Come creare i criteri di conformità per i dispositivi Android for Work in IntuneHow to create a device compliance policy for Android for Work devices in Intune

Si applica a: Intune nel Portale di AzureApplies to: Intune in the Azure portal
Serve documentazione su Intune nel portale classico?Looking for documentation about Intune in the classic portal? Fare clic qui.Go here.

I criteri di conformità vengono creati per ogni piattaforma.Compliance policies are created for each platform. È possibile creare i criteri di conformità nel portale di Azure.You can create a compliance policy in the Azure portal. Per altre informazioni sui criteri di conformità consultare l'argomento What is a device compliance(Che cos'è la conformità dei dispositivi).To learn more about what compliance policy is see What is device compliance topic. Per altre informazioni sui prerequisiti che è necessario soddisfare prima di creare i criteri di conformità, consultare l'argomento Get started with device compliance (Introduzione alla conformità dei dispositivi).To learn about the prerequisites that you need to address before creating a compliance policy see Get started with device compliance topic.

La tabella seguente descrive il modo in cui le impostazioni di non conformità vengono gestite quando i criteri di conformità vengono usati con i criteri di accesso condizionale.The table below describes how noncompliant settings are managed when a compliance policy is used with a conditional access policy.


impostazione di criteripolicy setting Android for WorkAndroid for Work
Configurazione di PIN o passwordPIN or password configuration In quarantenaQuarantined
Crittografia dispositivoDevice encryption In quarantenaQuarantined
Dispositivo jailbroken o rootedJailbroken or rooted device In quarantena (non è un'impostazione)Quarantined (not a setting)
Profilo di posta elettronicaemail profile Non applicabileNot applicable
Versione minima del sistema operativoMinimum OS version In quarantenaQuarantined
Versione massima del sistema operativoMaximum OS version In quarantenaQuarantined
Attestazione dell'integrità di WindowsWindows health attestation Non applicabileNot applicable

Con correzione = il sistema operativo del dispositivo impone la conformità.Remediated = The device operating system enforces compliance. (Ad esempio, l'utente è obbligato a impostare un PIN.)+(For example, the user is forced to set a PIN.)+

In quarantena = il sistema operativo del dispositivo non impone la conformità.Quarantined = The device operating system does not enforce compliance. (Ad esempio, i dispositivi Android non impongono la crittografia del dispositivo all'utente.) Quando il dispositivo non è compatibile, vengono eseguite le azioni seguenti:(For example, Android devices do not force the user to encrypt the device.) When the devices is not compliant, the following actions take place:

  • Il dispositivo viene bloccato se un criterio di accesso condizionale si applica all'utente.The device is blocked if a conditional access policy applies to the user.
  • Il portale aziendale segnala all'utente eventuali problemi di conformità.The company portal notifies the user about any compliance problems.

Creare i criteri di conformità nel portale di AzureCreate a compliance policy in the Azure portal

  1. Dal pannello Intune scegliere Imposta la conformità dei dispositivi.From the Intune blade, choose Set Device compliance. In Gestisci scegliere All device compliance policies (Tutti i criteri di conformità dei dispositivi) e scegliere Crea.Under Manage, choose All device compliance policies and choose Create.
  2. Digitare un nome e una descrizione, quindi scegliere la piattaforma a cui si desidera applicare questi criteri.Type a name, description and choose the platform that you want this policy to apply to.
  3. Scegliere i Requisiti per la conformità per specificarvi le impostazioni Sicurezza, Integrità del dispositivo e Proprietà del dispositivo e, al termine, scegliere OK.Choose Compliance requirements to specify the Security, Device health, and Device property settings here, When you are done, choose Ok.

Assegnare gruppi di utentiAssign user groups

Per assegnare agli utenti i criteri di conformità, scegliere un criterio configurato.To assign a compliance policy to users, choose a policy that you have configured. I criteri esistenti sono reperibili nel pannello Criteri di conformità.Existing policies can be found in the Compliance –policy blade.

