteattributen wie Betriebssystemversion, Sicherheitsstatus, IP-Adresse, geografischem Standort oder Eigentum zu steuern, können Sie kontextsensitive Zugriffsebenen verwenden. Erfahren Sie mehr

Regeln erstellen und bearbeiten

Für diese Aufgabe müssen Sie als Superadministrator angemeldet sein.

Erstellen Sie eine Geräteverwaltungsregel

Melden Sie sich in Ihrer Google Admin-Konsole an .
Melden Sie sich mit einem Konto mit Superadministratorrechten an (endet nicht auf @gmail.com).
Gehen Sie in der Admin-Konsole zu Menü Regeln .
Klicken Sie auf Geräteverwaltungsregeln .
Klicken Sie auf Regel hinzufügen und wählen Sie eine Option aus:
- Um eine Regelvorlage zu verwenden, klicken Sie auf Regel aus Vorlage und dann auf die Vorlage. Einzelheiten finden Sie unter Verwenden der Regelvorlagen .
- Um Ihre eigene Regel zu erstellen, klicken Sie auf Neue Regel.
Geben Sie den Titel und die Beschreibung der Regel ein oder bearbeiten Sie sie.
Wählen Sie aus, für wen die Regel gilt. Standardmäßig gilt die Regel für jeden in Ihrer Organisation.
- Um die Regel nur auf ausgewählte Benutzer anzuwenden, klicken Sie auf Organisationseinheiten oder Gruppen angeben und wählen Sie die einzuschließenden Organisationseinheiten und Gruppen aus.
- Um Nutzer in bestimmten Gruppen auszuschließen, wählen Sie zunächst mindestens eine einzuschließende Organisationseinheit oder Gruppe aus. Klicken Sie dann auf Gruppen ausschließen und wählen Sie die auszuschließende Gruppe aus. Wiederholen Sie den Vorgang, um weitere Gruppen auszuschließen.
Um beispielsweise eine Regel auf jeden in Ihrer Organisation mit Ausnahme einer Gruppe anzuwenden, schließen Sie die Organisationseinheit der obersten Ebene ein und schließen Sie die eine ausgenommene Gruppe aus.
Um eine Organisationseinheit oder Gruppe zu entfernen, klicken Sie auf Löschen Daneben.
Klicken Sie auf Weiter .
Wählen Sie bei Bedarf das Ereignis aus, das die Regel auslöst. Einzelheiten finden Sie unter Auslöser und Bedingungen auswählen .
Klicken Sie auf Bedingung hinzufügen und legen Sie eine Gerätetypbedingung fest:
1. Klicken Sie auf Feld und wählen Sie Gerätetyp aus.
2. Klicken Sie auf Wert und wählen Sie den Gerätetyp aus: Alle Geräte , Android oder iOS . Möglicherweise sind nicht alle Gerätetypoptionen verfügbar, da einige Ereignisse nur für bestimmte Typen unterstützt werden.
Hinweis: Eine Gerätetypbedingung ist erforderlich, bevor Sie mit dem nächsten Schritt fortfahren können.
(Optional) Klicken Sie auf Bedingung hinzufügen und richten Sie weitere Bedingungen ein. Ein Gerät muss alle Bedingungen erfüllen, damit die Regel gilt.
Klicken Sie auf Weiter .
Wählen Sie bei Bedarf die Aktion aus, die ausgeführt werden soll, wenn die Bedingungen der Regel erfüllt sind. Nicht alle Aktionen sind für alle Ereignisse verfügbar.
- Mobilgerät blockieren – Verhindert, dass das Gerät Unternehmensdaten synchronisiert.
- Mobilgerät genehmigen – (nur erweiterte Mobilgeräteverwaltung) Ermöglicht dem Gerät, Unternehmensdaten zu synchronisieren.
- Löschvorgang durchführen – Löscht das Unternehmenskonto des Benutzers und zugehörige Daten vom Gerät. Erfahren Sie mehr über Kontolöschungen .
- Keine Aktion – Führen Sie keine Aktion auf dem Gerät durch. Sie können diese Option verwenden, wenn Sie nur eine Benachrichtigung erhalten möchten, dass das Ereignis aufgetreten ist (in den nächsten Schritten beschrieben).
(Optional) Um E-Mail-Benachrichtigungen an alle Superadministratoren zu senden, aktivieren Sie das Kontrollkästchen An Benachrichtigungszentrale senden und aktivieren Sie dann das Kontrollkästchen Alle Superadministratoren . Hinweis: Alert Center-Benachrichtigungen werden noch nicht unterstützt, müssen aber aktiviert werden, um E-Mails an Superadministratoren zu senden.
Klicken Sie auf Weiter .
Überprüfen Sie die Regeleinstellungen. Wenn sie richtig sind, klicken Sie auf Fertig stellen . Wenn nicht, klicken Sie auf Zurück , um die Regel zu bearbeiten.
Wählen Sie im sich öffnenden Dialogfeld eine Option aus:
- Um die Regel zu erstellen und jetzt zu aktivieren, klicken Sie auf Aktiv .
- Um die Regel zu erstellen und später zu aktivieren, klicken Sie auf Inaktiv .
Klicken Sie auf Fertig .
Um eine inaktive Regel zu aktivieren, klicken Sie in der Regelliste auf die Regel. Klicken Sie links auf das Menü und wählen Sie Aktiv aus.

