Androidos munkahelyi profilos eszközök eszközmegfelelőségi szabályzatának hozzáadása az Intune-banAdd a device compliance policy for Android work profile devices in Intune

Az Intune-beli androidos munkahelyi profilos eszközmegfelelőségi szabályzatokkal megszabhatja az ilyen eszközöktől a megfelelőséghez kötelezően elvárt szabályokat és beállításokat.An Intune device compliance policy for Android work profile devices specifies the rules and settings that these devices must meet to be considered compliant. Ezeket a szabályzatokat feltételes hozzáféréssel használva megakadályozható vagy engedélyezhető a vállalati erőforrásokhoz való hozzáférés.You can use these policies with conditional access to allow or block access to company resources. Emellett lekérhet eszközjelentéseket, és különböző műveleteket hajthat végre meg nem felelés esetén.You can also get device reports, and take actions for non-compliance. Az Azure-beli Intune portálon különböző platformokhoz hozhat létre megfelelőségi szabályzatokat.You create device compliance policies for different platforms in the Intune Azure portal. A megfelelőségi szabályzatokról és azok előfeltételeiről az Eszközmegfelelőség – első lépések című cikk nyújt bővebb tájékoztatást.To learn more about compliance policies, and any prerequisites, see get started with device compliance.

Az alábbi táblázat ismerteti, hogyan történik a nem megfelelő beállítások kezelése, ha a megfelelőségi szabályzatot feltételes hozzáférési szabályzattal együtt használják.The following table describes how noncompliant settings are managed when a compliance policy is used with a conditional access policy.


házirend-beállításpolicy setting Androidos munkahelyi profilAndroid work profile
PIN-kód vagy jelszó konfigurálásaPIN or password configuration Karanténba helyezveQuarantined
EszköztitkosításDevice encryption Karanténba helyezveQuarantined
Jailbreakelt vagy rootolt eszközJailbroken or rooted device Karanténba helyezve (nem beállítás)Quarantined (not a setting)
e-mail profilemail profile Nem alkalmazhatóNot applicable
Operációs rendszer minimális verziójaMinimum OS version Karanténba helyezveQuarantined
Operációs rendszer maximális verziójaMaximum OS version Karanténba helyezveQuarantined
Windows-állapotigazolásWindows health attestation Nem alkalmazhatóNot applicable

Javítva = Az eszköz operációs rendszere megköveteli a megfelelést.Remediated = The device operating system enforces compliance. (Például a felhasználónak kötelező PIN-kódot beállítani.)+(For example, the user is forced to set a PIN.)+

Karanténba helyezve = Az eszköz operációs rendszere nem követeli meg a megfelelést.Quarantined = The device operating system does not enforce compliance. (Az Android-eszközök például nem követelik meg a felhasználótól az eszköz titkosítását.) Ha az eszköz nem megfelelő, a következő műveletekre kerül sor:(For example, Android devices do not force the user to encrypt the device.) When the device is not compliant, the following actions take place:

  • Ha a felhasználóra feltételes hozzáférési szabályzat vonatkozik, a rendszer letiltja az eszközt.If a conditional access policy applies to the user, the device is blocked.
  • A vállalati portál értesíti a felhasználót a megfelelőséggel kapcsolatos problémákról.The company portal notifies the user about any compliance problems.

Eszközmegfelelőségi szabályzat létrehozásaCreate a device compliance policy

  1. Jelentkezzen be az Azure portálra.Sign in to the Azure portal.
  2. Kattintson az Összes szolgáltatás lehetőségre, szűrjön az Intune-ra, és válassza ki a Microsoft Intune elemet.Select All services, filter on Intune, and select Microsoft Intune.
  3. Válassza az Eszközmegfelelőség > Szabályzatok > Szabályzat létrehozása lehetőséget.Select Device compliance > Policies > Create Policy.
  4. Adjon meg Nevet és Leírást.Enter a Name and Description.
  1. A Platform beállításban válassza a Vállalati Android lehetőséget.For Platform, select Android enterprise. Válassza a Beállítások konfigurálása lehetőséget az Eszközállapot, Eszköztulajdonságok és Rendszerbiztonság beállításainak megadásához.Choose Settings Configure, and enter the Device Health, Device Properties, and System Security settings. Ha elkészült, válassza az OK, majd a Létrehozás lehetőséget.When done, select OK, and Create.

