Android Enterprise-Geräteeinstellungenliste zum Zulassen oder Einschränken von Features auf persönlichen Geräten mithilfe von Intune

In diesem Artikel werden die verschiedenen Einstellungen beschrieben, die Sie auf Android Enterprise-Geräten steuern können. Verwenden Sie im Rahmen Ihrer Mdm-Lösung (Mobile Device Management, Verwaltung mobiler Geräte) diese Einstellungen, um Features zuzulassen oder zu deaktivieren, die Sicherheit zu steuern und vieles mehr.

Diese Funktion gilt für:

• Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil (BYOD)

Tipp

• Wechseln Sie für AOSP zu Android-Geräteeinstellungen (AOSP), um Features mithilfe von Intune zuzulassen oder einzuschränken.
• Navigieren Sie für unternehmenseigene Android Enterprise-Arbeitsprofile (COPE), vollständig verwaltete (COBO) oder dedizierte Geräte (COSU) zu Android Enterprise-Geräteeinstellungen, um Features auf unternehmenseigenen Geräten mithilfe von Intune zuzulassen oder einzuschränken.

Bevor Sie beginnen:

Erstellen Sie ein Konfigurationsprofil für Android-Geräteeinschränkungen.

Arbeitsprofileinstellungen

Diese Einstellungen gelten für persönliche Android Enterprise-Geräte mit einem Arbeitsprofil (BYOD).

Allgemeine Einstellungen

• Kopieren und Einfügen zwischen Arbeits- und persönlichen Profilen: Blockieren verhindert das Kopieren und Einfügen zwischen geschäftlichen und persönlichen Apps. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erlaubt das Betriebssystem Benutzern möglicherweise, Daten mithilfe von Kopieren und Einfügen für Apps im persönlichen Profil freizugeben.

• Datenfreigabe zwischen Arbeits- und persönlichen Profilen: Wählen Sie aus, ob Apps im Arbeitsprofil für Apps im persönlichen Profil freigegeben werden können. Beispielsweise können Sie Freigabeaktionen innerhalb von Anwendungen steuern, z. B. die Option Freigeben... in der Chrome-Browser-App. Diese Einstellung gilt nicht für das Verhalten beim Kopieren/Einfügen der Zwischenablage. Folgende Optionen sind verfügbar:

  • Gerätestandard: Die Freigabe vom Arbeitsprofil an das persönliche Profil ist blockiert. Die Freigabe aus dem persönlichen Profil in das Arbeitsprofil ist zulässig.
  • Apps im Arbeitsprofil können Freigabeanforderungen aus einem persönlichen Profil verarbeiten: Aktiviert das integrierte Android-Feature, das die Freigabe vom persönlichen Profil in das Arbeitsprofil ermöglicht. Wenn diese Option aktiviert ist, kann eine Freigabeanforderung von einer App im persönlichen Profil für Apps im Arbeitsprofil freigegeben werden.
  • Keine Einschränkungen für die Freigabe: Ermöglicht die Freigabe über die Grenze des Arbeitsprofils in beide Richtungen hinweg. Wenn Sie diese Einstellung auswählen, können Apps im Arbeitsprofil Daten für nicht freigegebene Apps im persönlichen Profil freigeben. Mit dieser Einstellung können verwaltete Apps im Arbeitsprofil für Apps auf der nicht verwalteten Seite des Geräts freigegeben werden. Verwenden Sie diese Einstellung daher sorgfältig.

• Arbeitsprofilbenachrichtigungen, während das Gerät gesperrt ist: Blockieren verhindert, dass Fensterbenachrichtigungen, einschließlich Popups, eingehende Anrufe, ausgehende Anrufe, Systemwarnungen und Systemfehler auf gesperrten Geräten angezeigt werden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise Benachrichtigungen an.

