Ediciones compatibles con esta función: Frontline Standard; Enterprise Standard y Enterprise Plus; Education Standard, Education Plus y Endpoint Education Upgrade, y Cloud Identity Premium. Comparar ediciones
Como administrador, puedes definir reglas para automatizar las tareas de gestión de dispositivos y recibir alertas de seguridad. Por ejemplo, puedes bloquear automáticamente los dispositivos en los que se detecta actividad sospechosa.
Puedes aplicar reglas de gestión de dispositivos a dispositivos móviles compatibles.
Nota: Para aprobar dispositivos móviles con reglas, primero deben englobarse en la gestión avanzada de dispositivos móviles. Si fuera necesario, activa la gestión avanzada de dispositivos móviles.
Cómo funcionan las reglas
Las reglas de gestión de dispositivos se activan cuando se registran eventos concretos en un dispositivo gestionado. Cuando se detecta el evento, la regla comprueba si se da alguna de las condiciones que has especificado. Si se cumple, se ejecuta la acción.
Por ejemplo, puedes bloquear un dispositivo Android si el estado del registro de la cuenta asociada cambia porque el usuario da de baja su cuenta de empresa en ese dispositivo. En este ejemplo:
- El evento es un cambio en el estado del registro de la cuenta en el dispositivo.
- La primera condición es que el tipo de dispositivo sea Android.
- La segunda condición es que un usuario dé de baja su cuenta en el dispositivo. En Estado de la cuenta aparece la opción Dada de baja de.
- La acción es bloquear el dispositivo.
Puedes crear tus propias reglas o utilizar plantillas predefinidas. En cuanto al alcance, puedes asignar una regla a toda la organización, a una unidad organizativa o a un grupo de Grupos de Google. También puedes excluir grupos.
Nota: Las reglas de gestión de dispositivos te permiten aprobar, bloquear o borrar un dispositivo en respuesta a una determinada situación. Utiliza los niveles de acceso contextual para controlar el acceso a aplicaciones de Google para dispositivos de acuerdo con atributos como la versión del SO, el estado de seguridad, la dirección IP, la ubicación geográfica o la propiedad. Más información
Crear y editar reglas
Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.
Crear una regla de gestión de dispositivos-
Inicia sesión en la consola de administración de Google.
Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).
-
En la consola de administración, ve a Menú Reglas.
- Haz clic en Reglas de gestión de dispositivos.
- Haz clic en Añadir regla y elige una de estas opciones:
- Para utilizar una plantilla de regla, haz clic en Regla desde una plantilla y, a continuación, en la plantilla. Para obtener más información, consulta el apartado Utilizar plantillas de reglas.
- Para crear tu propia regla, haz clic en Regla nueva.
- Introduce o edita el título y la descripción de la regla.
- Elige a quién se aplica la regla. De forma predeterminada, la regla se aplica a todos los miembros de tu organización.
- Para aplicar la regla solo a usuarios concretos, haz clic en Especifica unidades organizativas o grupos y selecciona las unidades organizativas y los grupos que quieres incluir.
- Si quieres excluir usuarios de grupos concretos, primero debes seleccionar al menos una unidad organizativa o un grupo que quieres incluir. A continuación, haz clic en Excluir grupos y selecciona el grupo que quieras excluir. Repite este paso para excluir más grupos.
Por ejemplo, para aplicar una regla a todos los miembros de tu organización excepto a un grupo, incluye la unidad organizativa de nivel superior y excluye al grupo que quieras.
Para quitar una unidad organizativa o un grupo, haz clic en el icono Borrar situado junto a él.
- Haz clic en Continuar.
- Si es necesario, selecciona el evento que activará la regla. Para obtener más información, consulta el apartado Elegir un activador y unas condiciones.
- Haz clic en Añadir condición y define una condición para un tipo de dispositivo:
- Haz clic en Campo y selecciona Tipo de dispositivo.
- Haz clic en Valor y selecciona el tipo de dispositivo: Todos los dispositivos, Android o iOS. Es posible que no todas las opciones de tipo de dispositivo estén disponibles, ya que algunos eventos solo se admiten en determinados tipos.
Nota: Para poder continuar con el siguiente paso, se requiere una condición de tipo de dispositivo.
- (Opcional) Haz clic en Añadir condición y define más condiciones. Un dispositivo debe cumplir todas las condiciones para que se aplique la regla.
- Haz clic en Continuar.