Bearbeiten Sie eine vorhandene Geräteverwaltungsregel

Melden Sie sich in Ihrer Google Admin-Konsole an .
Melden Sie sich mit einem Konto mit Superadministratorrechten an (endet nicht auf @gmail.com).
Gehen Sie in der Admin-Konsole zu Menü Regeln .
Klicken Sie auf Geräteverwaltungsregeln .
Klicken Sie auf die Regel, die Sie bearbeiten möchten.
Klicken Sie auf den Abschnitt, den Sie bearbeiten möchten, und nehmen Sie Ihre Änderungen vor. Klicken Sie nach Bedarf auf Weiter , um zur Überprüfungsseite zu gelangen.
Überprüfen Sie die Regeleinstellungen. Wenn sie richtig sind, klicken Sie auf Fertig stellen . Wenn nicht, klicken Sie auf Zurück , um die Regel zu bearbeiten.
Wählen Sie im sich öffnenden Dialog aus, ob die Regel aktiv oder inaktiv ist.
Klicken Sie auf Fertig .

Verwenden Sie die Regelvorlagen

Regelvorlagen werden für allgemeine Bedingungen und Aktionen eingerichtet. Sie können einen als Ausgangspunkt verwenden und ihn an die Anforderungen Ihrer Organisation anpassen. Um beispielsweise iPhones und iPads automatisch zu genehmigen, aber Android-Geräte manuell zu genehmigen, verwenden Sie die Registrierungsvorlage für Geräte automatisch genehmigen und ändern Sie den Gerätetyp in iOS.

Konto bei mehreren fehlgeschlagenen Bildschirmentsperrungen sperren (nur Android)

Diese Regel blockiert ein Android-Gerät, wenn mehr als 5 Versuche zum Entsperren fehlgeschlagen sind. Die Regel verhindert, dass die Arbeits- oder Schuldaten des Benutzers mit dem Gerät synchronisiert werden.

Um E-Mail-Benachrichtigungen an alle Superadministratoren zu senden, aktivieren Sie das Kontrollkästchen An Benachrichtigungscenter senden und aktivieren Sie dann das Kontrollkästchen Alle Superadministratoren . Hinweis: Alert Center-Benachrichtigungen werden noch nicht unterstützt, müssen aber aktiviert werden, um E-Mails an Superadministratoren zu senden.

Führen Sie bei verdächtigem Ereignis eine Löschung durch

Diese Regel entfernt Unternehmensdaten von einem Android-Gerät, iPhone oder iPad, wenn verdächtige Aktivitäten erkannt werden.

Bei iPhones und iPads wird das Konto gelöscht, wenn sich die WLAN-MAC-Adresse des Geräts ändert.

Bei Android-Geräten wird das Gerät gelöscht, wenn sich eine der folgenden Geräteeigenschaften ändert:

Bootloader-Version
Gerätemarke
Gerätehardware
Hersteller
Gerätemodell
App-Berechtigung für Geräterichtlinien
IMEI-Nummer
MEID-Nummer
Seriennummer
WLAN-MAC-Adresse

Bei unternehmenseigenen Android-Geräten und privaten Geräten, die nur als geschäftlich eingerichtet sind, werden alle Daten vom Gerät gelöscht und das Gerät auf die Werkseinstellungen zurückgesetzt. Bei privaten Geräten mit einem Arbeitsprofil wird nur das Arbeitsprofil gelöscht, persönliche Daten bleiben unberührt.

Weitere Informationen zur Konto- und Gerätelöschung finden Sie unter Unternehmensdaten von einem Gerät entfernen .