• Standard-App-Berechtigungen: Legt die Standardberechtigungsrichtlinie für alle Apps im Arbeitsprofil fest. Ab Android 6 werden Benutzer aufgefordert, bestimmte Berechtigungen zu erteilen, die für Apps erforderlich sind, wenn die App gestartet wird. Mit dieser Richtlinieneinstellung können Sie entscheiden, ob Benutzer aufgefordert werden, Berechtigungen für alle Apps im Arbeitsprofil zu erteilen. Sie weisen dem Arbeitsprofil beispielsweise eine App zu, die Standortzugriff erfordert. Normalerweise fordert diese App Benutzer auf, den Standortzugriff auf die App zu genehmigen oder zu verweigern. Verwenden Sie diese Richtlinie, um Berechtigungen automatisch ohne Aufforderung zu erteilen, Berechtigungen automatisch ohne Aufforderung zu verweigern oder Benutzern die Entscheidung zu überlassen. Folgende Optionen sind verfügbar:

  • Gerätestandard
  • Prompt
  • Automatische Genehmigung
  • Automatische Ablehnung

  Sie können auch eine App-Konfigurationsrichtlinie verwenden, um Berechtigungen für einzelne Apps zu erteilen (App-Konfigurationsrichtlinien für Apps>).

• Hinzufügen und Entfernen von Konten: Diese Einstellung erlaubt oder verhindert, dass Konten im Arbeitsprofil hinzugefügt werden, einschließlich Google-Konten. Folgende Optionen sind verfügbar:

  • Alle Kontotypen mit Ausnahme von Google-Konten zulassen (Standard): Intune ändert oder aktualisiert diese Einstellung nicht. Standardmäßig lässt das Betriebssystem möglicherweise das Hinzufügen von Konten im Arbeitsprofil zu.

    In einer früheren Version wurde diese Einstellung nicht konfiguriert genannt.

  • Alle Kontotypen zulassen: Erlaubt alle Konten, einschließlich Google-Konten. Für diese Google-Konten ist die Installation von Apps aus dem verwalteten Google Play Store blockiert.

    Sie können auch Folgendes konfigurieren:

    • Google Domain allow-list: Schränkt benutzer ein, nur bestimmte Google-Kontodomänen im Arbeitsprofil hinzuzufügen. Sie können eine Liste zulässiger Domänen im folgenden Format importieren:

      contoso.com
      microsoft.com
      

      Oder fügen Sie die Domänen einzeln im contoso.com Format hinzu. Wenn sie leer gelassen wird, erlaubt das Betriebssystem möglicherweise standardmäßig das Hinzufügen aller Google-Domänen im Arbeitsprofil.

    Diese Einstellung erfordert Folgendes:

    • Google Play-App-Version 80970100 oder höher

  • Alle Kontotypen blockieren: Verhindert, dass Benutzer Konten im Arbeitsprofil manuell hinzufügen oder entfernen. Wenn Sie beispielsweise die Gmail-App im Arbeitsprofil bereitstellen, können Sie verhindern, dass Benutzer Konten in diesem Arbeitsprofil hinzufügen oder entfernen.

  Hinweis

  Auf persönlichen Geräten mit einem Arbeitsprofil (BYOD) und unternehmenseigenen Geräten mit Arbeitsprofil (COPE) können Google-Konten nicht der Einstellungen-App>Konten>Arbeit hinzugefügt werden.

• Kontaktfreigabe über Bluetooth: Aktivieren ermöglicht die Freigabe und den Zugriff auf persönliche Geräte mit einem Arbeitsprofilkontakt von einem anderen Gerät, einschließlich eines Autos, das über Bluetooth gekoppelt ist. Wenn Sie diese Einstellung aktivieren, können bestimmte Bluetooth-Geräte arbeitskontakte bei der ersten Verbindung zwischenspeichern. Wenn Sie diese Richtlinie nach einer ersten Kopplung/Synchronisierung deaktivieren, werden möglicherweise keine Arbeitskontakte von einem Bluetooth-Gerät entfernt.

  Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig gibt das Betriebssystem möglicherweise keine Arbeitskontakte weiter.

  Diese Einstellung gilt für:

  • Android 8.0 und neuere persönliche Geräte mit einem Arbeitsprofil

• Bildschirmaufnahme: Blockieren verhindert Screenshots oder Bildschirmaufnahmen auf dem Gerät im Arbeitsprofil. Außerdem wird verhindert, dass der Inhalt auf Anzeigegeräten angezeigt wird, die keine sichere Videoausgabe haben. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise das Abrufen von Screenshots zu.

• Anrufer-ID des Arbeitskontakts im persönlichen Profil anzeigen: Blockieren zeigt die Anrufernummer des Arbeitskontakts nicht im persönlichen Profil an. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig zeigt das Betriebssystem möglicherweise Kontaktanruferdetails an.

