Instellingen voor apparaatnaleving voor Android-apparaatbeheerder in Intune

  • Artikel

In dit artikel vindt u de nalevingsinstellingen die u kunt configureren op Android-apparaatbeheerders in Intune. Als onderdeel van uw MDM-oplossing (Mobile Device Management) gebruikt u deze instellingen om geroote apparaten te markeren als niet-compatibel, een toegestaan bedreigingsniveau in te stellen, Google Play Protect in te schakelen en meer.

Zie Nalevingsbeleid gebruiken om regels in te stellen voor apparaten die u beheert met Intune voor hulp bij het configureren van nalevingsbeleid.

Deze functie is van toepassing op:

  • Android apparaatbeheerder

Als Intune-beheerder kunt u deze nalevingsinstellingen gebruiken om uw organisatieresources te beschermen. Zie Aan de slag met apparaatnaleving voor meer informatie over nalevingsbeleid en wat ze doen.

Belangrijk

Microsoft Intune beëindigt de ondersteuning voor Beheer van Android-apparaten op apparaten met toegang tot Google Mobile Services (GMS) op 30 augustus 2024. Na die datum zijn apparaatinschrijving, technische ondersteuning, bugfixes en beveiligingspatches niet meer beschikbaar. Als u momenteel apparaatbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie in Intune voordat de ondersteuning wordt beëindigd. Lees Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.

Voordat u begint

Creatie een nalevingsbeleid. Selecteer Android-apparaatbeheerder bij Platform.

Microsoft Defender voor Eindpunt

  • Vereisen dat het apparaat de risicoscore van de machine heeft of niet

    Selecteer de maximaal toegestane machinerisicoscore voor apparaten die door Microsoft Defender voor Eindpunt worden geëvalueerd. Apparaten die deze score overschrijden, worden gemarkeerd als niet-compatibel.

    • Niet geconfigureerd (standaard)
    • Duidelijk
    • Laag
    • Gemiddeld
    • Hoog

Apparaatstatus

  • Apparaten die worden beheerd met apparaatbeheerder
    De mogelijkheden van apparaatbeheerders worden vervangen door Android Enterprise.

    • Niet geconfigureerd (standaard)
    • Blokkeren : als u apparaatbeheerder blokkeert, kunnen gebruikers overstappen naar Android Enterprise Personally-Owned en Corporate-Owned beheer van werkprofielen om weer toegang te krijgen.

  • Geroote apparaten
    Voorkomen dat geroote apparaten bedrijfstoegang hebben. (Deze nalevingscontrole wordt ondersteund voor Android 4.0 en hoger.)

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Blokkeren : geroote apparaten markeren als niet-compatibel.

  • Vereisen dat het apparaat zich op of onder het bedreigingsniveau van het apparaat bevindt
    Gebruik deze instelling om de risicoanalyse van een verbonden Mobile Threat Defense-service te gebruiken als voorwaarde voor naleving.

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Beveiligd : deze optie is het veiligst, omdat het apparaat geen bedreigingen kan hebben. Als het apparaat wordt gedetecteerd met een bedreigingsniveau, wordt het als niet-compatibel geëvalueerd.
    • Laag : het apparaat wordt geëvalueerd als compatibel als er alleen bedreigingen op laag niveau aanwezig zijn. Alles wat hoger is, plaatst het apparaat in een niet-compatibele status.
    • Gemiddeld : het apparaat wordt als compatibel beoordeeld als bestaande bedreigingen op het apparaat laag of gemiddeld zijn. Als wordt gedetecteerd dat het apparaat bedreigingen op hoog niveau heeft, wordt vastgesteld dat het niet compatibel is.
    • Hoog : deze optie is het minst veilig en staat alle bedreigingsniveaus toe. Dit kan handig zijn als u deze oplossing alleen gebruikt voor rapportagedoeleinden.

Google Play Protect

Belangrijk

Apparaten die actief zijn in landen/regio's waar Google Mobile Services niet beschikbaar zijn, mislukken de evaluatie van de instellingen voor nalevingsbeleid van Google Play Protect. Zie Android-apparaten beheren waarvoor Google Mobile Services niet beschikbaar zijn voor meer informatie.