  1. Scegliere il criterio da assegnare agli utenti, quindi selezionare Assegnazioni.Choose the policy you want to assign to users and choose Assignments. Si apre il pannello da cui è possibile selezionare i Gruppi di sicurezza Azure Active Directory e assegnarli ai criteri.This opens the blade where you can select Azure Active Directory security groups and assign them to the policy.
  2. Scegliere Seleziona gruppi per aprire il pannello che consente di visualizzare i gruppi di sicurezza di Azure AD.Choose Select groups to open the blade that displays the Azure AD security groups. Se si sceglie Seleziona il criterio verrà distribuito agli utenti.Choosing Select deploys the policy to users.

Il criterio è stato applicato agli utenti.You have applied the policy to users. I dispositivi usati dagli utenti a cui è destinato il criterio vengono valutati per la conformità.The devices used by the users who are targeted by the policy will be evaluated for compliance.

Impostazioni di sicurezza del sistemaSystem security settings

PasswordPassword

  • Richiedi una password per sbloccare i dispositivi mobili: impostare l'opzione su per richiedere agli utenti di immettere una password per poter accedere al dispositivo.Require a password to unlock mobile devices: Set this to Yes to require users to enter a password before they can access their device.
  • Lunghezza minima password: specifica il numero minimo di cifre o caratteri per la password.Minimum password length: Specify the minimum number of digits or characters that the password must contain.
  • Qualità password: questa impostazione rileva se i requisiti di password specificati sono configurati nel dispositivo.Password quality: This setting detects if the password requirements you specify is configured on the device. Abilitare questa impostazione per richiedere agli utenti la configurazione di determinati requisiti di password per i dispositivi Android.Enable this setting to require that users configure certain password requirements for Android devices. È possibile scegliere tra:Choose from:
    • Protezione biometrica bassaLow security biometric
    • RichiestoRequired
    • Almeno numericoAt least numeric
    • Almeno alfabeticoAt least alphabetic
    • Almeno alfanumericoAt least alphanumeric
    • Alfanumerico con simboliAlphanumeric with symbols
  • Minuti di inattività prima che venga richiesta la password: specifica il tempo di inattività prima che l'utente debba immettere nuovamente la password.Minutes of inactivity before password is required: Specifies the idle time before the user must re-enter their password.
  • Scadenza password (giorni): selezionare la durata in giorni della password. Dopo questo periodo di tempo, gli utenti devono crearne una nuova.Password expiration (days): Select the number of days before the user's password expires and they must create a new one.
  • Ricorda cronologia password: usare questa impostazione insieme a Impedisci riutilizzo delle password precedenti per impedire all'utente di creare password già usate in precedenza.Remember password history: Use this setting in conjunction with Prevent reuse of previous passwords to restrict the user from creating previously used passwords.
  • Impedisci riutilizzo delle password precedenti: se l'opzione Ricorda cronologia password è selezionata, specificare il numero di password usate in precedenza che non è possibile riutilizzare.Prevent reuse of previous passwords: If Remember password history is selected, specify the number of previously used passwords that cannot be re-used.
  • Richiedi una password quando il dispositivo torna attivo dopo uno stato di inattività: questa impostazione deve essere usata insieme all'impostazione Minuti di inattività prima che venga richiesta la password.Require a password when the device returns from an idle state: This setting should be used together with the in the Minutes of inactivity before password is required setting. Agli utenti finali viene richiesto di immettere una password per accedere a un dispositivo che è rimasto inattivo per il tempo specificato nell'impostazione Minuti di inattività prima che venga richiesta la password.The end-users are prompted to enter a password to access a device that has been inactive for the time specified in the Minutes of inactivity before password is required setting.

CrittografiaEncryption

  • Richiedi crittografia sul dispositivo mobile: non è necessario configurare questa impostazione poiché i dispositivi Android for Work applicano la crittografia.Require encryption on mobile device: You don't have to configure this setting since Android for Work devices enforce encryption.

