Paramètres de conformité des appareils pour l’administrateur d’appareil Android dans Intune

Cet article répertorie les paramètres de conformité que vous pouvez configurer sur les appareils d’administrateur d’appareils Android dans Intune. Dans le cadre de votre solution de gestion des appareils mobiles (GPM), utilisez ces paramètres pour marquer les appareils rootés comme non conformes, définir un niveau de menace autorisé, activer Google Play Protect, etc.

Pour obtenir de l’aide sur la configuration de la stratégie de conformité, consultez Utiliser des stratégies de conformité pour définir des règles pour les appareils que vous gérez avec Intune.

Cette fonctionnalité s’applique à :

• Administrateur d’appareils Android

En tant qu’administrateur Intune, utilisez ces paramètres de conformité pour protéger vos ressources organisationnelles. Pour en savoir plus sur les stratégies de conformité et leur action, consultez Prise en main de la conformité des appareils.

Importante

Microsoft Intune prend fin à la prise en charge de la gestion des administrateurs d’appareils Android sur les appareils ayant accès à Google Mobile Services (GMS) le 30 août 2024. Après cette date, l’inscription de l’appareil, le support technique, les correctifs de bogues et les correctifs de sécurité ne seront pas disponibles. Si vous utilisez actuellement la gestion des administrateurs d’appareils, nous vous recommandons de passer à une autre option de gestion Android dans Intune avant la fin du support. Pour plus d’informations, consultez Fin de la prise en charge de l’administrateur d’appareils Android sur les appareils GMS.

Avant de commencer

Créez une stratégie de conformité. Pour Plateforme, sélectionnez Administrateur d’appareil Android.

Microsoft Defender pour point de terminaison

• Exiger que l’appareil ait un score inférieur ou égal au score de risque machine

  Sélectionnez le score de risque machine maximal autorisé pour les appareils évalués par Microsoft Defender pour point de terminaison. Les appareils qui dépassent ce score sont marqués comme non conformes.

  • Non configuré (par défaut)
  • Clear
  • Faible
  • Moyenne
  • High

Intégrité du périphérique

• Appareils gérés avec l’administrateur d’appareil
  Les fonctionnalités d’administrateur d’appareil sont remplacées par Android Entreprise.

  • Non configuré (par défaut)
  • Bloquer : l’administrateur d’appareil bloquant guide les utilisateurs à passer à Android Enterprise Personally-Owned et Corporate-Owned gestion des profils professionnels pour récupérer l’accès.

• Appareils rootés
  Empêcher les appareils rootés d’avoir un accès d’entreprise. (Cette case activée de conformité est prise en charge pour Android 4.0 et versions ultérieures.)

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Bloquer : marquez les appareils rootés comme non conformes.

• Exiger que l’appareil soit au niveau de menace pour l’appareil ou en dessous
  Utilisez ce paramètre pour prendre l’évaluation des risques à partir d’un service Mobile Threat Defense connecté comme condition de conformité.

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Sécurisé : cette option est la plus sécurisée, car l’appareil ne peut pas avoir de menaces. Si l’appareil est détecté avec un niveau quelconque de menaces, il est évalué comme non conforme.
  • Faible : l’appareil est évalué comme conforme si seules les menaces de bas niveau sont présentes. La présence de menaces de niveau supérieur rend l’appareil non conforme.
  • Moyen : l’appareil est évalué comme conforme si les menaces existantes sur l’appareil sont de niveau faible ou moyen. Si l’appareil est détecté comme présentant des menaces de haut niveau, il est déterminé comme non conforme.
  • Élevé : cette option est la moins sécurisée et autorise tous les niveaux de menace. Cela peut être utile si vous utilisez cette solution uniquement à des fins de création de rapports.

Google Play Protect

Importante

Les appareils fonctionnant dans les pays/régions où Google Mobile Services ne sont pas disponibles échouent à l’évaluation des paramètres de stratégie de conformité Google Play Protect. Pour plus d’informations, consultez Gestion des appareils Android où Google Mobile Services ne sont pas disponibles.

• Google Play Services est configuré
  Les services Google Play autorisent les mises à jour de sécurité et constituent une dépendance de niveau de base pour de nombreuses fonctionnalités de sécurité sur les appareils Google certifiés.

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Exiger : exiger que l’application des services Google Play soit installée et activée.

• Fournisseur de sécurité à jour

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Exiger : exiger qu’un fournisseur de sécurité à jour puisse protéger un appareil contre les vulnérabilités connues.

• Analyse des menaces sur les applications

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Exiger : exiger que la fonctionnalité Android Verify Apps soit activée.