Geräteregistrierung automatisch genehmigen

Genehmigt automatisch alle unterstützten Geräte, wenn ein Benutzer sein Gerät für die Verwaltung registriert. Unternehmensdaten werden mit dem Gerät synchronisiert, wenn sich der Benutzer mit seinem Konto anmeldet.

Wählen Sie einen Auslöser und Bedingungen

Wählen Sie das Ereignis aus, das die Regel auslöst. Verwenden Sie Bedingungen, um den Gerätetyp (Android, iOS oder alle) und andere Bedingungen auszuwählen, die bestimmen, ob die Regel für ein Gerät gilt. Die Aktion der Regel wird nur ausgeführt, wenn das Ereignis auf Geräten eintritt, die die angegebenen Bedingungen erfüllen.

Sie können für jede Regel ein Ereignis und mehrere Bedingungen auswählen. Sie müssen eine Gerätetypbedingung festlegen. Für alle Regeln können Sie eine Regel auch auf bestimmte Geräte nach Geräte-ID, Geräteseriennummer, Gerätemodell oder zustandsspezifischen Werten beschränken. Um mehr als eine Bedingung auf eine Regel anzuwenden, klicken Sie auf Bedingung hinzufügen .

Die Bedingung OS-Version wird für einige Trigger aufgeführt, wird aber derzeit nicht unterstützt.

Alle öffnen | Alle schließen

Änderung der Kontoregistrierung

Die Regel wird ausgelöst, wenn sich der Kontoregistrierungsstatus eines Geräts in Ihrer Organisation ändert. Der Registrierungsstatus kann sich ändern, wenn:

Ein Benutzer fügt sein verwaltetes Geschäfts-, Schul- oder Unikonto auf einem neuen Gerät hinzu.
Ein Benutzer hebt die Registrierung seines verwalteten Geschäfts-, Schul- oder Unikontos von einem verwalteten Gerät auf.
Die Verwaltungsberechtigung, die Ihre Organisation auf einem Android-Gerät hat, ändert sich.

Standardmäßig wird die Regel ausgelöst, wenn eines dieser Ereignisse erkannt wird.

Um die Regel nur auf bestimmte Geräte anzuwenden, können Sie Bedingungen basierend auf Geräteeigenschaften und den folgenden ereignisspezifischen Optionen festlegen:

Zustand	Werte
Kontostand	Wählen Sie die Art der Registrierungsänderung: Registriert am – Wendet die Regel an, wenn ein Konto zu einem Gerät hinzugefügt wird. Abgemeldet von – Wendet die Regel an, wenn ein Konto von einem verwalteten Gerät abgemeldet wird.
App-Berechtigung für Geräterichtlinien	Wählen Sie die Verwaltungsberechtigung aus, die Ihre Organisation auf dem Gerät hat: Mit Geräteadministratorrechten – Wendet die Regel auf persönliche Geräte an, die ein verwaltetes Konto in ihrem persönlichen Bereich haben. Mit Arbeitsprofil-Berechtigung – Wendet die Regel auf private Geräte an, auf denen ein Arbeitsprofil eingerichtet ist. Mit Gerätebesitzer-Berechtigung – Wendet die Regel auf unternehmenseigene Geräte und persönliche Geräte an, die als „Nur geschäftlich" eingerichtet sind.

Zustand

Werte

Kontostand

Wählen Sie die Art der Registrierungsänderung:

Registriert am – Wendet die Regel an, wenn ein Konto zu einem Gerät hinzugefügt wird.
Abgemeldet von – Wendet die Regel an, wenn ein Konto von einem verwalteten Gerät abgemeldet wird.

App-Berechtigung für Geräterichtlinien

Wählen Sie die Verwaltungsberechtigung aus, die Ihre Organisation auf dem Gerät hat:

Mit Geräteadministratorrechten – Wendet die Regel auf persönliche Geräte an, die ein verwaltetes Konto in ihrem persönlichen Bereich haben.
Mit Arbeitsprofil-Berechtigung – Wendet die Regel auf private Geräte an, auf denen ein Arbeitsprofil eingerichtet ist.
Mit Gerätebesitzer-Berechtigung – Wendet die Regel auf unternehmenseigene Geräte und persönliche Geräte an, die als „Nur geschäftlich" eingerichtet sind.

Geräteaktionsereignis

Die Regel wird ausgelöst, wenn sich der Benutzerzugriff auf Geschäfts-, Schul- oder Unidaten ändert. Zu diesen Veranstaltungen gehören:

Ein Gerät wird genehmigt, blockiert oder gelöscht
Das verwaltete Konto wird gelöscht, von einem Administrator abgemeldet oder abgemeldet

Standardmäßig wird die Regel ausgelöst, wenn ein Geräteaktionsereignis eintritt.

