Aggiungere i criteri di conformità per i dispositivi del profilo di lavoro Android in IntuneAdd a device compliance policy for Android work profile devices in Intune

I criteri di conformità di Intune per i dispositivi del profilo di lavoro Android specificano le regole e le impostazioni che questi dispositivi devono soddisfare per essere considerati conformi.An Intune device compliance policy for Android work profile devices specifies the rules and settings that these devices must meet to be considered compliant. Questi criteri con accesso condizionale possono essere usati per consentire o bloccare l'accesso alle risorse aziendali.You can use these policies with conditional access to allow or block access to company resources. È anche possibile ottenere i report di dispositivo e intraprendere azioni per la mancata conformità.You can also get device reports, and take actions for non-compliance. I criteri di conformità dei dispositivi vengono creati per le piattaforme nel portale di Intune in Azure.You create device compliance policies for different platforms in the Intune Azure portal. Per altre informazioni sui criteri di conformità e sui requisiti, vedere Introduzione alla conformità dei dispositivi.To learn more about compliance policies, and any prerequisites, see get started with device compliance.

La tabella seguente descrive il modo in cui le impostazioni di non conformità vengono gestite quando i criteri di conformità vengono usati con i criteri di accesso condizionale.The following table describes how noncompliant settings are managed when a compliance policy is used with a conditional access policy.


impostazione di criteripolicy setting Profilo di lavoro AndroidAndroid work profile
Configurazione di PIN o passwordPIN or password configuration In quarantenaQuarantined
Crittografia dispositivoDevice encryption In quarantenaQuarantined
Dispositivo jailbroken o rootedJailbroken or rooted device In quarantena (non è un'impostazione)Quarantined (not a setting)
Profilo di posta elettronicaemail profile Non applicabileNot applicable
Versione minima del sistema operativoMinimum OS version In quarantenaQuarantined
Versione massima del sistema operativoMaximum OS version In quarantenaQuarantined
Attestazione dell'integrità di WindowsWindows health attestation Non applicabileNot applicable

Con correzione = il sistema operativo del dispositivo impone la conformità.Remediated = The device operating system enforces compliance. (Ad esempio, l'utente è obbligato a impostare un PIN.)+(For example, the user is forced to set a PIN.)+

In quarantena = il sistema operativo del dispositivo non impone la conformità.Quarantined = The device operating system does not enforce compliance. (Ad esempio, i dispositivi Android non impongono la crittografia del dispositivo all'utente.) Quando il dispositivo non è compatibile, vengono eseguite le azioni seguenti:(For example, Android devices do not force the user to encrypt the device.) When the device is not compliant, the following actions take place:

  • Se all'utente si applica un criterio di accesso condizionale, il dispositivo viene bloccato.If a conditional access policy applies to the user, the device is blocked.
  • Il portale aziendale segnala all'utente eventuali problemi di conformità.The company portal notifies the user about any compliance problems.

Creare criteri di conformità dei dispositiviCreate a device compliance policy

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Selezionare Tutti i servizi, filtrare per Intune e selezionare Microsoft Intune.Select All services, filter on Intune, and select Microsoft Intune.
  3. Selezionare Conformità del dispositivo > Criteri > Crea criterio.Select Device compliance > Policies > Create Policy.
  4. Immettere un nome e una descrizione.Enter a Name and Description.
  1. Per Piattaforma selezionare Android Enterprise.For Platform, select Android enterprise. Scegliere Configura impostazioni e immettere le impostazioni Integrità del dispositivo, Proprietà del dispositivo e Sicurezza del sistema.Choose Settings Configure, and enter the Device Health, Device Properties, and System Security settings. Al termine, fare clic su OK e su Crea.When done, select OK, and Create.

