Aggiungere i criteri di conformità per i dispositivi Android in IntuneAdd a device compliance policy for Android devices in Intune

I criteri di conformità di un dispositivo Android in Intune specificano le regole e le impostazioni che i dispositivi Android devono soddisfare per essere considerati conformi.An Intune device compliance policy for Android specifies the rules and settings that Android devices must meet to be considered compliant. Questi criteri con accesso condizionale possono essere usati per consentire o bloccare l'accesso alle risorse aziendali.You can use these policies with conditional access to allow or block access to company resources. È anche possibile ottenere i report di dispositivo e intraprendere azioni per la mancata conformità.You can also get device reports and take actions for non-compliance. I criteri di conformità dei dispositivi vengono creati per ogni piattaforma nel portale di Intune in Azure.You create device compliance policies for each platform in the Intune Azure portal. Per altre informazioni sui criteri di conformità e sui requisiti, vedere Introduzione alla conformità dei dispositivi.To learn more about compliance policies, and any prerequisites, see Get started with device compliance.

La tabella seguente descrive il modo in cui le impostazioni di non conformità vengono gestite quando i criteri di conformità vengono usati con i criteri di accesso condizionale.The following table describes how noncompliant settings are managed when a compliance policy is used with a conditional access policy.


Impostazione di criteriPolicy setting Android 4.0 e versioni successive, Samsung Knox Standard 4.0 e versioni successiveAndroid 4.0 and later, Samsung Knox Standard 4.0 and later
Configurazione di PIN o passwordPIN or password configuration In quarantenaQuarantined
Crittografia dispositivoDevice encryption In quarantenaQuarantined
Dispositivo jailbroken o rootedJailbroken or rooted device In quarantena (non è un'impostazione)Quarantined (not a setting)
Profilo di posta elettronicaemail profile Non applicabileNot applicable
Versione minima del sistema operativoMinimum OS version In quarantenaQuarantined
Versione massima del sistema operativoMaximum OS version In quarantenaQuarantined
Attestazione dell'integrità di WindowsWindows health attestation Non applicabileNot applicable

Con correzione = il sistema operativo del dispositivo impone la conformità.Remediated = The device operating system enforces compliance. (Ad esempio, l'utente è obbligato a impostare un PIN.)(For example, the user is forced to set a PIN.)

In quarantena = il sistema operativo del dispositivo non impone la conformità.Quarantined = The device operating system does not enforce compliance. (Ad esempio, i dispositivi Android non impongono la crittografia del dispositivo all'utente.) Quando il dispositivo non è compatibile, vengono eseguite le azioni seguenti:(For example, Android devices do not force the user to encrypt the device.) When the device is not compliant, the following actions take place:

  • Il dispositivo viene bloccato se un criterio di accesso condizionale si applica all'utente.The device is blocked if a conditional access policy applies to the user.
  • Il portale aziendale segnala all'utente eventuali problemi di conformità.The company portal notifies the user about any compliance problems.

Creare criteri di conformità dei dispositiviCreate a device compliance policy

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Selezionare Tutti i servizi, filtrare per Intune e selezionare Microsoft Intune.Select All services, filter on Intune, and select Microsoft Intune.
  3. Selezionare Conformità del dispositivo > Criteri > Crea criterio.Select Device compliance > Policies > Create Policy.
  4. Immettere un nome e una descrizione.Enter a Name and Description.
  1. Per Piattaforma, selezionare Android.For Platform, select Android. Scegliere Impostazioni Configura e immettere le impostazioni Integrità del dispositivo, Proprietà del dispositivo e Sicurezza del sistema.Choose Settings Configure, and enter the Device Health, Device Properties, and System Security settings. Al termine, fare clic su OK e su Crea.When done, select OK, and Create.

Integrità del dispositivoDevice health

  • Dispositivi rooted: se si abilita questa impostazione, i dispositivi jailbroken vengono considerati non conformi.Rooted devices: If you enable this setting, jailbroken devices are evaluated as noncompliant.