  Diese Einstellung gilt für:

  • Android 8.0 und neuere persönliche Geräte mit einem Arbeitsprofil

• Search Arbeitskontakte aus persönlichem Profil: Blockieren verhindert, dass Benutzer in Apps im persönlichen Profil nach Arbeitskontakten suchen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erlaubt das Betriebssystem möglicherweise die Suche nach Arbeitskontakten im persönlichen Profil.

• Kamera: Blockieren verhindert den Zugriff auf die Kamera auf dem Gerät im persönlichen Arbeitsprofil. Diese Einstellung wirkt sich nicht auf die Kamera auf der persönlichen Seite aus. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise den Zugriff auf die Kamera zu.

• Widgets aus Arbeitsprofil-Apps zulassen: Aktivieren ermöglicht Benutzern das Platzieren von Widgets, die von Apps auf dem Startbildschirm verfügbar gemacht werden. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig deaktiviert das Betriebssystem dieses Feature möglicherweise.

  Outlook wird beispielsweise im Arbeitsprofil Ihrer Benutzer installiert. Wenn diese Option auf Aktivieren festgelegt ist, können Benutzer das Agendawidget auf dem Startbildschirm des Geräts platzieren.

Arbeitsprofilkennwort

Diese Kennworteinstellungen gelten für das Arbeitsprofilkennwort auf persönlichen Geräten mit einem Arbeitsprofil.

Alle Android-Geräte

• Arbeitsprofilkennwort anfordern: Durch Die Anforderung wird eine Kennungsrichtlinie erzwungen, die nur für Apps im Arbeitsprofil gilt. Standardmäßig können Benutzer die beiden separat definierten PINs verwenden. Alternativ können Benutzer die PINs in der stärkeren der beiden PINs kombinieren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erlaubt das Betriebssystem Benutzern möglicherweise die Verwendung von Arbeits-Apps, ohne ein Kennwort einzugeben.

  Diese Einstellung gilt für:

  • Android 8.0 und neuere persönliche Geräte mit einem Arbeitsprofil

• Maximale Inaktivität in Minuten bis zum Sperren des Arbeitsprofils: Geben Sie die Zeitspanne ein, die Geräte im Leerlauf haben müssen, bevor der Bildschirm automatisch gesperrt wird. Benutzer müssen ihre Anmeldeinformationen eingeben, um wieder Zugriff zu erhalten. Geben Sie beispielsweise ein 5 , um das Gerät nach 5 Minuten im Leerlauf zu sperren. Wenn der Wert leer oder auf Nicht konfiguriert festgelegt ist, ändert oder aktualisiert Intune diese Einstellung nicht.

  Auf Geräten können Benutzer keinen Zeitwert festlegen, der größer als die konfigurierte Zeit im Profil ist. Benutzer können einen niedrigeren Zeitwert festlegen. Wenn das Profil beispielsweise auf 15 Minuten festgelegt ist, können Benutzer den Wert auf 5 Minuten festlegen. Benutzer können den Wert nicht auf 30 Minuten festlegen.

• Anzahl von Anmeldefehlern vor dem Zurücksetzen des Geräts: Geben Sie die Anzahl der zulässigen falschen Kennwörter ein, bevor das Arbeitsprofil auf dem Gerät zurückgesetzt wird (von 4 bis 11). Wenn der Wert leer ist, verwendet Intune für diese Einstellung den Standardwert.

• Kennwortablauf (Tage): Geben Sie die Anzahl der Tage an, bis Benutzerkennwörter geändert werden müssen (von 1-365).

• Wiederverwendung vorheriger Kennwörter verhindern: Verwenden Sie diese Einstellung, um zu verhindern, dass Benutzer zuvor verwendete Kennwörter erstellen. Geben Sie die Anzahl der zuvor verwendeten Kennwörter ein, die nicht verwendet werden können(1-24). Geben Sie beispielsweise ein 5 , damit Benutzer kein neues Kennwort auf ihr aktuelles Kennwort oder eines ihrer vorherigen vier Kennwörter festlegen können. Wenn der Wert leer ist, ändert oder aktualisiert Intune diese Einstellung nicht.

• Gesichtsentsperrung: Blockieren verhindert, dass Benutzer die Gesichtserkennung des Geräts verwenden, um das persönliche Arbeitsprofil zu entsperren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erlaubt das Betriebssystem benutzern möglicherweise, das Gerät mithilfe der Gesichtserkennung zu entsperren.