Device healthDevice health

  • Dispositivi rooted: se si abilita questa impostazione, i dispositivi jailbroken vengono considerati non conformi.Rooted devices: If you enable this setting, jailbroken devices are evaluated as noncompliant.
  • Richiedi che il dispositivo si trovi al massimo al livello di minaccia del dispositivo: usare questa impostazione per considerare la valutazione del rischio della soluzione Lookout MTP come condizione di conformità.Require the device to be at or under the Device Threat Level: Use this setting to take the risk assessment from the Lookout MTP solution as a condition for compliance. Scegliere il livello di minaccia massimo consentito:Choose the maximum allowed threat level:
    • Protetto: questa opzione è la più sicura e indica che il dispositivo non può avere minacce.Secured: This option is the most secure, and means that the device cannot have any threats. Se viene rilevata la presenza di minacce di qualsiasi livello, il dispositivo viene considerato non conforme.If the device is detected as having any level of threats, it is evaluated as noncompliant.
    • Basso: il dispositivo viene valutato come conforme se sono presenti solo minacce di livello basso.Low: The device is evaluated as compliant if only low-level threats are present. In presenza di minacce di livello più alto, il dispositivo verrà messo in stato di non conformità.Anything higher puts the device in a noncompliant status.
    • Medio: il dispositivo viene valutato come conforme se le minacce presenti nel dispositivo sono di livello basso o medio.Medium: The device is evaluated as compliant if the threats that are present on the device are low or medium level. Se viene rilevata la presenza di minacce di livello alto, il dispositivo viene considerato come non conforme.If the device is detected to have high-level threats, it is determined to be noncompliant.
    • Alta: questa opzione è la meno sicura, perché consente tutti i livelli di minaccia.High: This option is the least secure, as it allows all threat levels. Potrebbe essere utile usare questa soluzione solo per la creazione di report.It may be useful if you're using this solution only for reporting purposes.
  • Google Play Services è configurato: richiede che l'app Google Play Services sia installata e abilitata.Google Play Services is configured: Require that the Google Play services app is installed and enabled. Google Play Services consente gli aggiornamenti della sicurezza e rappresenta una dipendenza di base per molte funzionalità di sicurezza nei dispositivi Google certificati.Google Play services allows security updates, and is a base-level dependency for many security features on certified-Google devices.
  • Provider di sicurezza aggiornato: richiede un provider di sicurezza aggiornato che può proteggere un dispositivo dalle vulnerabilità note.Up-to-date security provider: Require that an up-to-date security provider can protect a device from known vulnerabilities.
  • Attestazione del dispositivo SafetyNet: immettere il livello di attestazione di SafetyNet che deve essere raggiunto.SafetyNet device attestation: Enter the level of SafetyNet attestation that must be met. Le opzioni disponibili sono:Your options:
    • Non configuratoNot configured
    • Verifica l'integrità di baseCheck basic integrity
    • Verifica l'integrità di base e i dispositivi certificatiCheck basic integrity & certified devices

Analisi delle minacce nelle appThreat scan on apps

Nei dispositivi dei profili di lavoro Android l'impostazione Analisi delle minacce nelle app è disponibile come impostazione dei criteri di configurazione.On devices with Android work profiles, the Threat scan on apps setting can be found as a configuration policy setting. Gli amministratori possono abilitare l'impostazione per un dispositivo.Administrators can enable the setting for a device.

Se l'organizzazione usa i profili di lavoro Android, è possibile abilitare Analisi delle minacce nelle app per i dispositivi registrati.If your enterprise uses Android work profiles, you can enable Threat scan on apps for your enrolled devices. Stabilire un profilo del dispositivo e richiedere l'impostazione di sicurezza del sistema.Establish a device profile and require the system security setting. Per altre informazioni, vedere Impostazioni delle restrizioni dei dispositivi del profilo di lavoro Android in Intune.For more information, see Work device restriction settings in Intune.

Impostazioni delle proprietà dei dispositiviDevice property settings

  • Versione minima del sistema operativo: quando un dispositivo non soddisfa il requisito relativo alla versione minima del sistema operativo, viene segnalato come non conforme.Minimum OS version: When a device doesn't meet the minimum OS version requirement, it's reported as noncompliant. Viene visualizzato un collegamento con informazioni su come eseguire l'aggiornamento.A link with information on how to upgrade is displayed. L'utente finale può scegliere di aggiornare il dispositivo e quindi accedere alle risorse aziendali.The end user can choose to upgrade their device, and then access company resources.
  • Versione massima del sistema operativo: quando un dispositivo usa una versione del sistema operativo successiva rispetto a quella nella regola, l'accesso alle risorse aziendali viene bloccatoMaximum OS version: When a device is using an OS version later than the version in the rule, access to company resources is blocked. e all'utente viene richiesto di contattare l'amministratore IT. Finché la regola non viene modificata per poter consentire la versione del sistema operativo usata dal dispositivo, quest'ultimo non può accedere alle risorse aziendali.And, the user is asked to contact their IT admin. Until there is a rule change to allow the OS version, the device cannot access company resources.

