Come creare i criteri di conformità per i dispositivi Android in IntuneHow to create a device compliance policy for Android devices in Intune

Si applica a: Intune in AzureApplies to: Intune on Azure
Serve documentazione su Intune nella console classica?Looking for documentation about Intune in the classic console? Fare clic qui.Go to here.

I criteri di conformità dei dispositivi vengono creati per ogni piattaforma dal portale di Intune in Azure.Device compliance policies are created for each platform form the Intune Azure portal.

Per creare i criteri di conformità dei dispositiviTo create a device compliance policy

  1. Dal pannello Intune scegliere Imposta la conformità dei dispositivi.From the Intune blade, choose Set Device compliance. In Gestione scegliere Tutti i criteri di conformità del dispositivo e quindi Crea.Under Manage, choose All device compliance policies, and choose Create.
  2. Digitare un nome e una descrizione, quindi scegliere la piattaforma a cui si desidera applicare questi criteri.Type a name, description and choose the platform that you want this policy to apply to.
  3. Scegliere i Requisiti per la conformità per specificare le impostazioni Sicurezza, Integrità del dispositivo e Proprietà del dispositivo.Choose Compliance requirements to specify the Security, Device health, and Device property settings. Al termine, scegliere OK.When you are done, choose OK.

Per assegnare gruppi di utentiTo assign user groups

Per assegnare agli utenti i criteri di conformità, scegliere un criterio configurato.To assign a compliance policy to users, choose a policy that you have configured. I criteri esistenti sono reperibili nel pannello Criteri di conformità.Existing policies can be found in the Compliance –policies blade.

  1. Selezionare il criterio e scegliere Assegnazione.Choose the policy and choose Assignments. Si apre il pannello da cui è possibile selezionare i Gruppi di sicurezza Azure Active Directory e assegnarli ai criteri.This opens the blade where you can select Azure Active Directory security groups and assign them to the policy.
  2. Scegliere Seleziona gruppi per aprire il pannello che consente di visualizzare i gruppi di sicurezza di Azure AD.Choose Select groups to open the blade that displays the Azure AD security groups. Qui è possibile trovare i gruppi di sicurezza in Azure Active Directory.Here you can find the security groups in your Azure Active Directory. È possibile selezionare i gruppi di utenti a cui si vuole applicare questo criterio e scegliere Seleziona.You can select the user groups you want this policy to apply to and choose Select. Se si sceglie Seleziona il criterio verrà distribuito agli utenti.Choosing Select deploys the policy to users.

Il criterio è stato applicato agli utenti.You have applied the policy to users. I dispositivi usati dagli utenti a cui è destinato il criterio vengono valutati per la conformità.The devices used by the users who are targeted by the policy will be evaluated for compliance.

Impostazioni di integrità e sicurezza dei dispositiviDevice health and security settings

  • Il dispositivo non deve essere jailbroken o rooted: se si abilita questa impostazione, i dispositivi jailbroken verranno valutati come non conformi.Device must not be jailbroken or rooted : If you enable this setting, jailbroken devices will be evaluated as noncompliant.
  • Richiedi che i dispositivi impediscano l'installazione di app da origini sconosciute (Android 4.0 o versione successiva): per bloccare i dispositivi che hanno le opzioni Sicurezza>; Origini sconosciute abilitate sul dispositivo, abilitare questa impostazione e impostarla su .Require that devices prevent installation of apps from unknown sources (Android 4.0 or later): To block devices that have Security >; Unknown sources enabled on the device, enable this setting and set it to Yes.

ImportanteImportant

Le applicazioni di cui si esegue il sideload richiedono l'abilitazione dell'impostazione Origini sconosciute.Side-loading applications require that the Unknown sources setting is enabled. Imporre questo criterio di conformità solo se non si esegue il sideload di app Android nei dispositivi.Enforce this compliance policy only if you are not side-loading Android apps on devices.