- Si es necesario, selecciona la acción que debe realizarse cuando se cumplan las condiciones de la regla. Ten en cuenta que no todas las acciones están disponibles para todos los eventos.
- Bloquear dispositivo móvil: detiene la sincronización de los datos corporativos en el dispositivo.
- Aprobar el dispositivo móvil: (solo con la gestión avanzada de dispositivos móviles) se permite que se sincronicen datos de la empresa en el dispositivo.
- Borrar datos: borra del dispositivo la cuenta de empresa del usuario y los datos asociados a ella. Más información sobre el borrado de cuentas
- Ninguna acción: no se hace nada en el dispositivo. Puedes elegir esta opción si solo quieres recibir una notificación de que se ha producido el evento, tal como se describe en los pasos siguientes.
- (Opcional) Para enviar notificaciones por correo electrónico a todos los superadministradores, marca la casilla Enviar al Centro de alertas y, a continuación, marca Todos los superadministradores. Nota: Todavía no se admiten las notificaciones del Centro de alertas, pero deben estar habilitadas para poder enviar correos a los superadministradores.
- Haz clic en Continuar.
- Revisa la configuración de la regla. Si los datos son correctos, haz clic en Finalizar. En caso contrario, haz clic en Atrás para modificar la regla.
- En el cuadro de diálogo que se abre, elige una de estas opciones:
- Para crear la regla y activarla inmediatamente, haz clic en Activo.
- Para crear la regla y activarla más tarde, haz clic en Inactivo.
- Haz clic en Finalizar.
- Para activar una regla inactiva, haz clic en la regla de la lista de reglas. En la parte izquierda, haz clic en el menú y selecciona Activo.
-
Inicia sesión en la consola de administración de Google.
Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).
-
En la consola de administración, ve a Menú Reglas.
- Haz clic en Reglas de gestión de dispositivos.
- Haz clic en la regla que quieres modificar.
- Haz clic en la sección que quieres modificar y realiza los cambios que quieras. Haz clic en Continuar si fuera necesario para pasar a la página de revisión.
- Revisa la configuración de la regla. Si los datos son correctos, haz clic en Finalizar. En caso contrario, haz clic en Atrás para modificar la regla.
- En el cuadro de diálogo que se abre, selecciona si la regla está activa o inactiva.
- Haz clic en Finalizar.
Utilizar plantillas de reglas
Las plantillas de reglas están configuradas con condiciones y acciones habituales. Puedes usar una como punto de partida y adaptarla a las necesidades de tu organización. Por ejemplo, para aprobar dispositivos iPhone y iPad automáticamente y dispositivos Android manualmente, puedes usar la plantilla Aprobar automáticamente el registro de dispositivos y cambiar el tipo de dispositivo a iOS.
Bloquear la cuenta tras varios intentos fallidos de desbloqueo de pantalla (solo en Android)Esta regla bloquea un dispositivo Android cuando se producen más de cinco intentos fallidos de desbloquearlo. La regla impide que los datos del trabajo o de un centro educativo se sincronicen con el dispositivo.
Para enviar notificaciones por correo electrónico a todos los superadministradores, marca la casilla Enviar al Centro de alertas y, a continuación, marca Todos los superadministradores. Nota: Todavía no se admiten las notificaciones del Centro de alertas, pero deben estar habilitadas para poder enviar correos a los superadministradores.
Esta regla elimina los datos de empresa de un dispositivo Android, iPhone o iPad cuando se detecta actividad sospechosa.
En el caso de dispositivos iPhone y iPad, la cuenta se borra cuando se cambia la dirección MAC de Wi-Fi del dispositivo.
En los dispositivos Android, los datos se borran cuando se cambia alguna de las siguientes propiedades del dispositivo:
- Versión del bootloader
- Marca del dispositivo
- Hardware del dispositivo
- Fabricante
- Modelo del dispositivo
- Privilegio de la aplicación Device Policy
- Número IMEI
- Número MEID
- Número de serie
- Dirección MAC de Wi‑Fi
En el caso de los dispositivos Android que pertenecen a la empresa y dispositivos personales que se hayan configurado solo para el trabajo, se borran todos los datos del dispositivo y se restablece el estado de fábrica. En los dispositivos personales con un perfil de trabajo, solo se borra este perfil y se dejan los datos personales tal como estaban.
Para obtener más información sobre cómo funciona el borrado de datos de cuentas y dispositivos, consulta el artículo Borrar datos de empresa de dispositivos móviles.