Impostazioni di sicurezza del sistemaSystem security settings

PasswordPassword

  • Richiedi una password per sbloccare i dispositivi mobili: richiedere agli utenti di immettere una password prima di poter accedere al dispositivo.Require a password to unlock mobile devices: Require users to enter a password before they can access their device.
  • Lunghezza minima password: immettere il numero minimo di cifre o caratteri per la password dell'utente.Minimum password length: Enter the minimum number of digits or characters that the user's password must have.
  • Tipo di password richiesto: scegliere se una password deve contenere solo caratteri numerici oppure una combinazione di numeri e altri caratteri.Required password type: Choose whether a password should contain only numeric characters or a mix of numerals and other characters. Scegliere tra:Choose from:
    • Impostazione predefinita dispositivoDevice Default
    • Protezione biometrica bassaLow security biometric
    • Almeno numericoAt least numeric
    • Complessa numericaNumeric complex
    • Almeno alfabeticoAt least alphabetic
    • Almeno alfanumericoAt least alphanumeric
    • Almeno alfanumerico con simboliAt least alphanumeric with symbols
  • Numero massimo di minuti di inattività prima che venga richiesta la password: immettere il tempo di inattività prima che l'utente debba immettere di nuovo la password.Maximum minutes of inactivity before password is required: Enter the idle time before the user must reenter their password.
  • Scadenza password (giorni): selezionare la durata in giorni della password. Dopo questo periodo di tempo, gli utenti devono crearne una nuova.Password expiration (days): Select the number of days before the password expires, and they must create a new one.
  • Numero di password precedenti di cui impedire il riutilizzo: specificare il numero di password recenti che non è possibile riutilizzare.Number of previous passwords to prevent reuse: Enter the number of recent passwords that can't be reused. Usare questa impostazione per impedire all'utente di creare password già usate in precedenza.Use this setting to restrict the user from creating previously used passwords.

CrittografiaEncryption

  • Richiedi crittografia sul dispositivo mobile: non è necessario configurare questa impostazione poiché i dispositivi del profilo di lavoro Android applicano la crittografia.Require encryption on mobile device: You don't have to configure this setting because Android work profile devices enforce encryption.

Sicurezza del dispositivoDevice Security

  • Blocca app da origini sconosciute: non è necessario configurare questa impostazione perché i dispositivi del profilo di lavoro Android limitano sempre l'installazione da origini sconosciute.Block apps from unknown sources: You don't have to configure this setting as Android work profile devices always restrict installation from unknown sources.
  • Integrità del runtime dell'app Portale aziendale: consente di verificare che nell'app Portale aziendale sia stato installato l'ambiente di runtime predefinito, che l'app sia firmata correttamente, non sia in modalità debug e sia stata installata da un'origine nota.Company portal app runtime integrity: Checks if the Company Portal app has the default runtime environment installed, is properly signed, is not in debug-mode, and is installed from a known source.
  • Blocca il debug USB nel dispositivo: non è necessario configurare questa impostazione perché il debug USB è già disabilitato nei dispositivi del profilo di lavoro Android.Block USB debugging on device: You don't have to configure this setting because USB debugging is already disabled on Android work profile devices.
  • Livello minimo di patch di protezione: selezionare il livello di patch di sicurezza meno recente consentito per un dispositivo.Minimum security patch level: Select the oldest security patch level a device can have. I dispositivi che non presentano almeno questo livello di patch vengono considerati non conformi.Devices that are not at least at this patch level are noncompliant. La data deve essere immessa nel formato YYYY-MM-DD.The date must be entered in the YYYY-MM-DD format.

Assegnare gruppi di utentiAssign user groups

  1. Scegliere un criterio configurato.Choose a policy that you've configured. I criteri esistenti sono in Conformità del dispositivo > Criteri.Existing policies are in Device compliance > Policies.
  2. Selezionare il criterio e scegliere Assegnazioni.Choose the policy, and choose Assignments. È possibile includere o escludere i gruppi di sicurezza di Azure Active Directory (AD).You can include or exclude Azure Active Directory (AD) security groups.
  3. Scegliere Gruppi selezionati per visualizzare i gruppi di sicurezza di Azure AD.Choose Selected groups to see your Azure AD security groups. Selezionare i gruppi di utenti a cui si vuole applicare questo criterio e scegliere Salva per distribuire il criterio agli utenti.Select the user groups you want this policy to apply, and choose Save to deploy the policy to users.

Il criterio è stato applicato agli utenti.You have applied the policy to users. I dispositivi usati dagli utenti a cui è destinato il criterio vengono valutati per la conformità.The devices used by the users who are targeted by the policy are evaluated for compliance.

Passaggi successiviNext steps

Automatizzare la posta elettronica e aggiungere azioni per i dispositivi non conformiAutomate email and add actions for noncompliant devices
Monitorare i criteri di conformità dei dispositivi IntuneMonitor Intune Device compliance policies