  • Richiedi la disabilitazione del debug USB (Android 4.2 o versione successiva): questa impostazione indica se è necessario rilevare o meno l'abilitazione del debug USB nel dispositivo.Require that USB debugging is disabled (Android 4.2 or later): This setting specifies whether to detect the USB debugging option on the device is enabled.
  • Richiedi l'abilitazione dell'opzione "Cerca minacce per la sicurezza nel dispositivo" nei dispositivi (Android 4.2-4.4): questa impostazione specifica che la funzionalità Verifica app è abilitata nel dispositivo.Require devices have enabled Scan device for security threats (Android 4.2-4.4): This setting specifies that the Verify apps feature is enabled on the device.
  • Livello minimo di patch di protezione per Android (Android 6.0 o versione successiva): usare questa impostazione per specificare il livello minimo di patch per Android.Minimum Android security patch level (Android 6.0 or later): Use this setting to specify the minimum Android patch level. I dispositivi che non presentano almeno questo livello di patch vengono considerati non conformi.Devices that are not at least at this patch level will be noncompliant. La data deve essere specificata nel formato: AAAA-MM-GG.The date must be specified in the format YYYY-MM-DD.
  • Richiedi l'abilitazione della protezione dalle minacce per il dispositivo: usare questa impostazione per considerare la valutazione del rischio della soluzione Lookout MTP come condizione di conformità.Require device threat protection to be enabled : Use this setting to take the risk assessment from the Lookout MTP solution as a condition for compliance. Selezionare il livello di minaccia più alto consentito tra uno dei seguenti:Choose the maximum allowed threat level, which is one of the following:
    • Nessuno (protetto): questo è il livello più sicuro eNone (secured): This is the most secure. indica che il dispositivo non può avere minacce.This means that the device cannot have any threats. Se viene rilevata la presenza di minacce di qualsiasi livello per il dispositivo, questo sarà considerato come non conforme.If the device is detected as having any level of threats, it will be evaluated as noncompliant.
    • Basso: il dispositivo viene valutato come conforme se sono presenti solo minacce di livello basso.Low : The device is evaluated as compliant if only low-level threats are present. In presenza di minacce di livello più alto, il dispositivo verrà messo in stato di non conformità.Anything higher puts the device in a noncompliant status.
    • Medio: il dispositivo viene valutato come conforme se le minacce presenti nel dispositivo sono di livello basso o medio.Medium : The device is evaluated as compliant if the threats that are present on the device are low or medium level. Se viene rilevata la presenza di minacce di livello alto, il dispositivo viene considerato come non conforme.If the device is detected to have high-level threats, it is determined to be noncompliant.
    • Alta: questo è il livello meno sicuro.High : This is the least secure. Questa impostazione abilita tutti i livelli di rischio.Essentially, this allows all threat levels. Potrebbe essere utile usare questa soluzione solo per la creazione di report.Perhaps it is useful if you are using this solution only for reporting purposes.

Per altre informazioni dettagliate, vedere Abilitare la regola di protezione dalle minacce per i dispositivi nei criteri di conformità.For more details, see Enable device threat protection rule in the compliance policy.

Impostazioni di sicurezza del sistemaSystem security settings

PasswordPassword

  • Richiedi una password per sbloccare i dispositivi mobili: impostare l'opzione su per richiedere agli utenti di immettere una password prima di poter accedere al dispositivo.Require a password to unlock mobile devices : Set this to Yes to require users to enter a password before they can access their device.
  • Lunghezza minima password: specifica il numero minimo di cifre o caratteri per la password dell'utente.Minimum password length : Specify the minimum number of digits or characters that the user's password must have.
  • Qualità password: questa impostazione rileva se i requisiti di password specificati sono configurati nel dispositivo.Password quality : This setting detects if the password requirements that you specify are set up on the device. Abilitare questa impostazione per richiedere agli utenti di impostare determinati requisiti di password per i dispositivi Android.Enable this setting to require that users meet certain password requirements for Android devices. È possibile scegliere tra:Choose from:
    • Protezione biometrica bassaLow security biometric
    • RichiestoRequired
    • Almeno numericoAt least numeric
    • Almeno alfabeticoAt least alphabetic
    • Almeno alfanumericoAt least alphanumeric
    • Alfanumerico con simboliAlphanumeric with symbols
  • Minuti di inattività prima che venga richiesta la password: specifica il tempo di inattività prima che l'utente debba immettere di nuovo la password.Minutes of inactivity before password is required : Specify the idle time before the user must reenter their password.
  • Scadenza password (giorni): selezionare la durata in giorni della password. Dopo questo periodo di tempo, gli utenti devono crearne una nuova.Password expiration (days): Select the number of days before the password expires and they must create a new one.
  • Ricorda cronologia password: usare questa impostazione insieme a Impedisci riutilizzo delle password precedenti per impedire all'utente di creare password già usate in precedenza.Remember password history : Use this setting together with Prevent reuse of previous passwords to restrict the user from creating previously used passwords.
  • Impedisci riutilizzo delle password precedenti: se l'opzione Ricorda cronologia password è selezionata, specifica il numero di password usate in precedenza che non è possibile usare di nuovo.Prevent reuse of previous passwords : If you selected Remember password history , specify the number of previously used passwords that cannot be reused.
  • Richiedi una password quando il dispositivo torna attivo dopo uno stato di inattività: questa impostazione deve essere usata insieme all'impostazione Minuti di inattività prima che venga richiesta la password.Require a password when the device returns from an idle state : Use this setting together with the Minutes of inactivity before password is required setting. Agli utenti viene richiesto di immettere una password per accedere a un dispositivo che è rimasto inattivo per il tempo specificato nell'impostazione Minuti di inattività prima che venga richiesta la password.The user is prompted to enter a password to access a device that has been inactive for the time specified in the Minutes of inactivity before password is required setting.