Um die Regel nur auf bestimmte Geräte anzuwenden, können Sie Bedingungen basierend auf Geräteeigenschaften und den folgenden ereignisspezifischen Optionen festlegen:

Zustand	Werte
Status einer auf einem Gerät durchgeführten Aktion	Wählen Sie den Status der Aktion aus: Aktion vom Benutzer abgelehnt , Abgebrochen , Ausgeführt , Fehlgeschlagen , Ausstehend , An Gerät gesendet oder Ausführungsstatus der Aktion unbekannt .
Art der auf einem Gerät ausgeführten Aktion	Wählen Sie die mit dem Ereignis verknüpfte Aktion aus: Kontolöschung Erlauben den Zugriff Genehmigen Block Fehlerbericht sammeln Gerät löschen Zugriff verweigern Gerät lokalisieren Sperrgerät App entfernen Entfernen Sie das iOS-Profil Stift zurücksetzen Token widerrufen Ringgerät Benutzer abmelden Gerät synchronisieren Abmelden Unbekannt

Zustand

Werte

Status einer auf einem Gerät durchgeführten Aktion

Wählen Sie den Status der Aktion aus: Aktion vom Benutzer abgelehnt , Abgebrochen , Ausgeführt , Fehlgeschlagen , Ausstehend , An Gerät gesendet oder Ausführungsstatus der Aktion unbekannt .

Art der auf einem Gerät ausgeführten Aktion

Wählen Sie die mit dem Ereignis verknüpfte Aktion aus:

Kontolöschung
Erlauben den Zugriff
Genehmigen
Block
Fehlerbericht sammeln
Gerät löschen
Zugriff verweigern
Gerät lokalisieren
Sperrgerät
App entfernen
Entfernen Sie das iOS-Profil
Stift zurücksetzen
Token widerrufen
Ringgerät
Benutzer abmelden
Gerät synchronisieren
Abmelden
Unbekannt

So blockieren Sie beispielsweise ein Gerät, wenn eine Gerätelöschung nicht erfolgreich ist:

Legen Sie Art der auf einem Gerät durchgeführten Aktion auf Gerätelöschung fest.
Setzen Sie den Status einer auf einem Gerät durchgeführten Aktion auf Fehlgeschlagen .

Änderung der Geräteanwendung

Die Regel wird immer dann ausgelöst, wenn ein Benutzer eine App auf seinem Gerät installiert, deinstalliert oder aktualisiert. Für private Android-Geräte, die kein Arbeitsprofil haben, muss die Einstellung „Application Auditing" aktiviert werden. Bei iPhones und iPads werden nur Änderungen an verwalteten Apps erkannt, die mit der Google Device Policy App installiert wurden.

Um die Regel nur auf bestimmte Geräte anzuwenden, können Sie Bedingungen basierend auf Geräteeigenschaften und den folgenden ereignisspezifischen Optionen festlegen:

Zustand	Werte
Anwendungs-ID	Geben Sie die gesamte oder einen Teil der App-ID für die geänderte App ein. Um beispielsweise die Regel nur anzuwenden, wenn sich die mobile YouTube-App ändert, wählen Sie Enthält und geben Sie youtube ein.
Anwendung SHA-256	Geben Sie den SHA-256-Hash des App-Pakets für die geänderte App ganz oder teilweise ein.
Antragsstatus	Wählen Sie den Zustand aus, in den sich die App geändert hat: Installiert auf Nicht als potenziell schädlich gekennzeichnet Als potenziell schädlich erkannt Begann am Gelöscht von Aktualisiert am
Neuer Wert	Geben Sie die Versionsnummer einer geänderten App ganz oder teilweise ein. Um beispielsweise die Regel auszulösen, wenn die Chrome-App auf Version 86 aktualisiert wird, wählen Sie Enthält und geben Sie 86 ein.
Potenziell schädliche App-Kategorie	Wählen Sie den Typ der potenziell schädlichen App aus: Die App enthält möglicherweise eine Hintertür Die App enthält möglicherweise Anrufbetrug Die App enthält möglicherweise Datenerfassungsfunktionen Die App enthält möglicherweise Denial-of-Service-Logik Die App enthält möglicherweise Betrugssoftware Die App enthält möglicherweise Malware Die App enthält möglicherweise schädliche Websites Die App enthält möglicherweise einen feindlichen Downloader Die App enthält möglicherweise Bedrohungen für Token von Nicht-Android-Systemen Die App enthält möglicherweise Phishing Die App enthält möglicherweise Rechteausweitungsfunktionen Die App enthält möglicherweise Ransomware Die App enthält möglicherweise Rooting-Funktionen Die App enthält möglicherweise Spam Die App enthält möglicherweise Spyware Die App beinhaltet möglicherweise Mautbetrug Die App enthält möglicherweise Tracking-Logik Die App enthält möglicherweise einen Trojaner Die App ist ungewöhnlich Die App enthält möglicherweise WAP-Betrug Die App enthält möglicherweise Windows-Malware