  • Richiedi che il dispositivo si trovi al massimo al livello di minaccia del dispositivo: usare questa impostazione per considerare la valutazione del rischio della soluzione Lookout MTP come condizione di conformità.Require the device to be at or under the Device Threat Level: Use this setting to take the risk assessment from the Lookout MTP solution as a condition for compliance. Scegliere il livello di minaccia massimo consentito:Choose the maximum allowed threat level:

    • Protetto: questa opzione è la più sicura, perché il dispositivo non può avere minacce.Secured: This option is the most secure, as the device can't have any threats. Se viene rilevata la presenza di minacce di qualsiasi livello, il dispositivo viene considerato non conforme.If the device is detected as having any level of threats, it is evaluated as noncompliant.
    • Basso: il dispositivo viene valutato come conforme se sono presenti solo minacce di livello basso.Low: The device is evaluated as compliant if only low-level threats are present. In presenza di minacce di livello più alto, il dispositivo verrà messo in stato di non conformità.Anything higher puts the device in a noncompliant status.
    • Media: il dispositivo viene valutato come conforme se le minacce esistenti nel dispositivo sono di livello basso o medio.Medium: The device is evaluated as compliant if existing threats on the device are low or medium level. Se viene rilevata la presenza di minacce di livello alto, il dispositivo viene considerato come non conforme.If the device is detected to have high-level threats, it is determined to be noncompliant.
    • Alta: questa opzione è la meno sicura e consente tutti i livelli di minaccia.High: This option is the least secure, and allows all threat levels. Potrebbe essere utile usare questa soluzione solo per la creazione di report.It may be useful if you're using this solution only for reporting purposes.
  • Google Play Services è configurato: richiede che l'app Google Play Services sia installata e abilitata.Google Play Services is configured: Require that the Google Play services app is installed and enabled. Google Play Services consente gli aggiornamenti della sicurezza e rappresenta una dipendenza di base per molte funzionalità di sicurezza nei dispositivi Google certificati.Google Play services allows security updates, and is a base-level dependency for many security features on certified-Google devices.

  • Provider di sicurezza aggiornato: richiede un provider di sicurezza aggiornato che può proteggere un dispositivo dalle vulnerabilità note.Up-to-date security provider: Require that an up-to-date security provider can protect a device from known vulnerabilities.

  • Analisi delle minacce nelle app: richiede l'abilitazione della funzionalità Verifica app Android.Threat scan on apps: Require that the Android Verify Apps feature is enabled.

    Nota

    Nella piattaforma Android legacy, questa funzionalità è un'impostazione di conformità.On the legacy Android platform, this feature is a compliance setting. Intune consente solo di verificare se questa impostazione è abilitata a livello di dispositivo.Intune can only check whether this setting is enabled at the device level. Nei dispositivi con profili di lavoro Android, questa impostazione è disponibile come impostazione dei criteri di configurazione.On devices with Android work profiles, this setting can be found as a configuration policy setting. Ciò consente agli amministratori di abilitare l'impostazione per un dispositivo.This allows administrators to enable the setting for a device.

    Se l'organizzazione usa i profili di lavoro Android, è possibile abilitare Analisi delle minacce nelle app per i dispositivi registrati.If your enterprise uses Android work profiles, you can enable Threat scan on apps for your enrolled devices. Stabilire un profilo del dispositivo e richiedere l'impostazione di sicurezza del sistema.Establish a device profile and require the system security setting. Per altre informazioni, vedere Impostazioni delle restrizioni dei dispositivi del profilo di lavoro Android in Intune.For more information, see Android work profile device restriction settings in Intune.

  • Attestazione del dispositivo SafetyNet: immettere il livello di attestazione di SafetyNet che deve essere raggiunto.SafetyNet device attestation: Enter the level of SafetyNet attestation that must be met. Le opzioni disponibili sono:Your options:

    • Non configuratoNot configured
    • Verifica l'integrità di baseCheck basic integrity
    • Verifica l'integrità di base e i dispositivi certificatiCheck basic integrity & certified devices