Device healthDevice health

  • Feltört eszközök: Ezt a beállítást engedélyezve a függetlenített eszközök nem megfelelőként lesznek minősítve.Rooted devices: If you enable this setting, jailbroken devices are evaluated as noncompliant.
  • Maximálisan elérhető eszközfenyegetettségi szint használata: Ezzel a beállítással a Lookout MTP-től származó kockázatbecslés lesz a megfelelőség feltétele.Require the device to be at or under the Device Threat Level: Use this setting to take the risk assessment from the Lookout MTP solution as a condition for compliance. Megadható a legnagyobb megengedett fenyegetettségi szint:Choose the maximum allowed threat level:
    • Védett: Ez a legbiztonságosabb beállítás. Annyit jelent, hogy az eszköz esetében semmilyen fenyegetés nem engedélyezett.Secured: This option is the most secure, and means that the device cannot have any threats. Bármilyen szintű fenyegetés észlelésekor az eszközt a rendszer nem megfelelőként értékeli.If the device is detected as having any level of threats, it is evaluated as noncompliant.
    • Alacsony: Az eszköz csak abban az esetben minősül megfelelőnek, ha kizárólag alacsony szintű fenyegetések állnak fenn.Low: The device is evaluated as compliant if only low-level threats are present. Bármilyen magasabb szintű fenyegetés esetén az eszköz nem megfelelő státuszúnak minősül.Anything higher puts the device in a noncompliant status.
    • Közepes: Az eszköz abban az esetben minősül megfelelőnek, ha az eszköz vonatkozásában fennálló fenyegetések alacsony vagy közepes szintűek.Medium: The device is evaluated as compliant if the threats that are present on the device are low or medium level. Magas szintű fenyegetés észlelésekor a rendszer nem megfelelőként értékeli az eszközt.If the device is detected to have high-level threats, it is determined to be noncompliant.
    • Magas: Ez a legkevésbé biztonságos, minden fenyegetettségi szintet megengedő beállítás.High: This option is the least secure, as it allows all threat levels. Akkor lehet hasznos, ha ezt a megoldást kizárólag jelentéskészítési célokra használja.It may be useful if you're using this solution only for reporting purposes.
  • A Google Play-szolgáltatások be van állítva: Megadása esetén a Google Play-szolgáltatások alkalmazást telepíteni és engedélyezni kell.Google Play Services is configured: Require that the Google Play services app is installed and enabled. A Google Play-szolgáltatások lehetővé teszik a biztonsági frissítéseket, és számos biztonsági funkció előfeltételei a hitelesített Google-eszközökön.Google Play services allows security updates, and is a base-level dependency for many security features on certified-Google devices.
  • Naprakész biztonsági szolgáltató: Megadása esetén egy naprakész biztonsági szolgáltatóval kell védeni az eszközöket az ismert biztonsági kockázatokkal szemben.Up-to-date security provider: Require that an up-to-date security provider can protect a device from known vulnerabilities.
  • SafetyNet eszközigazolás: Megadható a SafetyNet igazolás elvárt szintje.SafetyNet device attestation: Enter the level of SafetyNet attestation that must be met. A választható lehetőségek:Your options:
    • Nincs konfigurálvaNot configured
    • Alapvető integritás ellenőrzéseCheck basic integrity
    • Alapvető integritás ellenőrzés és tanúsított eszközökCheck basic integrity & certified devices

Alkalmazások fenyegetettségvizsgálataThreat scan on apps

Az androidos munkahelyi profilokkal rendelkező eszközökön az Alkalmazások fenyegetettségvizsgálata beállítás a konfigurációs szabályzat beállításai között található.On devices with Android work profiles, the Threat scan on apps setting can be found as a configuration policy setting. A beállítást rendszergazdák tudják engedélyezni az adott eszközre.Administrators can enable the setting for a device.