  • Google Play Services is geconfigureerd
    Google Play-services staan beveiligingsupdates toe en zijn een afhankelijkheid op basisniveau voor veel beveiligingsfuncties op gecertificeerde Google-apparaten.

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Vereisen : vereisen dat de Google Play-services-app is geïnstalleerd en ingeschakeld.

  • Up-to-date beveiligingsprovider

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Vereisen : vereisen dat een up-to-date beveiligingsprovider een apparaat kan beschermen tegen bekende beveiligingsproblemen.

  • Bedreigingsscan voor apps

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Vereisen : vereisen dat de android-functie Apps verifiëren is ingeschakeld.

    Opmerking

    Op het verouderde Android-platform is deze functie een nalevingsinstelling. Intune kunt alleen controleren of deze instelling is ingeschakeld op apparaatniveau.

  • Beoordeling van afspeelintegriteit
    Voer het niveau in van de Play Integrity van Google waaraan moet worden voldaan. Uw opties:

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Basisintegriteit controleren
    • Basisintegriteit & apparaatintegriteit controleren

Opmerking

Zie instellingen voor app-beveiligingsbeleid voor Intune op Android om instellingen voor Google Play Protect te configureren met behulp van app-beveiligingsbeleid.

Apparaateigenschappen

Versie van besturingssysteem

  • Minimale versie van het besturingssysteem
    Wanneer een apparaat niet voldoet aan de minimale vereiste voor de versie van het besturingssysteem, wordt het als niet-compatibel gerapporteerd. Er wordt een koppeling weergegeven met informatie over het upgraden. De eindgebruiker kan ervoor kiezen om het apparaat te upgraden en vervolgens toegang te krijgen tot bedrijfsresources.

    Standaard is er geen versie geconfigureerd.

  • Maximale versie van het besturingssysteem
    Wanneer een apparaat een versie van het besturingssysteem gebruikt die hoger is dan de versie die is opgegeven in de regel, wordt de toegang tot bedrijfsresources geblokkeerd. De gebruiker wordt gevraagd contact op te vragen met de IT-beheerder. Totdat een regel is gewijzigd om de versie van het besturingssysteem toe te staan, heeft dit apparaat geen toegang tot bedrijfsresources.

    Standaard is er geen versie geconfigureerd.

Systeembeveiliging

Versleuteling

  • Versleuteling van gegevensopslag op apparaat vereisen
    Ondersteund op Android 4.0 en hoger, of KNOX 4.0 en hoger.

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Vereisen : gegevensopslag op uw apparaten versleutelen. Apparaten worden versleuteld wanneer u de instelling Wachtwoord vereisen om mobiele apparaten te ontgrendelen kiest.

Apparaatbeveiliging

  • Apps van onbekende bronnen blokkeren
    Ondersteund op Android 4.0 tot Android 7.x. Niet ondersteund door Android 8.0 en hoger

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Blokkeren : Blokkeer apparaten met bronnen die zijn ingeschakeld voor beveiliging > onbekende bronnen (ondersteund op Android 4.0 tot en met Android 7.x. Niet ondersteund op Android 8.0 en hoger.).

    Als u apps wilt sideloaden, moeten onbekende bronnen zijn toegestaan. Als u Android-apps niet naast elkaar laadt, stelt u deze functie in op Blokkeren om dit nalevingsbeleid in te schakelen.

    Belangrijk

    Toepassingen voor sideloaden vereisen dat de instelling Apps van onbekende bronnen blokkeren is ingeschakeld. Dwing dit nalevingsbeleid alleen af als u Geen Android-apps op apparaten opzij laadt.

  • Runtime-integriteit van bedrijfsportal-apps

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.