Konformitätsstatus des Geräts (nur Android)

Die Regel wird ausgelöst, wenn ein Gerät die Richtlinien Ihrer Organisation nicht mehr erfüllt. Beispielsweise ändert ein Benutzer sein Gerätekennwort und es entspricht nicht mehr Ihrer Kennwortrichtlinie. Einzelheiten finden Sie unter Konformitätsstatus des Geräts .

Um die Regel nur auf bestimmte Geräte anzuwenden, können Sie Bedingungen basierend auf Geräteeigenschaften und den folgenden ereignisspezifischen Optionen festlegen:

Zustand	Wendet die Regel auf an
Konformitätsstatus des Geräts	Geräte, deren Konformitätsstatus sich geändert hat. Wähle eine Option: Konform mit festgelegten Richtlinien – Wendet die Regel an, wenn ein Gerät mit den Richtlinien Ihrer Organisation konform wird. Nicht konform mit festgelegten Richtlinien, da Gerät – Klicken Sie dann auf Hinzufügen und verwenden Sie die Bedingung Grund für die Deaktivierung des Mobilgeräts.
Grund für die Deaktivierung des Mobilgeräts	Wählen Sie den Grund aus, warum das Gerät nicht konform ist: Hat keine eingeschränkten Zugänglichkeitsdienste Wurde das Konto vom Administrator gelöscht Hat die Kamera aktiviert Ist kompromittiert Wurde vom Administrator blockiert Hat schädliche Apps Die Überprüfung der Geräterichtlinien-App muss durchgeführt werden Wird nicht unterstützt Screenlock-Informationen erforderlich Ist von einem Modell, das vom Administrator nicht zugelassen wurde Wurde vom Admin gelöscht Befindet sich nicht im Gerätebesitzermodus Verfügt nicht über die neueste Geräterichtlinien-App Hat kein Arbeitsprofil erstellt Hat keine eingeschränkten Eingabemethoden Muss eine oder mehrere Apps in den verwalteten Zustand konvertieren Wurde in den letzten 24 Stunden nicht synchronisiert Hat Sperrbildschirm-Widgets aktiviert Hat mehrere verwaltete Konten Hält sich nicht an die Passwortrichtlinie Die Berechtigung zum Zurücksetzen des Gerätekennworts wurde nicht erteilt Die Synchronisierung ist nicht aktiviert

Zustand

Wendet die Regel auf an

Konformitätsstatus des Geräts

Geräte, deren Konformitätsstatus sich geändert hat. Wähle eine Option:

Konform mit festgelegten Richtlinien – Wendet die Regel an, wenn ein Gerät mit den Richtlinien Ihrer Organisation konform wird.
Nicht konform mit festgelegten Richtlinien, da Gerät – Klicken Sie dann auf Hinzufügen und verwenden Sie die Bedingung Grund für die Deaktivierung des Mobilgeräts.

Grund für die Deaktivierung des Mobilgeräts

Wählen Sie den Grund aus, warum das Gerät nicht konform ist:

Hat keine eingeschränkten Zugänglichkeitsdienste
Wurde das Konto vom Administrator gelöscht
Hat die Kamera aktiviert
Ist kompromittiert
Wurde vom Administrator blockiert
Hat schädliche Apps
Die Überprüfung der Geräterichtlinien-App muss durchgeführt werden
Wird nicht unterstützt
Screenlock-Informationen erforderlich
Ist von einem Modell, das vom Administrator nicht zugelassen wurde
Wurde vom Admin gelöscht
Befindet sich nicht im Gerätebesitzermodus
Verfügt nicht über die neueste Geräterichtlinien-App
Hat kein Arbeitsprofil erstellt
Hat keine eingeschränkten Eingabemethoden
Muss eine oder mehrere Apps in den verwalteten Zustand konvertieren
Wurde in den letzten 24 Stunden nicht synchronisiert
Hat Sperrbildschirm-Widgets aktiviert
Hat mehrere verwaltete Konten
Hält sich nicht an die Passwortrichtlinie
Die Berechtigung zum Zurücksetzen des Gerätekennworts wurde nicht erteilt
Die Synchronisierung ist nicht aktiviert