  Remarque

  Sur la plateforme Android héritée, cette fonctionnalité est un paramètre de conformité. Intune peut uniquement case activée si ce paramètre est activé au niveau de l’appareil.

• Verdict d’intégrité de la lecture
  Entrez le niveau d’intégrité de la lecture de Google qui doit être respecté. Les options disponibles sont les suivantes :

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Vérifier l’intégrité de base
  • Vérifier l’intégrité de base & l’intégrité de l’appareil

Remarque

Pour configurer les paramètres Google Play Protect à l’aide de stratégies de protection des applications, consultez Paramètres de stratégie de protection des applications Intune sur Android.

Propriétés de l’appareil

Version du système d’exploitation

• Version minimale du système d’exploitation
  Lorsqu’un appareil ne répond pas à la configuration requise pour la version minimale du système d’exploitation, il est signalé comme non conforme. Un lien contenant des informations sur la mise à niveau s’affiche. L’utilisateur final peut choisir de mettre à niveau son appareil, puis d’accéder aux ressources de l’entreprise.

  Par défaut, aucune version n’est configurée.

• Version maximale du système d’exploitation
  Lorsqu’un appareil utilise une version du système d’exploitation ultérieure à la version spécifiée dans la règle, l’accès aux ressources de l’entreprise est bloqué. L’utilisateur est invité à contacter son administrateur informatique. Tant qu’une règle n’est pas modifiée pour autoriser la version du système d’exploitation, cet appareil ne peut pas accéder aux ressources de l’entreprise.

  Par défaut, aucune version n’est configurée.

Sécurité système

Chiffrement

• Exiger le chiffrement du stockage des données sur l’appareil
  Pris en charge sur Android 4.0 et versions ultérieures, ou KNOX 4.0 et versions ultérieures.

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Exiger : chiffrez le stockage des données sur vos appareils. Les appareils sont chiffrés lorsque vous choisissez le paramètre Exiger un mot de passe pour déverrouiller les appareils mobiles .

Sécurité des appareils

• Bloquer les applications provenant de sources inconnues
  Pris en charge sur Android 4.0 vers Android 7.x. Non pris en charge par Android 8.0 et versions ultérieures

  • Non configuré (valeur par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Bloquer : bloquer les appareils avec des sources de sécurité > inconnues activées (pris en charge sur Android 4.0 à Android 7.x. Non pris en charge sur Android 8.0 et versions ultérieures.).

  Pour charger une version test des applications, des sources inconnues doivent être autorisées. Si vous ne chargez pas de côté les applications Android, définissez cette fonctionnalité sur Bloquer pour activer cette stratégie de conformité.

  Importante

  Le chargement indépendant des applications nécessite que le paramètre Bloquer les applications provenant de sources inconnues soit activé. Appliquez cette stratégie de conformité uniquement si vous ne chargez pas d’applications Android sur des appareils.

• Intégrité du runtime de l’application portail d’entreprise

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.

  • Exiger : choisissez Exiger pour confirmer que l’application Portail d'entreprise répond à toutes les exigences suivantes :

    • L’environnement d’exécution par défaut est installé
    • Est correctement signé
    • N’est pas en mode débogage

• Bloquer le débogage USB sur l’appareil
  (Pris en charge sur Android 4.2 ou version ultérieure)

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Bloquer : empêcher les appareils d’utiliser la fonctionnalité de débogage USB.

• Niveau minimal du correctif de sécurité
  (Pris en charge sur Android 8.0 ou version ultérieure)

  Sélectionnez le niveau de correctif de sécurité le plus ancien qu’un appareil peut avoir. Les appareils qui ne sont pas au moins à ce niveau de correctif ne sont pas conformes. La date doit être entrée au YYYY-MM-DD format .

  Par défaut, aucune date n’est configurée.

• Applications restreintes
  Entrez le Nom de l’application et l’ID de l’offre groupée d’applications pour les applications qui doivent être restreintes, puis sélectionnez Ajouter. Un appareil avec au moins une application restreinte installée est marqué comme non conforme.

Mot de passe

Les paramètres disponibles pour les mots de passe varient selon la version d’Android sur l’appareil.

Tous les appareils Android

Les paramètres suivants sont pris en charge sur Android 4.0 ou version ultérieure et Knox 4.0 et versions ultérieures.

• Nombre maximal de minutes d’inactivité avant demande du mot de passe
  Ce paramètre spécifie la durée pendant laquelle l’écran de l’appareil mobile est verrouillé sans entrée utilisateur. Les options sont comprises entre 1 minute et 8 heures. La valeur recommandée est 15 minutes.

