Impostazioni di conformità del dispositivo per l'amministratore di dispositivi Android in Intune

Questo articolo elenca le impostazioni di conformità che è possibile configurare nei dispositivi di amministratore di dispositivi Android in Intune. Come parte della soluzione di gestione dei dispositivi mobili (MDM), usare queste impostazioni per contrassegnare i dispositivi rooted come non conformi, impostare un livello di minaccia consentito, abilitare Google Play Protect e altro ancora.

Per assistenza nella configurazione dei criteri di conformità, vedere Usare i criteri di conformità per impostare le regole per i dispositivi gestiti con Intune.

Questa funzionalità si applica a:

• Amministratore del dispositivo Android

In qualità di amministratore Intune, usare queste impostazioni di conformità per proteggere le risorse dell'organizzazione. Per altre informazioni sui criteri di conformità e sulle relative operazioni, vedere Introduzione alla conformità dei dispositivi.

Importante

Microsoft Intune termina il supporto per la gestione degli amministratori di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 30 agosto 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Supporto finale per l'amministratore di dispositivi Android nei dispositivi GMS.

Prima di iniziare

Create un criterio di conformità. Per Piattaforma selezionare Amministratore dispositivo Android.

Microsoft Defender per endpoint

• Richiedere che il dispositivo sia al o sotto il punteggio di rischio del computer

  Selezionare il punteggio di rischio massimo consentito per i dispositivi valutati in base Microsoft Defender per endpoint. I dispositivi che superano questo punteggio vengono contrassegnati come non conformi.

  • Non configurato (impostazione predefinita)
  • Clear
  • Basso
  • Medio
  • High

Integrità del dispositivo

• Dispositivi gestiti con l'amministratore del dispositivo
  Le funzionalità di amministratore dei dispositivi vengono sostituite da Android Enterprise.

  • Non configurato (impostazione predefinita)
  • Blocca : l'amministratore del dispositivo bloccante guiderà gli utenti a passare ad Android Enterprise Personally-Owned e Corporate-Owned gestione del profilo di lavoro per ottenere nuovamente l'accesso.

• Dispositivi rooted
  Impedire ai dispositivi rooted di avere accesso aziendale. Questo controllo di conformità è supportato per Android 4.0 e versioni successive.

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Blocca : contrassegnare i dispositivi rooted come non conformi.

• Richiedere che il dispositivo sia al livello o sotto il livello di minaccia del dispositivo
  Usare questa impostazione per considerare la valutazione dei rischi di un servizio Mobile Threat Defense connesso come condizione per la conformità.

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Protetto : questa opzione è la più sicura, in quanto il dispositivo non può avere minacce. Se il dispositivo viene rilevato con qualsiasi livello di minacce, viene valutato come non conforme.
  • Basso : il dispositivo viene valutato come conforme se sono presenti solo minacce di basso livello. In presenza di minacce di livello alto, il dispositivo verrà messo in stato di non conformità.
  • Medio : il dispositivo viene valutato come conforme se le minacce esistenti nel dispositivo sono di livello basso o medio. Se viene rilevato che il dispositivo presenta minacce di alto livello, è determinato che non è conforme.
  • Alto : questa opzione è la meno sicura e consente tutti i livelli di minaccia. Può essere utile se si usa questa soluzione solo a scopo di creazione di report.

Google Play Protect

Importante

I dispositivi che operano in paesi/aree geografiche in cui Google Mobile Services non è disponibile non riusciranno a valutare le impostazioni dei criteri di conformità di Google Play Protect. Per altre informazioni, vedere Gestione dei dispositivi Android in cui Google Mobile Services non è disponibile.

• Google Play Services è configurato
  Google Play Services consente gli aggiornamenti della sicurezza ed è una dipendenza a livello di base per molte funzionalità di sicurezza nei dispositivi Google certificati.

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Richiedi : richiedere che l'app Google Play Services sia installata e abilitata.

• Provider di sicurezza aggiornato

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Richiedi : richiedere che un provider di sicurezza aggiornato possa proteggere un dispositivo da vulnerabilità note.

• Analisi delle minacce nelle app

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Richiedi : richiedere che la funzionalità Verifica app android sia abilitata.