• Fingerabdruckentsperrung: Blockieren verhindert, dass Benutzer den Fingerabdruckscanner des Geräts verwenden, um das persönliche Arbeitsprofil zu entsperren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem benutzern erlauben, das Gerät mithilfe eines Fingerabdrucks zu entsperren.

• Iris entsperren: Blockieren verhindert, dass Benutzer den Irisscanner des Geräts verwenden können, um das persönliche Arbeitsprofil zu entsperren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem benutzern möglicherweise zu, das Gerät mit dem Irisscanner zu entsperren.

• Smart Lock und andere vertrauenswürdige Agents: Blockieren verhindert, dass Smart Lock- oder andere vertrauenswürdige Agents die Einstellungen des Sperrbildschirms auf kompatiblen Geräten anpassen. Wenn sich Geräte an einem vertrauenswürdigen Ort befinden, können Sie mit diesem Feature, das auch als Vertrauens-Agent bezeichnet wird, das Kennwort des Gerätesperrbildschirms deaktivieren oder umgehen. Umgehen Sie beispielsweise das Arbeitsprofilkennwort, wenn Geräte mit einem bestimmten Bluetooth-Gerät verbunden sind oder sich in der Nähe eines NFC-Tags befinden. Verwenden Sie diese Einstellung, um zu verhindern, dass Benutzer Smart Lock konfigurieren.

  Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.

• Eine Sperre für Gerät und Arbeitsprofil: Blockieren verhindert, dass Benutzer dasselbe Kennwort für den Sperrbildschirm auf dem Gerät und arbeitsprofil verwenden. Endbenutzer müssen das Gerätekennwort eingeben, um das Gerät zu entsperren, und ihr Arbeitsprofilkennwort eingeben, um auf ihr Arbeitsprofil zuzugreifen.

  Wenn diese Einstellung auf Nicht konfiguriert (Standard) festgelegt ist, ändert oder aktualisiert Intune diese Einstellung nicht. Standardmäßig kann das Betriebssystem Benutzern den Zugriff auf ihr Arbeitsprofil mit einem einzigen Kennwort erlauben.

Android 12 und höher

• Kennwortkomplexität: Verwenden Sie diese Einstellung, um die Anforderungen an die Kennwortkomplexität festzulegen. Folgende Optionen sind verfügbar:

  • Keine: Intune ändert oder aktualisiert diese Einstellung nicht. Standardmäßig erfordert das Betriebssystem möglicherweise kein Kennwort.
  • Niedrig: Muster oder PIN mit wiederholten (4444) oder sortierten (1234, 4321, 2468) Sequenzen sind zulässig.
  • Mittel: PIN mit wiederholten (4444) oder sortierten (1234, 4321, 2468) Sequenzen werden blockiert. Die Länge, die alphabetische Länge oder die alphanumerische Länge muss mindestens vier Zeichen umfassen.
  • Hoch: PIN mit wiederholten (4444) oder sortierten (1234, 4321, 2468) Sequenzen werden blockiert. Die Länge muss mindestens acht Zeichen betragen. Die alphabetische oder alphanumerische Länge muss mindestens sechs Zeichen lang sein.

  Auf persönlichen Geräten mit einem Arbeitsprofil gibt es zwei Kennwörter, die von dieser Einstellung für die Kennwortkomplexität betroffen sind:

  • Das Gerätekennwort zum Entsperren des Geräts
  • Das Arbeitsprofilkennwort, mit dem Benutzer auf das Arbeitsprofil zugreifen können

  Wenn die Komplexität des Gerätekennworts zu gering ist, wird das Gerätekennwort automatisch geändert, um eine hohe Komplexität zu erfordern. Die Endbenutzer müssen das Gerätekennwort aktualisieren, um die Komplexitätsanforderungen zu erfüllen. Anschließend melden sie sich beim Arbeitsprofil an und werden aufgefordert, die Arbeitsprofilkomplexität zu aktualisieren, die in der Einstellung Kennwortkomplexität in Ihrer Richtlinie konfiguriert ist.

  Wichtig

  Bevor die Einstellung Kennwortkomplexität verfügbar war, wurden die Einstellungen Erforderlicher Kennworttyp und Minimale Kennwortlänge verwendet. Diese Einstellungen sind weiterhin verfügbar, aber sie sind von Google für Android 12+ persönliche Geräte mit einem Arbeitsprofil veraltet. Informationen zu diesen Einstellungen findest du unter Android 11 und früher (in diesem Artikel).