Impostazioni delle proprietà dei dispositiviDevice property settings

  • Versione minima del sistema operativo: quando un dispositivo non soddisfa il requisito relativo alla versione minima del sistema operativo, viene segnalato come non conforme.Minimum OS version: When a device doesn't meet the minimum OS version requirement, it's reported as noncompliant. Viene visualizzato un collegamento con informazioni su come eseguire l'aggiornamento.A link with information about how to upgrade is shown. L'utente finale può scegliere di aggiornare il dispositivo e quindi ottenere l'accesso alle risorse aziendali.The end user can choose to upgrade their device, and then get access to company resources.
  • Versione massima del sistema operativo: quando un dispositivo usa una versione del sistema operativo successiva rispetto a quella specificata nella regola, l'accesso alle risorse aziendali viene bloccato.Maximum OS version: When a device is using an OS version later than the version specified in the rule, access to company resources is blocked. All'utente viene richiesto di contattare l'amministratore IT. Finché la regola non viene modificata per poter consentire la versione del sistema operativo usata dal dispositivo, quest'ultimo non può accedere alle risorse aziendali.The user is asked to contact their IT admin. Until there is a rule change to allow the OS version, this device can't access company resources.

Impostazioni di sicurezza del sistemaSystem security settings

PasswordPassword

  • Richiedi una password per sbloccare i dispositivi mobili: richiedere agli utenti di immettere una password prima di poter accedere al dispositivo.Require a password to unlock mobile devices: Require users to enter a password before they can access their device.
  • Lunghezza minima password: immettere il numero minimo di cifre o caratteri per la password dell'utente.Minimum password length: Enter the minimum number of digits or characters that the user's password must have.
  • Tipo di password richiesto: scegliere se una password deve avere solo caratteri numerici oppure una combinazione di numeri e altri caratteri.Required password type: Select whether a password should have only numeric characters, or there should be a mix of numbers and other characters. È possibile scegliere tra:Choose from:
    • Impostazione predefinita dispositivoDevice Default
    • Protezione biometrica bassaLow security biometric
    • Almeno numericoAt least numeric
    • Complessa numerica: i numeri consecutivi o ripetuti (ad esempio, "1111" o "1234") non sono consentiti.Numeric complex: Repeated or consecutive numerals (such as "1111" or "1234") are not allowed.
    • Almeno alfabeticoAt least alphabetic
    • Almeno alfanumericoAt least alphanumeric
    • Almeno alfanumerico con simboliAt least alphanumeric with symbols
  • Numero massimo di minuti di inattività prima che venga richiesta la password: immettere il tempo di inattività prima che l'utente debba immettere di nuovo la password.Maximum minutes of inactivity before password is required: Enter the idle time before the user must reenter their password.
  • Scadenza password (giorni): selezionare la durata in giorni della password. Dopo questo periodo di tempo, l'utente deve crearne una nuova.Password expiration (days): Select the number of days before the password expires and the user must create a new password.
  • Numero di password precedenti di cui impedire il riutilizzo: specificare il numero di password recenti che non è possibile riutilizzare.Number of previous passwords to prevent reuse: Enter the number of recent passwords that can't be reused. Usare questa impostazione per impedire all'utente di creare password già usate in precedenza.Use this setting to restrict the user from creating previously used passwords.

EncryptionEncryption

  • Crittografia dell'archivio dati nel dispositivo (Android 4.0 e versioni successive o KNOX 4.0 e versioni successive): scegliere Rendi obbligatorio per crittografare l'archivio dati nei dispositivi.Encryption of data storage on a device (Android 4.0 and above, or KNOX 4.0 and above): Choose Require to encrypt data storage on your devices. I dispositivi vengono crittografati se si sceglie l'impostazione Richiedi una password per sbloccare i dispositivi mobili.Devices are encrypted when you choose the Require a password to unlock mobile devices setting.

Sicurezza del dispositivoDevice Security

  • Blocca app da origini sconosciute: scegliere di bloccare i dispositivi con le origini abilitate in "Sicurezza > Unknown Sources (Origini sconosciute)" (Android 4.0 - Android 7.x.Block apps from unknown sources: Choose to block devices with "Security > Unknown Sources" enabled sources (Android 4.0 – Android 7.x. Non supportato da Android 8.0 e versioni successive).Not supported by Android 8.0 and later). Per trasferire localmente le app, devono essere consentite le origini sconosciute.To side-load apps, unknown sources must be allowed. Se non si trasferiscono localmente le app Android, abilitare questi criteri di conformità.If you're not side-loading Android apps, then enable this compliance policy.