Kompromittierung des Geräts (nur Android)

Die Regel wird ausgelöst, wenn ein Android-Gerät kompromittiert wird oder nicht mehr kompromittiert wird. Ein Android-Gerät wird kompromittiert, wenn es gerootet wird – ein Prozess, der Einschränkungen auf einem Gerät entfernt. Kompromittierte Geräte können auf eine potenzielle Sicherheitsbedrohung hinweisen.

Um die Regel nur auf bestimmte Geräte anzuwenden, können Sie Bedingungen basierend auf Geräteeigenschaften und den folgenden ereignisspezifischen Optionen festlegen:

Zustand	Werte
Kompromittierter Zustand des Geräts	Wählen Sie aus, wie sich der Status des Geräts geändert hat: Ist kompromittiert – Gilt für die Regel für kompromittierte Geräte. Ist nicht mehr kompromittiert – Wendet die Regel auf Geräte an, die kompromittiert wurden, aber nicht mehr kompromittiert sind.

Zustand

Werte

Kompromittierter Zustand des Geräts

Wählen Sie aus, wie sich der Status des Geräts geändert hat:

Ist kompromittiert – Gilt für die Regel für kompromittierte Geräte.
Ist nicht mehr kompromittiert – Wendet die Regel auf Geräte an, die kompromittiert wurden, aber nicht mehr kompromittiert sind.

Betriebssystem-Update des Geräts

Die Regel wird ausgelöst, wenn sich das Betriebssystem (OS) eines Geräts ändert. Die Arten von Betriebssystemänderungen, die die Regel auslösen, hängen vom Gerätetyp ab:

Android – Änderungen an der Betriebssystemversion, Build-Nummer, Kernel-Version, Baseband-Version, Sicherheitspatch oder Bootloader-Version.
iOS – Ändert nur die Version des Betriebssystems und die Build-Nummer. Beispielsweise aktualisiert ein Benutzer sein Gerät auf ein neues Betriebssystem oder wendet den neuesten Sicherheitspatch an.

Um die Regel nur auf bestimmte Geräte anzuwenden, können Sie Bedingungen basierend auf Geräteeigenschaften und den folgenden ereignisspezifischen Optionen festlegen:

Zustand	Werte
Alter Wert	Geben Sie einige oder alle Betriebssystemeigenschaftswerte ein, von denen sich das Gerät geändert hat.
Neuer Wert	Geben Sie einige oder alle Betriebssystemeigenschaftswerte ein, auf die sich das Gerät geändert hat.
OS-Eigenschaft	Wählen Sie die OS-Eigenschaft aus, die die Regel auslöst, wenn sich ihr Wert ändert: OS Version Build-Nummer Kernelversion Basisbandversion des Geräts Betriebssystem-Sicherheitspatch Bootloader-Version auf ihrem Gerät Für iOS werden nur die Betriebssystemversion und die Build-Nummer unterstützt.

Zustand

Werte

Alter Wert

Geben Sie einige oder alle Betriebssystemeigenschaftswerte ein, von denen sich das Gerät geändert hat.

Neuer Wert

Geben Sie einige oder alle Betriebssystemeigenschaftswerte ein, auf die sich das Gerät geändert hat.

OS-Eigenschaft

Wählen Sie die OS-Eigenschaft aus, die die Regel auslöst, wenn sich ihr Wert ändert:

OS Version
Build-Nummer
Kernelversion
Basisbandversion des Geräts
Betriebssystem-Sicherheitspatch
Bootloader-Version auf ihrem Gerät

Für iOS werden nur die Betriebssystemversion und die Build-Nummer unterstützt.

Gerätebesitz (nur Android)

Die Regel wird ausgelöst, wenn sich der Besitz eines Geräts von „persönlich" zu „unternehmenseigen" oder von „unternehmenseigen" zu „persönlich" ändert.

Um die Regel nur auf bestimmte Geräte anzuwenden, können Sie Bedingungen basierend auf Geräteeigenschaften und den folgenden ereignisspezifischen Optionen festlegen:

Zustand	Werte
Gerätebesitz des Geräts	Wählen Sie den Gerätebesitzstatus aus, in den sich das Gerät geändert hat: Unternehmenseigen – Wendet die Regel auf Geräte an, deren Eigentum in „Unternehmenseigen" geändert wurde. Persönlich – Gilt für die Regel für Geräte, deren Besitz auf „Privat" geändert wurde.