  Nota

  Nella piattaforma Android legacy questa funzionalità è un'impostazione di conformità. Intune può controllare solo se questa impostazione è abilitata a livello di dispositivo.

• Verdetto integrità riproduzione
  Immettere il livello di integrità del gioco di Google che deve essere soddisfatto. Le opzioni disponibili sono:

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Controllare l'integrità di base
  • Controllare l'integrità di base & l'integrità del dispositivo

Nota

Per configurare le impostazioni di Google Play Protect usando i criteri di protezione delle app, vedere Intune impostazioni dei criteri di protezione delle app in Android.

Proprietà dispositivo

Versione del sistema operativo

• Versione minima del sistema operativo
  Quando un dispositivo non soddisfa il requisito minimo di versione del sistema operativo, viene segnalato come non conforme. Viene visualizzato un collegamento con informazioni su come eseguire l'aggiornamento. L'utente finale può scegliere di aggiornare il dispositivo e quindi ottenere l'accesso alle risorse aziendali.

  Per impostazione predefinita, non è configurata alcuna versione.

• Versione massima del sistema operativo
  Quando un dispositivo usa una versione del sistema operativo successiva alla versione specificata nella regola, l'accesso alle risorse aziendali viene bloccato. All'utente viene chiesto di contattare l'amministratore IT. Finché non viene modificata una regola per consentire la versione del sistema operativo, questo dispositivo non può accedere alle risorse aziendali.

  Per impostazione predefinita, non è configurata alcuna versione.

Sicurezza del sistema

Crittografia

• Richiedere la crittografia dell'archiviazione dati nel dispositivo
  Supportato in Android 4.0 e versioni successive o KNOX 4.0 e versioni successive.

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Richiedi : crittografa l'archiviazione dati nei dispositivi. I dispositivi vengono crittografati quando si sceglie l'impostazione Richiedi una password per sbloccare i dispositivi mobili .

Sicurezza dei dispositivi

• Bloccare le app da origini sconosciute
  Supportato da Android 4.0 ad Android 7.x. Non supportato da Android 8.0 e versioni successive

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Blocca: blocca i dispositivi con origini sconosciute di sicurezza > abilitate (supportate da Android 4.0 a Android 7.x. Non supportato in Android 8.0 e versioni successive.

  Per caricare localmente le app, è necessario consentire origini sconosciute. Se non si caricano localmente le app Android, impostare questa funzionalità su Blocca per abilitare questo criterio di conformità.

  Importante

  Per le applicazioni sideload è necessario che l'impostazione Blocca app da origini sconosciute sia abilitata. Applicare questo criterio di conformità solo se non si caricano localmente app Android nei dispositivi.

• Integrità del runtime dell'app nel portale aziendale

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.

  • Richiedi: scegliere Richiedi per confermare che l'app Portale aziendale soddisfi tutti i requisiti seguenti:

    • L'ambiente di runtime predefinito è installato
    • Firma corretta
    • Non è in modalità di debug

• Bloccare il debug USB nel dispositivo
  (Supportato in Android 4.2 o versione successiva)

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Blocca : impedisce ai dispositivi di usare la funzionalità di debug USB.

• Livello minimo di patch di sicurezza
  (Supportato in Android 8.0 o versione successiva)

  Selezionare il livello di patch di sicurezza meno recente che un dispositivo può avere. I dispositivi che non sono almeno a questo livello di patch non sono conformi. La data deve essere immessa nel YYYY-MM-DD formato .

  Per impostazione predefinita, non è configurata alcuna data.

• App con restrizioni
  Immettere il nome dell'app e l'ID bundle dell'app per le app che devono essere limitate e quindi selezionare Aggiungi. Un dispositivo con almeno un'app con restrizioni installata è contrassegnato come non conforme.

  Per ottenere l'ID bundle di un'app aggiunta a Intune, è possibile usare l'interfaccia di amministrazione Intune.

Password

Le impostazioni disponibili per le password variano in base alla versione di Android nel dispositivo.

Tutti i dispositivi Android

Le impostazioni seguenti sono supportate in Android 4.0 o versioni successive e Knox 4.0 e versioni successive.

• Numero massimo di minuti di inattività prima che sia necessaria la password
  Questa impostazione specifica il periodo di tempo senza input dell'utente dopo il quale lo schermo del dispositivo mobile viene bloccato. Le opzioni variano da 1 minuto a 8 ore. Il valore consigliato è 15 minuti.