  Folgendes müssen Sie wissen:

  • Wenn die Einstellungen Erforderlicher Kennworttyp und Minimale Kennwortlänge von den Standardwerten in einer Richtlinie geändert werden, gehen Sie wie folgt vor:

    • Neu registrierte Android Enterprise 12+ Geräte verwenden automatisch die Einstellung Kennwortkomplexität mit hoher Komplexität. Wenn Sie also keine hohe Kennwortkomplexität wünschen, erstellen Sie eine neue Richtlinie für Android Enterprise 12+-Geräte, und konfigurieren Sie die Einstellung Kennwortkomplexität .

    • Vorhandene Android Enterprise 12+-Geräte verwenden weiterhin die Einstellungen Erforderlicher Kennworttyp und Minimale Kennwortlänge sowie die vorhandenen Werte, die bereits konfiguriert sind.

      Wenn Sie eine vorhandene Richtlinie mit den einstellungen Erforderlicher Kennworttyp und Minimale Kennwortlänge ändern, die bereits konfiguriert sind, verwenden Android Enterprise 12+-Geräte automatisch die Einstellung Kennwortkomplexität mit der Option Hohe Komplexität.

      Für Android Enterprise 12+ Geräte wird empfohlen, die Einstellung Kennwortkomplexität zu konfigurieren.

  • Wenn die Einstellungen Erforderlicher Kennworttyp und Minimale Kennwortlänge nicht von den Standardwerten in einer Richtlinie geändert werden, wird automatisch keine Kennwortrichtlinie auf neu registrierte Android Enterprise 12+-Geräte angewendet.

Android 11 und früher

Wichtig

• Google stellt die Einstellungen Erforderlicher Kennworttyp und Mindestkennwortlänge für persönliche Android 12-Geräte mit einem Arbeitsprofil als veraltet fest und ersetzt es durch neue Anforderungen an die Kennwortkomplexität. Weitere Informationen zu dieser Änderung findest du unter Unterstützung für Android 13 ohne Tag.
• Verwenden Sie auf Android Enterprise 12+ Geräten die Einstellung Kennwortkomplexität .

• Erforderlicher Kennworttyp: Geben Sie die erforderliche Kennwortkomplexitätsstufe ein, und geben Sie an, ob biometrische Geräte verwendet werden können. Folgende Optionen sind verfügbar:

  • Gerätestandard (Standard): Intune diese Einstellung nicht ändert oder aktualisiert. Standardmäßig erfordert das Betriebssystem möglicherweise kein Kennwort.
  • Biometrie mit niedriger Sicherheit: Starke und schwache Biometrie (öffnet Android-Website)
  • Erforderlich
  • Mindestens numerisch: Enthält numerische Zeichen, z 123456789. B. .
  • Numerisch komplex: Wiederholte oder aufeinanderfolgende Zahlen wie 1111 oder 1234sind nicht zulässig.
  • Mindestens alphabetisch: Enthält Buchstaben im Alphabet. Zahlen und Symbole sind nicht erforderlich.
  • Mindestens alphanumerisch: Enthält Großbuchstaben, Kleinbuchstaben und numerische Zeichen.
  • Mindestens alphanumerisch mit Symbolen: Umfasst Großbuchstaben, Kleinbuchstaben, numerische Zeichen, Satzzeichen und Symbole.

• Minimale Kennwortlänge: Geben Sie die Mindestlänge des Kennworts zwischen 4 (Standard) und 16 Zeichen ein.

Kennwort

Diese Kennworteinstellungen gelten für das Gerätekennwort auf persönlichen Geräten mit einem Arbeitsprofil.

Alle Android-Geräte

• Maximale Inaktivität in Minuten bis zum Sperren des Bildschirms: Geben Sie an, wie lange Geräte sich im Leerlauf befinden müssen, bevor der Bildschirm automatisch gesperrt wird. Benutzer müssen ihre Anmeldeinformationen eingeben, um wieder Zugriff zu erhalten. Geben Sie beispielsweise ein 5 , um das Gerät nach 5 Minuten im Leerlauf zu sperren. Wenn der Wert leer oder auf Nicht konfiguriert festgelegt ist, ändert oder aktualisiert Intune diese Einstellung nicht.

  Auf Geräten können Benutzer keinen Zeitwert festlegen, der größer als die konfigurierte Zeit im Profil ist. Benutzer können einen niedrigeren Zeitwert festlegen. Wenn das Profil beispielsweise auf 15 Minuten festgelegt ist, können Benutzer den Wert auf 5 Minuten festlegen. Benutzer können den Wert nicht auf 30 Minuten festlegen.