    Importante

    Le applicazioni trasferite localmente richiedono l'abilitazione dell'impostazione Blocca app da origini sconosciute.Side-loading applications require that the Block apps from unknown sources setting is enabled. Imporre questo criterio di conformità solo se non si esegue il sideload di app Android nei dispositivi.Enforce this compliance policy only if you are not side-loading Android apps on devices.

  • Integrità del runtime dell'app Portale aziendale: consente di verificare che nell'app Portale aziendale sia stato installato l'ambiente di runtime predefinito, che l'app sia firmata correttamente, non sia in modalità debug e sia stata installata da un'origine nota.Company portal app runtime integrity: Checks if the Company Portal app has the default runtime environment installed, is properly signed, is not in debug-mode, and is installed from a known source.

  • Blocca il debug USB nel dispositivo (Android 4.2 o versione successiva): scegliere di impedire ai dispositivi di usare la funzionalità di debug USB.Block USB debugging on device (Android 4.2 or later): Choose to prevent deviceS from using the USB debugging feature.

  • Livello minimo di patch di protezione (Android 6.0 o versione successiva): selezionare il livello di patch di sicurezza meno recente consentito per un dispositivo.Minimum security patch level (Android 6.0 or later): Select the oldest security patch level a device can have. I dispositivi che non presentano almeno questo livello di patch vengono considerati non conformi.Devices that are not at least at this patch level are noncompliant. La data deve essere immessa nel formato YYYY-MM-DD.The date must be entered in the YYYY-MM-DD format.

PercorsiLocations

Nei criteri eseguire la scelta da percorsi esistenti.In your policy, choose from existing locations. Se non si ha ancora una posizione,Don't have a location yet? vedere l'articolo che spiega come usare i percorsi (isolamento rete) in Intune per conoscere alcune linee guida.Use Locations (network fence) in Intune provides some guidance.

  1. Scegliere Seleziona percorsi.Choose Select locations.
  2. Selezionare il percorso nell'elenco e scegliere Seleziona.From the list, check your location, and choose Select.
  3. Salvare il criterio.Save the policy.
  4. Selezionare Azioni per la mancata conformità.Select Actions for noncompliance. L'azione predefinita contrassegna immediatamente il dispositivo come non conforme.The default action marks the device as noncompliant immediately. Questa azione viene applicata quando si seleziona almeno un percorso e se il dispositivo non è connesso ai percorsi selezionati.This action applies when you select at least one location, and if the device isn't connected to the selected locations.

È possibile modificare questa azione per aggiornare la pianificazione quando il dispositivo è contrassegnato come non conforme, ad esempio dopo un giorno.You can change this action to update the schedule when the device is marked non-compliant, such as after one day. È anche possibile configurare una seconda azione che invia un messaggio di posta elettronica all'utente quando il dispositivo non è più compatibile con i percorsi.You can also configure a second action that sends an email to the user when the device is no longer compliant with your locations.

Assegnare gruppi di utentiAssign user groups

  1. Scegliere un criterio configurato.Choose a policy that you've configured. I criteri esistenti sono in Conformità del dispositivo > Criteri.Existing policies are in Device compliance > Policies.
  2. Selezionare il criterio e scegliere Assegnazioni.Choose the policy, and choose Assignments. È possibile includere o escludere i gruppi di sicurezza di Azure Active Directory (AD).You can include or exclude Azure Active Directory (AD) security groups.
  3. Scegliere Gruppi selezionati per visualizzare i gruppi di sicurezza di Azure AD.Choose Selected groups to see your Azure AD security groups. Selezionare i gruppi di utenti a cui si vuole applicare questo criterio e scegliere Salva per distribuire il criterio agli utenti.Select the user groups you want this policy to apply, and choose Save to deploy the policy to users.

Il criterio è stato applicato agli utenti.You have applied the policy to users. I dispositivi usati dagli utenti a cui è destinato il criterio vengono valutati per la conformità.The devices used by the users who are targeted by the policy are evaluated for compliance.

Passaggi successiviNext steps

Automatizzare la posta elettronica e aggiungere azioni per i dispositivi non conformiAutomate email and add actions for noncompliant devices
Monitorare i criteri di conformità dei dispositivi IntuneMonitor Intune Device compliance policies