Ha cég használ androidos munkahelyi profilokat, a regisztrált eszközökre vonatkozóan engedélyezhető az Alkalmazások fenyegetettségvizsgálata beállítás.If your enterprise uses Android work profiles, you can enable Threat scan on apps for your enrolled devices. Hozzon létre egy eszközprofilt, és tegye kötelezővé a rendszerbiztonsági beállítást.Establish a device profile and require the system security setting. További információt az Munkahelyi eszközök korlátozásaira vonatkozó beállítások az Intune-ban című témakörben talál.For more information, see Work device restriction settings in Intune.

Eszköztulajdonság-beállításokDevice property settings

  • Minimális operációsrendszer-verzió: Ha egy eszköz nem teljesíti az operációs rendszer szükséges minimális verziójára vonatkozó követelményt, nem megfelelőként fog szerepelni.Minimum OS version: When a device doesn't meet the minimum OS version requirement, it's reported as noncompliant. Megjelenik egy hivatkozás, amelyen a verziófrissítésre vonatkozó információk érhetők el.A link with information on how to upgrade is displayed. A végfelhasználó frissítheti az eszközt, ezután pedig hozzáfér a vállalati erőforrásokhoz.The end user can choose to upgrade their device, and then access company resources.
  • Maximális operációsrendszer-verzió: Ha egy eszközön a szabályban megadott operációsrendszer-verziónál újabb fut, a vállalati erőforrásokhoz való hozzáférés le lesz tiltva.Maximum OS version: When a device is using an OS version later than the version in the rule, access to company resources is blocked. A felhasználónak ekkor az informatikai rendszergazdához kell fordulnia. Az eszköz csak akkor használható a vállalati erőforrások elérésére, ha a szabályt úgy módosítják, hogy engedélyezze az operációs rendszer verzióját.And, the user is asked to contact their IT admin. Until there is a rule change to allow the OS version, the device cannot access company resources.

A rendszer biztonsági beállításaiSystem security settings

JelszóPassword

  • Jelszó megkövetelése a mobileszköz-zárolás feloldásához: A felhasználók kötelesek jelszót megadni az eszköz eléréséhez.Require a password to unlock mobile devices: Require users to enter a password before they can access their device.
  • Jelszó minimális hossza: Meghatározhatja a felhasználó jelszavában szereplő számjegyek vagy karakterek minimális számát.Minimum password length: Enter the minimum number of digits or characters that the user's password must have.
  • Jelszó megkövetelt típusa: Megadható, hogy a jelszó csak számjegyeket vagy számokat és más karaktereket vegyesen tartalmazzon.Required password type: Choose whether a password should contain only numeric characters or a mix of numerals and other characters. A következő lehetőségek közül választhat:Choose from:
    • Eszköz alapértelmezéseDevice Default
    • Alacsony biztonságú biometrikusLow security biometric
    • Legalább számokAt least numeric
    • Komplex numerikusNumeric complex
    • Legalább betűkAt least alphabetic
    • Legalább alfanumerikus karakterekAt least alphanumeric
    • Legalább alfanumerikus karakterek és szimbólumokAt least alphanumeric with symbols
  • Jelszó kérése legfeljebb ennyi perc inaktivitás után: Arra a tétlenségi időre vonatkozik, amelynek elteltével a felhasználónak újra meg kell adnia a jelszavát.Maximum minutes of inactivity before password is required: Enter the idle time before the user must reenter their password.
  • Jelszó érvényessége (napokban): Válassza ki, hány nap elteltével járjon le a jelszó, ami után újat kell létrehoznia.Password expiration (days): Select the number of days before the password expires, and they must create a new one.
  • Újból nem használható jelszavak száma: Megadhatja, hogy hány legutóbbi jelszó ne legyen újra felhasználható.Number of previous passwords to prevent reuse: Enter the number of recent passwords that can't be reused. Ezzel a beállítással korlátozhatja, hogy a felhasználó korábban használt jelszavakat hozzon létre.Use this setting to restrict the user from creating previously used passwords.