• Anzahl von Anmeldefehlern vor dem Zurücksetzen des Geräts: Geben Sie die Anzahl der zulässigen falschen Kennwörter ein, bevor das persönliche Arbeitsprofil auf dem Gerät zurückgesetzt wird (von 4 bis 11). 0 (null) kann die Zurücksetzungsfunktion des Geräts deaktivieren. Wenn der Wert leer ist, ändert oder aktualisiert Intune diese Einstellung nicht.

• Kennwortablauf (Tage): Geben Sie die Anzahl der Tage an, bis das Gerätekennwort geändert werden muss, von 1 bis 365. Geben Sie beispielsweise ein 90 , um das Kennwort nach 90 Tagen abläuft. Wenn das Kennwort abläuft, werden Benutzer aufgefordert, ein neues Kennwort zu erstellen. Wenn der Wert leer ist, ändert oder aktualisiert Intune diese Einstellung nicht.

• Wiederverwendung vorheriger Kennwörter verhindern: Verwenden Sie diese Einstellung, um zu verhindern, dass Benutzer zuvor verwendete Kennwörter erstellen. Geben Sie die Anzahl der zuvor verwendeten Kennwörter ein, die nicht verwendet werden können(1-24). Geben Sie beispielsweise ein 5 , damit Benutzer kein neues Kennwort auf ihr aktuelles Kennwort oder eines ihrer vorherigen vier Kennwörter festlegen können. Wenn der Wert leer ist, ändert oder aktualisiert Intune diese Einstellung nicht.

• Fingerabdruckentsperrung: Blockieren verhindert, dass Benutzer den Fingerabdruckscanner des Geräts verwenden können, um das Gerät zu entsperren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig kann das Betriebssystem benutzern erlauben, das Gerät mithilfe eines Fingerabdrucks zu entsperren.

• Gesichtsentsperrung: Blockieren verhindert, dass Benutzer die Gesichtserkennung des Geräts verwenden, um das Gerät zu entsperren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig erlaubt das Betriebssystem benutzern möglicherweise, das Gerät mithilfe der Gesichtserkennung zu entsperren.

• Iris entsperren: Blockieren verhindert, dass Benutzer den Irisscanner des Geräts verwenden können, um das Gerät zu entsperren. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem benutzern möglicherweise zu, das Gerät mit dem Irisscanner zu entsperren.

• Smart Lock und andere vertrauenswürdige Agents: Blockieren verhindert, dass Smart Lock- oder andere vertrauenswürdige Agents die Einstellungen des Sperrbildschirms auf kompatiblen Geräten anpassen. Wenn sich Geräte an einem vertrauenswürdigen Ort befinden, können Sie mit diesem Feature, das auch als Vertrauens-Agent bezeichnet wird, das Kennwort des Gerätesperrbildschirms deaktivieren oder umgehen. Umgehen Sie beispielsweise das Persönliche Arbeitsprofilkennwort, wenn Geräte mit einem bestimmten Bluetooth-Gerät verbunden sind oder sich in der Nähe eines NFC-Tags befinden. Verwenden Sie diese Einstellung, um zu verhindern, dass Benutzer Smart Lock konfigurieren.

  Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.

Android 12 und höher

• Kennwortkomplexität: Verwenden Sie diese Einstellung, um die Anforderungen an die Kennwortkomplexität festzulegen. Folgende Optionen sind verfügbar:

  • Keine: Intune ändert oder aktualisiert diese Einstellung nicht. Standardmäßig erfordert das Betriebssystem möglicherweise kein Kennwort.
  • Niedrig: Muster oder PIN mit wiederholten (4444) oder sortierten (1234, 4321, 2468) Sequenzen sind zulässig.
  • Mittel: PIN mit wiederholten (4444) oder sortierten (1234, 4321, 2468) Sequenzen werden blockiert. Die Länge, die alphabetische Länge oder die alphanumerische Länge muss mindestens vier Zeichen umfassen.
  • Hoch: PIN mit wiederholten (4444) oder sortierten (1234, 4321, 2468) Sequenzen werden blockiert. Die Länge muss mindestens acht Zeichen betragen. Die alphabetische oder alphanumerische Länge muss mindestens sechs Zeichen lang sein.