  • Non configurato(impostazione predefinita)

• Richiedere una password per sbloccare i dispositivi mobili

  Questa impostazione specifica se richiedere agli utenti di immettere una password prima che venga concesso l'accesso alle informazioni sui propri dispositivi mobili. Valore consigliato: Richiedi (questo controllo di conformità è supportato per i dispositivi con le versioni del sistema operativo Android 4.0 e versioni successive o KNOX 4.0 e versioni successive).

  • Non configurato(impostazione predefinita)

Android 10 e versioni successive

Le impostazioni seguenti sono supportate in Android 10 o versioni successive, ma non in Knox.

• Complessità delle password
  Questa impostazione è supportata in Android 10 o versioni successive, ma non in Samsung Knox. Nei dispositivi che eseguono Android 9 e versioni precedenti o Samsung Knox, le impostazioni per la lunghezza della password e digitare sostituiscono questa impostazione per la complessità.

  Specificare la complessità della password richiesta.

  • None(default) - Nessuna password richiesta.
  • Bassa : la password soddisfa una delle condizioni seguenti:
    • Criterio
    • Il PIN numerico ha una sequenza ripetuta (4444) o ordinata (1234, 4321, 2468).
  • Media : la password soddisfa una delle condizioni seguenti:
    • Il PIN numerico non ha una sequenza ripetuta (4444) o ordinata (1234, 4321, 2468) e ha una lunghezza minima di 4.
    • Alfabetico, con una lunghezza minima di 4.
    • Alfanumerico, con una lunghezza minima di 4.
  • Alta : la password soddisfa una delle condizioni seguenti:
    • Il PIN numerico non ha una sequenza ripetuta (4444) o ordinata (1234, 4321, 2468) e ha una lunghezza minima di 8.
    • Alfabetico, con una lunghezza minima di 6.
    • Alfanumerico, con una lunghezza minima di 6.

Android 9 e versioni precedenti o Samsung Knox

Le impostazioni seguenti sono supportate in Android 9.0 e versioni precedenti e in qualsiasi versione di Samsung Knox.

• Richiedere una password per sbloccare i dispositivi mobili
  Questa impostazione specifica se richiedere agli utenti di immettere una password prima che venga concesso l'accesso alle informazioni sui propri dispositivi mobili. Valore consigliato: Require

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Richiedi : gli utenti devono immettere una password prima di poter accedere al dispositivo.

  Se impostato su Richiedi, è possibile configurare l'impostazione seguente:

  Tipo di password richiesto
  Scegliere se una password deve includere solo caratteri numerici o una combinazione di numeri e altri caratteri.

  • Impostazione predefinita del dispositivo : per valutare la conformità della password, assicurarsi di selezionare un livello di password diverso da Quello predefinito del dispositivo.
  • Biometria a bassa sicurezza
  • Almeno numerico
  • Complesso numerico : i numeri ripetuti o consecutivi, ad 1111 esempio o 1234, non sono consentiti.
  • Almeno alfabetico
  • Almeno alfanumerico
  • Almeno alfanumerico con simboli

  In base alla configurazione di questa impostazione, sono disponibili una o più delle opzioni seguenti:

  • Lunghezza minima password
    Immettere il numero minimo di cifre o caratteri che la password dell'utente deve avere.

  • Numero massimo di minuti di inattività prima che sia necessaria la password
    Immettere il tempo di inattività prima che l'utente debba immettere di nuovo la password. Quando si sceglie Non configurato (impostazione predefinita), questa impostazione non viene valutata per la conformità o la non conformità.

  • Numero di giorni fino alla scadenza della password
    Selezionare il numero di giorni prima della scadenza della password e l'utente deve creare una nuova password.

  • Numero di password precedenti per impedire il riutilizzo
    Immettere il numero di password recenti che non possono essere riutilizzate. Usare questa impostazione per impedire all'utente di creare password usate in precedenza.

Passaggi successivi

• Aggiungere azioni per i dispositivi non conformi e usare i tag di ambito per filtrare i criteri.
• Monitorare i criteri di conformità.
• Vedere le impostazioni dei criteri di conformità per i dispositivi Android Enterprise .