EncryptionEncryption

  • Titkosítás megkövetelése mobileszközön: Ezt a beállítást nem szükséges konfigurálni, mivel az androidos munkahelyi profilokkal rendelkező eszközök kikényszerítik a titkosítást.Require encryption on mobile device: You don't have to configure this setting because Android work profile devices enforce encryption.

EszközbiztonságDevice Security

  • Az ismeretlen forrásból származó alkalmazások tiltása: Ezt a beállítást nem szükséges konfigurálni, mivel az androidos munkahelyi profilokkal rendelkező eszközök mindig korlátozzák az ismeretlen forrásokból való telepítést.Block apps from unknown sources: You don't have to configure this setting as Android work profile devices always restrict installation from unknown sources.
  • Céges portál alkalmazás futtatókörnyezetének integritása: Ellenőrzi, hogy a Céges portál alkalmazás alapértelmezett futtatókörnyezete van-e telepítve, megfelelően alá van-e írva, nincs-e hibakereső módban, és ismert forrásból telepítették-e.Company portal app runtime integrity: Checks if the Company Portal app has the default runtime environment installed, is properly signed, is not in debug-mode, and is installed from a known source.
  • Az USB-hibakeresés letiltása az eszközön: Ezt a beállítást nem szükséges konfigurálni, mivel az androidos munkahelyi profilokkal rendelkező eszközökön már le van tiltva az USB-hibakeresés.Block USB debugging on device: You don't have to configure this setting because USB debugging is already disabled on Android work profile devices.
  • Minimális biztonsági javítási szint: Megadható a legrégebbi biztonsági javítás, amellyel az eszköz rendelkezhet.Minimum security patch level: Select the oldest security patch level a device can have. Az ennél régebbi javítási szintű eszközök nem megfelelőek.Devices that are not at least at this patch level are noncompliant. A dátumot YYYY-MM-DD formátumban kell megadni.The date must be entered in the YYYY-MM-DD format.

Felhasználói csoportok hozzárendeléseAssign user groups

  1. Válasszon ki egy konfigurált szabályzatot.Choose a policy that you've configured. A meglévő szabályzatok az Eszközmegfelelőség > Szabályzatok alatt találhatók.Existing policies are in Device compliance > Policies.
  2. Válassza ki a szabályzatot, majd válassza a Hozzárendelések lehetőséget.Choose the policy, and choose Assignments. Belefoglalhat vagy kizárhat Azure Active Directory (AD) biztonsági csoportokat.You can include or exclude Azure Active Directory (AD) security groups.
  3. Azure AD-biztonsági csoportjait a Kijelölt csoportok lehetőséget választva tekintheti meg.Choose Selected groups to see your Azure AD security groups. Kiválaszthatja, hogy mely csoportokra vonatkozzon a szabályzat, majd a Mentés elemre kattintva alkalmazhatja azt.Select the user groups you want this policy to apply, and choose Save to deploy the policy to users.

Ezzel érvénybe léptette a szabályzatot a felhasználók számára.You have applied the policy to users. A rendszer ekkor kiértékeli a szabályzat hatókörébe tartozó felhasználók által használt eszközök megfelelőségét.The devices used by the users who are targeted by the policy are evaluated for compliance.

További lépésekNext steps

Automatizált e-mailek és műveletek hozzáadása a nem megfelelő eszközökhözAutomate email and add actions for noncompliant devices
Intune-eszközmegfelelőségi szabályzatok figyeléseMonitor Intune Device compliance policies