CrittografiaEncryption

  • Richiedi crittografia sul dispositivo mobile: impostare questa opzione su per richiedere che i dispositivi vengano crittografati per la connessione alle risorse.Require encryption on mobile device : Set this to Yes to require devices to be encrypted in order to connect to resources. I dispositivi vengono crittografati se si sceglie l'impostazione Richiedi una password per sbloccare i dispositivi mobili.Devices are encrypted when you choose the setting Require a password to unlock mobile devices.

Impostazioni delle proprietà dei dispositiviDevice property settings

  • Versione minima del sistema operativo: quando un dispositivo non soddisfa il requisito relativo alla versione minima del sistema operativo, verrà segnalato come non conforme.Minimum OS required : When a device does not meet the minimum OS version requirement, it is reported as noncompliant. Viene visualizzato un collegamento con informazioni su come eseguire l'aggiornamento.A link with information on how to upgrade is shown. L'utente finale può scegliere di aggiornare il dispositivo per poter accedere alle risorse aziendali.The user can choose to upgrade their device, after which they can access company resources.
  • Versione massima del sistema operativo: quando un dispositivo usa una versione del sistema operativo successiva rispetto a quella specificata nella regola, l'accesso alle risorse aziendali è bloccato e l'utente deve contattare l'amministratore IT.Maximum OS version allowed : When a device is using an OS version later than the one specified in the rule, access to company resources is blocked and the user is asked to contact their IT admin. Fino a quando la regola non viene modificata per consentire la versione del sistema operativo, non è possibile usare il dispositivo per accedere alle risorse aziendali.Until there is a change in rules to allow the OS version, this device cannot be used to access company resources.

In che modo interagiscono le impostazioni di non conformità con i criteri di accesso condizionale?How non-compliant settings work with conditional access policies?

La tabella seguente descrive il modo in cui vengono gestite le impostazioni di non conformità quando i criteri di conformità vengono usati insieme ai criteri di accesso condizionale.The table below describes how non-compliant settings are managed when a compliance policy is used with a conditional access policy.


Impostazione di criteriPolicy setting Android 4.0 e versioni successive, Samsung Knox Standard 4.0 e versioni successiveAndroid 4.0 and later, Samsung Knox Standard 4.0 and later
Configurazione di PIN o passwordPIN or password configuration In quarantenaQuarantined
Crittografia dispositivoDevice encryption In quarantenaQuarantined
Dispositivo jailbroken o rootedJailbroken or rooted device In quarantena (non è un'impostazione)Quarantined (not a setting)
Profilo di posta elettronicaemail profile Non applicabileNot applicable
Versione minima del sistema operativoMinimum OS version In quarantenaQuarantined
Versione massima del sistema operativoMaximum OS version In quarantenaQuarantined
Attestazione dell'integrità di WindowsWindows health attestation Non applicabileNot applicable

Con correzione = il sistema operativo del dispositivo impone la conformità.Remediated = The device operating system enforces compliance. (Ad esempio, l'utente è obbligato a impostare un PIN.)+(For example, the user is forced to set a PIN.)+

In quarantena = il sistema operativo del dispositivo non impone la conformità.Quarantined = The device operating system does not enforce compliance. (Ad esempio, i dispositivi Android non impongono la crittografia del dispositivo all'utente.) Quando il dispositivo non è compatibile, vengono eseguite le azioni seguenti:+(For example, Android devices do not force the user to encrypt the device.) When the devices is not compliant, the following actions take place:+

  • Il dispositivo viene bloccato se un criterio di accesso condizionale si applica all'utente.The device is blocked if a conditional access policy applies to the user.
  • Il portale aziendale segnala all'utente eventuali problemi di conformità.The company portal notifies the user about any compliance problems.
Per inviare commenti e suggerimenti sul prodotto, visita la pagina Intune Feedback