  Auf persönlichen Geräten mit einem Arbeitsprofil gibt es zwei Kennwörter, die von dieser Einstellung für die Kennwortkomplexität betroffen sind:

  • Das Gerätekennwort zum Entsperren des Geräts
  • Das Arbeitsprofilkennwort, mit dem Benutzer auf das Arbeitsprofil zugreifen können

  Wenn die Komplexität des Gerätekennworts zu gering ist, wird das Gerätekennwort automatisch geändert, um eine hohe Komplexität zu erfordern. Die Endbenutzer müssen das Gerätekennwort aktualisieren, um die Komplexitätsanforderungen zu erfüllen. Anschließend melden sie sich beim Arbeitsprofil an und werden aufgefordert, die Arbeitsprofilkomplexität zu aktualisieren, die in der Einstellung Kennwortkomplexität in Ihrer Richtlinie konfiguriert ist.

  Wichtig

  Bevor die Einstellung Kennwortkomplexität verfügbar war, wurden die Einstellungen Erforderlicher Kennworttyp und Minimale Kennwortlänge verwendet. Diese Einstellungen sind weiterhin verfügbar, aber sie sind von Google für Android 12+ persönliche Geräte mit einem Arbeitsprofil veraltet. Weitere Informationen zu diesen Einstellungen findest du unter Android 11 und früher (in diesem Artikel).

  Folgendes müssen Sie wissen:

  • Wenn die Einstellungen Erforderlicher Kennworttyp und Minimale Kennwortlänge von den Standardwerten in einer Richtlinie geändert werden, gehen Sie wie folgt vor:

    • Neu registrierte Android Enterprise 12+ Geräte verwenden automatisch die Einstellung Kennwortkomplexität mit hoher Komplexität. Wenn Sie also keine hohe Kennwortkomplexität wünschen, erstellen Sie eine neue Richtlinie für Android Enterprise 12+-Geräte, und konfigurieren Sie die Einstellung Kennwortkomplexität .

    • Vorhandene Android Enterprise 12+-Geräte verwenden weiterhin die Einstellungen Erforderlicher Kennworttyp und Minimale Kennwortlänge sowie die vorhandenen Werte, die bereits konfiguriert sind.

      Wenn Sie eine vorhandene Richtlinie mit den einstellungen Erforderlicher Kennworttyp und Minimale Kennwortlänge ändern, die bereits konfiguriert sind, verwenden Android Enterprise 12+-Geräte automatisch die Einstellung Kennwortkomplexität mit der Option Hohe Komplexität.

      Für Android Enterprise 12+ Geräte wird empfohlen, die Einstellung Kennwortkomplexität zu konfigurieren.

  • Wenn die Einstellungen Erforderlicher Kennworttyp und Minimale Kennwortlänge nicht von den Standardwerten in einer Richtlinie geändert werden, wird automatisch keine Kennwortrichtlinie auf neu registrierte Android Enterprise 12+-Geräte angewendet.

Android 11 und früher

Wichtig

• Google stellt die Einstellungen Erforderlicher Kennworttyp und Mindestkennwortlänge für persönliche Android 12-Geräte mit einem Arbeitsprofil als veraltet fest und ersetzt es durch neue Anforderungen an die Kennwortkomplexität. Weitere Informationen zu dieser Änderung findest du unter Unterstützung für Android 13 ohne Tag.
• Verwenden Sie auf Android Enterprise 12+ Geräten die Einstellung Kennwortkomplexität .

• Erforderlicher Kennworttyp: Geben Sie die erforderliche Kennwortkomplexitätsstufe ein, und geben Sie an, ob biometrische Geräte verwendet werden können. Folgende Optionen sind verfügbar:

  • Gerätestandard (Standard): Intune diese Einstellung nicht ändert oder aktualisiert. Standardmäßig erfordert das Betriebssystem möglicherweise kein Kennwort.
  • Biometrie mit niedriger Sicherheit: Starke und schwache Biometrie (öffnet Android-Website)
  • Erforderlich
  • Mindestens numerisch: Enthält numerische Zeichen, z 123456789. B. .
  • Numerisch komplex: Wiederholte oder aufeinanderfolgende Zahlen wie 1111 oder 1234sind nicht zulässig.
  • Mindestens alphabetisch: Enthält Buchstaben im Alphabet. Zahlen und Symbole sind nicht erforderlich.
  • Mindestens alphanumerisch: Enthält Großbuchstaben, Kleinbuchstaben und numerische Zeichen.
  • Mindestens alphanumerisch mit Symbolen: Umfasst Großbuchstaben, Kleinbuchstaben, numerische Zeichen, Satzzeichen und Symbole.