Para enviar notificaciones por correo electrónico a todos los superadministradores, marca la casilla Enviar al Centro de alertas y, a continuación, marca Todos los superadministradores. Nota: Todavía no se admiten las notificaciones del Centro de alertas, pero deben estar habilitadas para poder enviar correos a los superadministradores.
Permite aprobar automáticamente dispositivos compatibles cuando los usuarios los registran para gestionarlos. Los datos de empresa se sincronizarán con los dispositivos cuando los usuarios inicien sesión con su cuenta.
Para enviar notificaciones por correo electrónico a todos los superadministradores, marca la casilla Enviar al Centro de alertas y, a continuación, marca Todos los superadministradores. Nota: Todavía no se admiten las notificaciones del Centro de alertas, pero deben estar habilitadas para poder enviar correos a los superadministradores.
Elegir un activador y unas condiciones
Selecciona el evento que activará la regla. Usa unas condiciones para indicar el tipo de dispositivo (Android, iOS o todos) y otras para determinar si se aplica la regla a un dispositivo. De esta forma, la acción asociada a la regla solo se ejecutará cuando el evento se produzca en los dispositivos que cumplan las condiciones especificadas.
En cada regla, puedes elegir un evento y varias condiciones. Debes definir una condición de tipo de dispositivo. Las reglas también pueden limitarse a un dispositivo específico por ID de dispositivo, número de serie, modelo o valores específicos de cada condición. Si quieres aplicar más de una condición a la regla, haz clic en Añadir condición.
La regla se activa cuando cambia el estado de registro de la cuenta de un dispositivo de tu organización. El estado de registro puede cambiar cuando se da alguna de estas situaciones:
- Un usuario añade su cuenta gestionada de trabajo o de un centro educativo en un dispositivo nuevo.
- Un usuario da de baja su cuenta gestionada de trabajo o de un centro educativo en un dispositivo gestionado.
- Cambia el privilegio de gestión que tiene tu organización en un dispositivo Android.
De forma predeterminada, la regla se activa cuando se detecta alguno de estos eventos.
Para aplicar la regla solo a dispositivos concretos, puedes definir condiciones basadas en propiedades de dispositivos y en las siguientes opciones específicas de eventos:
Condición | Valores |
---|---|
Estado de la cuenta |
Selecciona el tipo de cambio de registro:
|
Privilegio de la aplicación Device Policy |
Selecciona el privilegio de gestión que tu organización tiene en el dispositivo:
|
La regla se activa cuando cambia el acceso de los usuarios a datos de trabajo o de un centro educativo. Entre estos eventos, se incluyen los siguientes:
- Un dispositivo está aprobado, bloqueado o se han borrado los datos
- La cuenta gestionada se ha eliminado, no se ha cerrado la sesión de un administrador o se ha dado de baja
De forma predeterminada, la regla se activa cuando se produce cualquier evento de acción de un dispositivo.
Para aplicar la regla solo a dispositivos concretos, puedes definir condiciones basadas en propiedades de dispositivos y en las siguientes opciones específicas de eventos:
Condición | Valores |
---|---|
Estado de una acción realizada en un dispositivo | Selecciona el estado de la acción: Acción rechazada por el usuario, Cancelado, Ejecutado, No procesado, Pendiente, Enviado al dispositivo o Estado de ejecución de la acción desconocido. |
Tipo de acción realizada en un dispositivo |
Selecciona la acción asociada al evento:
|
Por ejemplo, para bloquear un dispositivo cuando la eliminación de los datos de un dispositivo no se lleva a cabo correctamente:
- Define Tipo de acción realizada en un dispositivo como Borrar los datos del dispositivo.
- En Estado de una acción realizada en un dispositivo, selecciona No procesado.
La regla se activa cuando un usuario instala, desinstala o actualiza una aplicación en su dispositivo. En el caso de los dispositivos Android personales que no tengan un perfil de trabajo, el ajuste Auditoría de las aplicaciones debe estar activado. En el caso de dispositivos iPhone y iPad, solo se detectan los cambios en las aplicaciones gestionadas que se instalan mediante la aplicación Google Device Policy.