Zustand

Werte

Gerätebesitz des Geräts

Wählen Sie den Gerätebesitzstatus aus, in den sich das Gerät geändert hat:

Unternehmenseigen – Wendet die Regel auf Geräte an, deren Eigentum in „Unternehmenseigen" geändert wurde.
Persönlich – Gilt für die Regel für Geräte, deren Besitz auf „Privat" geändert wurde.

Änderung der Geräteeinstellungen (nur Android)

Die Regel wird ausgelöst, wenn sich Geräteeinstellungen auf Android-Geräten ändern, z. B. USB-Debugging, unbekannte Quellen, Entwickleroptionen oder Apps überprüfen.

Um die Regel nur auf bestimmte Geräte anzuwenden, können Sie Bedingungen basierend auf Geräteeigenschaften und den folgenden ereignisspezifischen Optionen festlegen:

Zustand	Werte
Alter Wert	Geben Sie einige oder alle Geräteeinstellungswerte ein, von denen sich das Gerät geändert hat.
Neuer Wert	Geben Sie einige oder alle Geräteeinstellungswerte ein, auf die sich das Gerät geändert hat.
Geräteeinstellung	Wählen Sie die Geräteeinstellung aus, die die Regel auslöst, wenn sich ihr Wert ändert: Entwickleroptionen Unbekannte Quellen USB-Debugging Apps verifizieren

Gerätesynchronisierung

Die Regel wird ausgelöst, wenn das Konto eines Benutzers auf einem Gerät synchronisiert wird.

Um die Regel nur auf bestimmte Geräte anzuwenden, können Sie Bedingungen basierend auf Geräteeigenschaften und den folgenden ereignisspezifischen Optionen festlegen:

Zustand	Werte
Datum des letzten Synchronisierungsüberwachungsereignisses	Geben Sie ein Datum als UNIX-Zeitstempel ein. Beispiel: 1606167154. Sie können die Regel auslösen, wenn die letzte Gerätesynchronisierung nach dem angegebenen Datum ( ist größer als ) oder an oder nach dem angegebenen Datum ( ist größer als oder gleich ) erfolgt ist.

Zustand

Werte

Datum des letzten Synchronisierungsüberwachungsereignisses

Geben Sie ein Datum als UNIX-Zeitstempel ein. Beispiel: 1606167154.

Sie können die Regel auslösen, wenn die letzte Gerätesynchronisierung nach dem angegebenen Datum ( ist größer als ) oder an oder nach dem angegebenen Datum ( ist größer als oder gleich ) erfolgt ist.

Fehlgeschlagene Versuche zum Entsperren des Bildschirms (nur Android)

Die Regel wird ausgelöst, wenn ein Gerät eine festgelegte Anzahl fehlgeschlagener Versuche zum Entsperren erreicht. Standardmäßig wird die Regel angewendet, wenn es mehr als 5 Fehlversuche gibt.

Verwenden Sie diese Option, um die Anzahl der Fehlversuche zu ändern, bevor die Regel angewendet wird:

Zustand	Werte
Fehlgeschlagene Versuche zum Entsperren des Bildschirms	Wählen Sie aus, wie die Anzahl der Fehlversuche gezählt wird ( Ist größer als oder Ist größer als oder gleich ) und geben Sie die Anzahl der Fehlversuche ein. Wenn Sie beispielsweise 3 eingeben und Ist größer als auswählen, wird die Regel beim vierten fehlgeschlagenen Versuch ausgelöst. Wenn Sie 3 eingeben und Ist größer oder gleich auswählen, wird die Regel beim dritten fehlgeschlagenen Versuch ausgelöst.

Zustand

Werte

Fehlgeschlagene Versuche zum Entsperren des Bildschirms

Wählen Sie aus, wie die Anzahl der Fehlversuche gezählt wird ( Ist größer als oder Ist größer als oder gleich ) und geben Sie die Anzahl der Fehlversuche ein.

Wenn Sie beispielsweise 3 eingeben und Ist größer als auswählen, wird die Regel beim vierten fehlgeschlagenen Versuch ausgelöst. Wenn Sie 3 eingeben und Ist größer oder gleich auswählen, wird die Regel beim dritten fehlgeschlagenen Versuch ausgelöst.