Impostazioni di integrità e sicurezza dei dispositiviDevice health and security settings

  • Il dispositivo non deve essere jailbroken o rooted: se si abilita questa impostazione, i dispositivi jailbroken verranno valutati come non conformi.Device must not be jailbroken or rooted: If you enable this setting, jailbroken devices will be evaluated as noncompliant.
  • Richiedi che i dispositivi impediscano l'installazione di app da origini sconosciute: non è necessario configurare questa impostazione poiché i dispositivi Android for Work impediscono sempre l'installazione da origini sconosciute.Require that devices prevent installation of apps from unknown sources: You do not have to configure this setting as Android for Work devices always restrict installation from unknown sources. ..
  • Richiedi la disabilitazione del debug USB: non è necessario configurare queste impostazioni poiché il debug USB è già disabilitato nei dispositivi Android for Work.Require that USB debugging is disabled : You do not have to configure this settings as USB debugging is already disabled on Android for Work devices.
  • Livello minimo di patch di protezione per Android: usare questa impostazione per specificare il livello minimo di patch per Android.Minimum Android security patch level: Use this setting to specify the minimum Android patch level. I dispositivi che non presentano almeno questo livello di patch vengono considerati non conformi.Devices that are not at least at this patch level will be noncompliant. La data deve essere specificata nel formato: AAAA-MM-GG.The date must be specified the format: YYYY-MM-DD.
  • Richiedi l'abilitazione della protezione dalle minacce per il dispositivo: usare questa impostazione per considerare la valutazione del rischio della soluzione Lookout MTP come condizione di conformità.Require device threat protection to be enabled : Use this setting to take the risk assessment from the Lookout MTP solution as a condition for compliance. Selezionare il livello di minaccia massimo consentito tra uno dei seguenti:Select the maximum allowed threat level, which is one of the following:
    • Nessuno (protetto): questo è il livello più sicuro eNone (secured) This is the most secure. indica che il dispositivo non può avere minacce.This means that the device cannot have any threats. Se viene rilevata la presenza di minacce di qualsiasi livello per il dispositivo, questo sarà valutato come non conforme.If the device is detected as having any level of threats, it will be evaluated as non-compliant.
    • Bassa: il dispositivo viene valutato come conforme se sono presenti solo minacce di livello basso.Low: Device is evaluated as compliant if only low level threats are present. In presenza di minacce di livello superiore, il dispositivo verrà messo in stato di non conformità.Anything higher puts the device in a non-compliant status.
    • Media: il dispositivo viene valutato come conforme se le minacce presenti nel dispositivo sonio di livello basso o medio.Medium: Device is evaluated as compliant if the threats that are present on the device are low or medium level. Se viene rilevata la presenza di minacce di livello alto, il dispositivo viene determinato come non conforme.If the device is detected to have high level threats, it is determined as non-compliant.
    • Alta: questo è il livello meno sicuro.High: This is the least secure. Fondamentalmente consente tutti i livelli di minaccia ed è utile solo se si usa questa soluzione esclusivamente per la creazione di report.Essentially, this allows all threat levels, and perhaps only useful if you using this solution only for reporting purposes.

Per altre informazioni dettagliate, vedere Abilitare la regola di protezione dalle minacce per i dispositivi nei criteri di conformità.For more details, see Enable device threat protection rule in the compliance policy.

Impostazioni delle proprietà dei dispositiviDevice property settings

  • Minimum OS required (Versione minima richiesta del sistema operativo): quando un dispositivo non soddisfa il requisito relativo alla versione minima del sistema operativo, verrà segnalato come non conforme.Minimum OS required: When a device does not meet the minimum OS version requirement, it is reported as noncompliant. Viene visualizzato un collegamento con informazioni su come eseguire l'aggiornamento.A link with information on how to upgrade is displayed. L'utente finale può scegliere di aggiornare il dispositivo e dopo l'aggiornamento potrà accedere alle risorse aziendali.The end-user can choose to upgrade their device after which they can access company resources.
  • Maximum OS version allowed (Versione massima consentita del sistema operativo): quando un dispositivo usa una versione del sistema operativo successiva rispetto a quella specificata nella regola, l'accesso alle risorse aziendali risulterà bloccato e l'utente dovrà contattare l'amministratore IT. Fino a quando la regola non viene modificata in modo da consentire la versione del sistema operativo, non è possibile usare questo dispositivo per accedere alle risorse aziendali.Maximum OS version allowed: When a device is using an OS version later than the one specified in the rule, access to company resources is blocked and the user is asked to contact their IT admin. Until there is a change in rule to allow the OS version, this device cannot be used to access company resources.