Para aplicar la regla solo a dispositivos concretos, puedes definir condiciones basadas en propiedades de dispositivos y en las siguientes opciones específicas de eventos:
Condición | Valores |
---|---|
ID de la aplicación |
Introduce el ID completo o parcial de la aplicación que ha cambiado. Por ejemplo, para aplicar la regla solo cuando cambie la aplicación móvil YouTube, selecciona Contiene e introduce youtube. |
SHA-256 de la aplicación | Introduce todo o parte del hash SHA-256 del paquete de la aplicación que ha cambiado. |
Estado de la aplicación |
Selecciona el estado al que ha cambiado la aplicación:
|
Valor nuevo | Introduce el número de versión completo o parcial por el que se modifica una aplicación. Por ejemplo, para que la regla se active cuando la aplicación Chrome se actualiza a cualquier versión 86, selecciona Contiene e introduce 86. |
Categoría de aplicaciones potencialmente dañinas |
Selecciona el tipo de aplicación potencialmente dañina:
|
La regla se activa cuando un dispositivo deja de cumplir las políticas de tu organización. Por ejemplo, si un usuario cambia la contraseña de su dispositivo de modo que incumpla la política de contraseñas que has establecido. Más información sobre el estado de cumplimiento del dispositivo
Para aplicar la regla solo a dispositivos concretos, puedes definir condiciones basadas en propiedades de dispositivos y en las siguientes opciones específicas de eventos:
Condición | A qué dispositivos se aplica la regla |
---|---|
Estado de cumplimiento del dispositivo |
Dispositivos cuyo estado de cumplimiento ha cambiado. Elige una de estas opciones:
|
Motivo de la desactivación del dispositivo móvil | Selecciona el motivo por el que el dispositivo no cumple las políticas:
|
La regla se activa cuando un dispositivo Android se pone en riesgo o ya no está en riesgo. Un dispositivo Android está en situación de riesgo cuando se ha rooteado ("root" es un procedimiento para eliminar las restricciones de los dispositivos). Los dispositivos en riesgo pueden indicar una posible amenaza para la seguridad.
Para aplicar la regla solo a dispositivos concretos, puedes definir condiciones basadas en propiedades de dispositivos y en las siguientes opciones específicas de eventos:
Condición | Valores |
---|---|
Dispositivo en riesgo de seguridad |
Selecciona a qué estado ha cambiado el dispositivo:
|
La regla se activa cuando cambia el sistema operativo (SO) de un dispositivo. Los tipos de cambios del SO que activan la regla dependen del tipo de dispositivo:
- Android: cambios en la versión del SO, el número de compilación, la versión de kernel, la versión de banda base, el parche de seguridad o la versión del bootloader.
- iOS: solo los cambios que afectan a la versión del SO y al número de compilación. Por ejemplo, cuando un usuario actualiza el sistema operativo de su dispositivo a una nueva versión o aplica el parche de seguridad más reciente.
Para aplicar la regla solo a dispositivos concretos, puedes definir condiciones basadas en propiedades de dispositivos y en las siguientes opciones específicas de eventos:
Condición | Valores |
---|---|
Valor anterior | Introduce el valor total o parcial de la propiedad del SO desde el que ha cambiado el dispositivo. |
Valor nuevo | Introduce el valor total o parcial de la propiedad del SO al que ha cambiado el dispositivo. |
Propiedad del SO |
Selecciona la propiedad del SO que activará la regla cuando cambie su valor:
En los dispositivos iOS, solo se admiten la versión de SO y el número de compilación. |
La regla se activa cuando un dispositivo personal pasa a ser propiedad de la empresa o viceversa.
Para aplicar la regla solo a dispositivos concretos, puedes definir condiciones basadas en propiedades de dispositivos y en las siguientes opciones específicas de eventos:
Condición | Valores |
---|---|
Propietario del dispositivo |
Selecciona el estado de propiedad del dispositivo al que se ha cambiado el dispositivo:
|
La regla se activa cuando se cambian los ajustes de dispositivos Android, como la depuración por USB, las fuentes desconocidas, las opciones para desarrolladores o la verificación de aplicaciones.
Para aplicar la regla solo a dispositivos concretos, puedes definir condiciones basadas en propiedades de dispositivos y en las siguientes opciones específicas de eventos:
Condición | Valores |
---|---|
Valor anterior | Introduce el valor total o parcial de los ajustes del dispositivo desde el que ha cambiado el dispositivo. |
Valor nuevo | Introduce el valor total o parcial de los ajustes del dispositivo al que ha cambiado el dispositivo. |
Ajuste del dispositivo | Selecciona los ajustes del dispositivo que activará la regla cuando cambie su valor:
|
La regla se activa cuando la cuenta de un usuario se sincroniza en un dispositivo.