Verdächtige Aktivität

Die Regel wird ausgelöst, wenn sich eine Geräteeigenschaft auf einem verwalteten Gerät ändert und sich diese Eigenschaft normalerweise nicht ändert. Beispielsweise ändert sich das Gerätemodell, wenn sich das Gerät nicht geändert hat.

Bei Android-Geräten umfassen verdächtige Aktivitäten Änderungen an den folgenden Geräteeigenschaften:

Bootloader-Version
Gerätemarke
Gerätehardware
Hersteller
Gerätemodell
App-Berechtigung für Geräterichtlinien
IMEI-Nummer
MEID-Nummer
Seriennummer
WLAN-MAC-Adresse

Bei iPhones und iPads enthält es nur Änderungen an der WLAN-MAC-Adresse.

Um die Regel nur auf bestimmte Geräte anzuwenden, können Sie Bedingungen basierend auf Geräteeigenschaften und den folgenden ereignisspezifischen Optionen festlegen:

Zustand	Werte
Geräteeigenschaft	Wählen Sie die Geräteeigenschaft aus, die die Regel auslöst, wenn sie sich ändert. Um mehr als eine Eigenschaft auszuwählen, erstellen Sie eine separate Regel für diese Eigenschaft. Wenn Sie einer Regel mehr als eine Eigenschaft hinzufügen, muss das Gerät Änderungen an allen ausgewählten Eigenschaften melden. Hinweis: Bei iOS-Geräten werden nur Änderungen an der WLAN-MAC-Adresse erkannt.
Alter Wert	Wählen Sie für Android-Geräte die Geräteverwaltungsberechtigung aus, von der das Gerät gewechselt wurde.
Neuer Wert	Wählen Sie für Android-Geräte die Geräteverwaltungsberechtigung aus, zu der das Gerät geändert wurde.

Zustand

Werte

Geräteeigenschaft

Wählen Sie die Geräteeigenschaft aus, die die Regel auslöst, wenn sie sich ändert. Um mehr als eine Eigenschaft auszuwählen, erstellen Sie eine separate Regel für diese Eigenschaft. Wenn Sie einer Regel mehr als eine Eigenschaft hinzufügen, muss das Gerät Änderungen an allen ausgewählten Eigenschaften melden.

Hinweis: Bei iOS-Geräten werden nur Änderungen an der WLAN-MAC-Adresse erkannt.

Alter Wert

Wählen Sie für Android-Geräte die Geräteverwaltungsberechtigung aus, von der das Gerät gewechselt wurde.

Neuer Wert

Wählen Sie für Android-Geräte die Geräteverwaltungsberechtigung aus, zu der das Gerät geändert wurde.

Unterstützung für Arbeitsprofile (nur Android)

Wendet die Regel an, wenn ein Android-Gerät beginnt, Arbeitsprofile zu unterstützen. Zum Beispiel, wenn die Betriebssystemversion aktualisiert wird und das Gerät jetzt Arbeitsprofile unterstützt.

Anzeigen von Daten zu erkannten Ereignissen

Sie können Daten zu Ereignissen auf verwalteten Geräten in einer Regelprüfung überprüfen.

Melden Sie sich in Ihrer Google Admin-Konsole an .
Melden Sie sich mit Ihrem Administratorkonto an (endet nicht auf @gmail.com).
Gehen Sie in der Admin-Konsole zu Menü Berichterstattung Prüfung und Untersuchung Regelprotokollereignisse .
Um Aktionen im Zusammenhang mit Ihren Geräteverwaltungsregeln zu überprüfen, klicken Sie auf Filter hinzufügen Geräteverwaltung . Sie können auch nach anderen Ereignismerkmalen filtern, z. B. dem Regelnamen oder dem Konto des Geräteeigentümers (Filtern nach Ressourceneigentümer ).
(Optional) Um die angezeigten Daten anzupassen, klicken Sie rechts auf Spalten verwalten . Wählen Sie die Spalten aus, die Sie ein- oder ausblenden möchten klicken Sie auf Speichern .
(Optional) So exportieren Sie die Berichtsdaten direkt in eine Google Sheets-Datei in Google Drive oder laden eine CSV-Datei mit den Berichtsdaten herunter:
1. Klicken Sie auf Herunterladen .
2. Klicken Sie unter Spalten auswählen auf Aktuell ausgewählte Spalten oder Alle Spalten .
3. Wählen Sie ein Format aus und klicken Sie auf Herunterladen .
Bei beiden Dateitypen können Sie bis zu 100.000 Datenzeilen exportieren.