  • Non configuré(par défaut)

• Exiger un mot de passe pour déverrouiller des appareils mobiles

  Ce paramètre spécifie s’il faut demander aux utilisateurs d’entrer un mot de passe avant que l’accès soit accordé aux informations sur leurs appareils mobiles. Valeur recommandée : Exiger (Cette case activée de conformité est prise en charge pour les appareils avec les versions de système d’exploitation Android 4.0 et ultérieures, ou KNOX 4.0 et versions ultérieures.)

  • Non configuré(par défaut)

Android 10 et versions ultérieures

Les paramètres suivants sont pris en charge sur Android 10 ou version ultérieure, mais pas sur Knox.

• Complexité du mot de passe
  Ce paramètre est pris en charge sur Android 10 ou version ultérieure, mais pas sur Samsung Knox. Sur les appareils qui exécutent Android 9 et versions antérieures ou Samsung Knox, les paramètres de longueur et de type de mot de passe remplacent ce paramètre par la complexité.

  Spécifiez la complexité de mot de passe requise.

  • None(default) : aucun mot de passe n’est requis.
  • Faible : le mot de passe remplit l’une des conditions suivantes :
    • Modèle
    • Le code PIN numérique a une séquence répétée (4444) ou ordonnée (1234, 4321, 2468).
  • Moyen : le mot de passe remplit l’une des conditions suivantes :
    • Le code PIN numérique n’a pas de séquence répétée (4444) ou ordonnée (1234, 4321, 2468) et a une longueur minimale de 4.
    • Alphabétique, avec une longueur minimale de 4.
    • Alphanumérique, avec une longueur minimale de 4.
  • Élevé : le mot de passe remplit l’une des conditions suivantes :
    • Le code pin numérique n’a pas de séquence répétée (4444) ou ordonnée (1234, 4321, 2468) et a une longueur minimale de 8.
    • Alphabétique, avec une longueur minimale de 6.
    • Alphanumérique, avec une longueur minimale de 6.

Android 9 et versions antérieures ou Samsung Knox

Les paramètres suivants sont pris en charge sur Android 9.0 et versions antérieures, ainsi que sur n’importe quelle version de Samsung Knox.

• Exiger un mot de passe pour déverrouiller des appareils mobiles
  Ce paramètre spécifie s’il faut demander aux utilisateurs d’entrer un mot de passe avant que l’accès soit accordé aux informations sur leurs appareils mobiles. Valeur recommandée : Exiger

  • Non configuré (par défaut) : ce paramètre n’est pas évalué pour la conformité ou la non-conformité.
  • Exiger : les utilisateurs doivent entrer un mot de passe avant de pouvoir accéder à leur appareil.

  Lorsqu’il est défini sur Exiger, le paramètre suivant peut être configuré :

  Type de mot de passe requis
  Choisissez si un mot de passe doit inclure uniquement des caractères numériques, ou une combinaison de chiffres et d’autres caractères.

  • Valeur par défaut de l’appareil : pour évaluer la conformité du mot de passe, veillez à sélectionner une force de mot de passe autre que la valeur par défaut de l’appareil.
  • Biométrie à faible sécurité
  • Au moins numérique
  • Numérique complexe : les chiffres répétés ou consécutifs, tels que 1111 ou 1234, ne sont pas autorisés.
  • Au moins alphabétique
  • Au moins alphanumérique
  • Au moins alphanumérique avec des symboles

  En fonction de la configuration de ce paramètre, une ou plusieurs des options suivantes sont disponibles :

  • Longueur minimale du mot de passe
    Entrez le nombre minimal de chiffres ou de caractères que le mot de passe de l’utilisateur doit contenir.

  • Nombre maximal de minutes d’inactivité avant demande du mot de passe
    Entrez le temps d’inactivité avant que l’utilisateur ne doit entrer à nouveau son mot de passe. Lorsque vous choisissez Non configuré (valeur par défaut), ce paramètre n’est pas évalué pour la conformité ou la non-conformité.

  • Nombre de jours avant expiration du mot de passe
    Sélectionnez le nombre de jours avant l’expiration du mot de passe et l’utilisateur doit créer un nouveau mot de passe.

  • Nombre de mots de passe précédents avant d’autoriser leur réutilisation
    Entrez le nombre de mots de passe récents qui ne peuvent pas être réutilisés. Utilisez ce paramètre pour empêcher l’utilisateur de créer des mots de passe précédemment utilisés.

Étapes suivantes

• Ajoutez des actions pour les appareils non conformes et utilisez des balises d’étendue pour filtrer les stratégies.
• Surveillez vos stratégies de conformité.
• Consultez les paramètres de stratégie de conformité pour les appareils Android Entreprise .