Para aplicar la regla solo a dispositivos concretos, puedes definir condiciones basadas en propiedades de dispositivos y en las siguientes opciones específicas de eventos:
Condición | Valores |
---|---|
Fecha de la última sincronización de eventos de auditoría |
Introduce una fecha como marca de tiempo UNIX. Por ejemplo, 1606167154. Puedes activar la regla después de la última sincronización del dispositivo posterior a la fecha especificada (es mayor que) o en la fecha especificada o posterior (es mayor o igual que). |
La regla se activa cuando un dispositivo alcanza un determinado número de intentos fallidos de desbloqueo. De forma predeterminada, se aplica cuando se producen más de cinco intentos de desbloqueo fallidos.
Para cambiar el número de intentos fallidos que deben producirse para que se aplique la regla, elige esta opción:
Condición | Valores |
---|---|
Intentos de desbloqueo de pantalla fallidos |
Selecciona cómo se cuenta el número de intentos fallidos (Es mayor que o Es mayor o igual que) e introduce el número de intentos fallidos. Por ejemplo, si introduces 3 y seleccionas Es mayor que, la regla se activará cuando se produzca el cuarto intento fallido. Si introduces 3 y seleccionas Es mayor o igual que, la regla se activará cuando se produzca el tercer intento fallido. |
La regla se activa cuando la propiedad de un dispositivo se modifica en un dispositivo gestionado. Esta propiedad no suele cambiar. Esto se da, por ejemplo, cuando cambia el modelo de un dispositivo, pero el dispositivo sigue siendo el mismo.
En los dispositivos Android, se considera como actividad sospechosa el cambio en las siguientes propiedades del dispositivo:
- Versión del bootloader
- Marca del dispositivo
- Hardware del dispositivo
- Fabricante
- Modelo del dispositivo
- Privilegio de la aplicación Device Policy
- Número IMEI
- Número MEID
- Número de serie
- Dirección MAC de Wi‑Fi
En el caso de dispositivos iPhone y iPad, solo se incluyen los cambios en la dirección MAC de Wi‐Fi.
Para aplicar la regla solo a dispositivos concretos, puedes definir condiciones basadas en propiedades de dispositivos y en las siguientes opciones específicas de eventos:
Condición | Valores |
---|---|
Propiedad del dispositivo |
Selecciona la propiedad del dispositivo que activa la regla cuando cambia. Para seleccionar más de una propiedad, crea una regla independiente para esa propiedad. Si añades más de una propiedad a una regla, el dispositivo debe registrar los cambios en todas las propiedades que selecciones. Nota: En los dispositivos iOS, solo se detectan los cambios en la dirección MAC de Wi‑Fi. |
Valor anterior | En los dispositivos Android, selecciona el privilegio de gestión de dispositivos desde el que ha cambiado el dispositivo. |
Valor nuevo | En los dispositivos Android, selecciona el privilegio de gestión de dispositivos al que ha cambiado el dispositivo. |
La regla se aplica cuando un dispositivo Android empieza a admitir perfiles de trabajo. Por ejemplo, cuando se actualiza la versión del SO y esto provoca que el dispositivo admita perfiles de trabajo.
Ver datos sobre eventos detectados
Puedes revisar datos sobre eventos en dispositivos gestionados en una Auditoría de reglas.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú InformesAuditoría e investigaciónEventos de registro de reglas.
- Para ver las acciones relacionadas con tus reglas de gestión de dispositivos, haz clic en Añadir filtroGestión de dispositivos. También puedes filtrar por otras características de evento, como el nombre de la regla o la cuenta del propietario del dispositivo (filtrar por Propietario del recurso).
-
(Opcional) Para personalizar los datos que se muestran, en la parte derecha, haz clic en Gestionar columnas . Selecciona las columnas que quieres mostrar u ocultarhaz clic en Guardar.
- (Opcional) Para exportar los datos del informe directamente a un archivo de Hojas de cálculo en Google Drive o descargarlos en un archivo CSV:
- Haz clic en Descargar .
- En Seleccionar columnas, haz clic en Columnas seleccionadas actualmente o en Todas las columnas.
- Selecciona un formato y haz clic en Descargar.
Con cada tipo de archivo, puedes exportar hasta 100.000 filas de datos.