• Minimale Kennwortlänge: Geben Sie die Mindestlänge des Kennworts zwischen 4 (Standard) und 16 Zeichen ein.

Systemsicherheit

• Bedrohungsüberprüfung für Apps: Erfordern erzwingt, dass die Einstellung "Apps überprüfen " für arbeits- und persönliche Profile aktiviert ist. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.

  Diese Einstellung gilt für:

  • Android 8 (Oreo) und neuere persönliche Geräte mit einem Arbeitsprofil

• Verhindern von App-Installationen aus unbekannten Quellen im persönlichen Profil: Standardmäßig können persönliche Android Enterprise-Geräte mit einem Arbeitsprofil keine Apps aus anderen Quellen als dem Play Store installieren. Diese Einstellung ermöglicht Administratoren mehr Kontrolle über App-Installationen aus unbekannten Quellen. Blockieren verhindert, dass App-Installationen von anderen Quellen als dem Google Play Store im persönlichen Profil stammen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise App-Installationen aus unbekannten Quellen im persönlichen Profil zu. Von Natur aus sind persönliche Geräte mit einem Arbeitsprofil als Dual-Profile vorgesehen:

  • Ein persönliches Gerät mit einem Arbeitsprofil, das mithilfe von MDM verwaltet wird.
  • Ein persönliches Profil, das von der MDM-Verwaltung isoliert ist.

Verbindung

• Always-On-VPN: Aktivieren legt fest, dass ein VPN-Client automatisch eine Verbindung mit dem VPN herstellt und erneut eine Verbindung mit dem VPN herstellt. Always On-VPN-Verbindungen bleiben aktiv. Oder stellen Sie sofort eine Verbindung her, wenn Benutzer ihr Gerät sperren, das Gerät neu startet oder sich das Drahtlosnetzwerk ändert.

  Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig deaktiviert das Betriebssystem möglicherweise Always-On-VPN für alle VPN-Clients.

  Wichtig

  Stellen Sie sicher, dass Sie nur eine Always On VPN-Richtlinie auf einem einzelnen Gerät bereitstellen. Das Bereitstellen mehrerer Always VPN-Richtlinien auf einem einzelnen Gerät wird nicht unterstützt.

• VPN-Client: Wählen Sie einen VPN-Client aus, der Always On unterstützt. Folgende Optionen sind verfügbar:

  • Cisco AnyConnect
  • F5 Access
  • Palo Alto Networks – GlobalProtect
  • Pulse Secure
  • Benutzerdefiniert
    • Paket-ID: Geben Sie die Paket-ID der App im Google Play Store ein. Wenn die URL für die App im Play Store beispielsweise lautet https://play.google.com/store/details?id=com.contosovpn.android.prod, lautet die Paket-ID com.contosovpn.android.prod.

  Wichtig

  • Der ausgewählte VPN-Client muss auf dem Gerät installiert sein. Es muss auch pro App-VPN auf persönlichen Geräten mit einem Arbeitsprofil unterstützt werden. Andernfalls, tritt ein Fehler auf.
  • Sie müssen die VPN-Client-App im verwalteten Google Play Store genehmigen, die App mit Intune synchronisieren und die App auf dem Gerät bereitstellen. Danach wird die App auf den persönlichen Geräten des Benutzers mit einem Arbeitsprofil installiert.
  • Möglicherweise gibt es bekannte Probleme bei der Verwendung von Pro-App-VPN mit F5 Access für Android 3.0.4. Weitere Informationen finden Sie in den Versionshinweisen von F5 für F5 Access für Android 3.0.4.

• Sperrmodus: Aktivieren erzwingt, dass der gesamte Netzwerkdatenverkehr den VPN-Tunnel verwendet. Wenn keine Verbindung mit dem VPN hergestellt wird, hat das Gerät keinen Netzwerkzugriff.

  Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise den Datenverkehr über den VPN-Tunnel oder das Mobilfunknetz zu.

Nächste Schritte

Zuweisen von Profilen und Überwachen von Profilen.

Konfigurieren und Behandeln von Problemen mit Android Enterprise-Geräten in Microsoft Intune.