    • Vereisen: kies Vereisen om te bevestigen dat de Bedrijfsportal app voldoet aan alle volgende vereisten:

      • De standaardruntimeomgeving is geïnstalleerd
      • Is correct ondertekend
      • Is niet in de foutopsporingsmodus

  • USB-foutopsporing op apparaat blokkeren
    (Ondersteund op Android 4.2 of hoger)

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Blokkeren : voorkomen dat apparaten de functie USB-foutopsporing gebruiken.

  • Minimumniveau van beveiligingspatch
    (Ondersteund op Android 8.0 of hoger)

    Selecteer het oudste beveiligingspatchniveau dat een apparaat kan hebben. Apparaten die zich niet ten minste op dit patchniveau bevinden, zijn niet compatibel. De datum moet worden ingevoerd in de YYYY-MM-DD notatie.

    Standaard is er geen datum geconfigureerd.

  • Beperkte apps
    Voer de app-naam en app-bundel-id in voor apps die moeten worden beperkt en selecteer vervolgens Toevoegen. Een apparaat waarop ten minste één beperkte app is geïnstalleerd, wordt gemarkeerd als niet-compatibel.

    Als u de bundel-id van een app wilt ophalen die is toegevoegd aan Intune, kunt u het Intune-beheercentrum gebruiken.

Wachtwoord

De beschikbare instellingen voor wachtwoorden variëren per versie van Android op het apparaat.

Alle Android-apparaten

De volgende instellingen worden ondersteund op Android 4.0 of hoger en Knox 4.0 en hoger.

  • Maximum aantal minuten van inactiviteit voordat een wachtwoord is vereist
    Met deze instelling geeft u de tijdsduur op zonder gebruikersinvoer waarna het scherm van het mobiele apparaat wordt vergrendeld. De opties variëren van 1 minuut tot 8 uur. De aanbevolen waarde is 15 minuten.

    • Niet geconfigureerd(standaard)

  • Een wachtwoord vereisen om mobiele apparaten te ontgrendelen

    Deze instelling geeft aan of gebruikers een wachtwoord moeten invoeren voordat toegang wordt verleend tot informatie op hun mobiele apparaten. Aanbevolen waarde: Vereisen (deze nalevingscontrole wordt ondersteund voor apparaten met besturingssysteemversies Android 4.0 en hoger, of KNOX 4.0 en hoger.)

    • Niet geconfigureerd(standaard)

Android 10 en hoger

De volgende instellingen worden ondersteund op Android 10 of hoger, maar niet op Knox.

  • Wachtwoordcomplexiteit
    Deze instelling wordt ondersteund op Android 10 of hoger, maar niet op Samsung Knox. Op apparaten met Android 9 en eerder of Samsung Knox overschrijven instellingen voor de wachtwoordlengte en het type deze instelling voor complexiteit.

    Geef de vereiste wachtwoordcomplexiteit op.

    • Geen(standaard): geen wachtwoord vereist.
    • Laag : het wachtwoord voldoet aan een van de volgende voorwaarden:
      • Patroon
      • De numerieke pincode heeft een herhalende (4444) of geordende (1234, 4321, 2468) reeks.
    • Gemiddeld : het wachtwoord voldoet aan een van de volgende voorwaarden:
      • De numerieke pincode heeft geen herhalende (4444) of geordende (1234, 4321, 2468) reeks en heeft een minimale lengte van 4.
      • Alfabetisch, met een minimale lengte van 4.
      • Alfanumeriek, met een minimale lengte van 4.
    • Hoog : het wachtwoord voldoet aan een van de volgende voorwaarden:
      • De numerieke pincode heeft geen herhalende (4444) of geordende (1234, 4321, 2468) reeks en heeft een minimale lengte van 8.
      • Alfabetisch, met een minimale lengte van 6.
      • Alfanumeriek, met een minimale lengte van 6.

Android 9 en eerder of Samsung Knox

De volgende instellingen worden ondersteund op Android 9.0 en eerder en elke versie van Samsung Knox.

  • Een wachtwoord vereisen om mobiele apparaten te ontgrendelen
    Deze instelling geeft aan of gebruikers een wachtwoord moeten invoeren voordat toegang wordt verleend tot informatie op hun mobiele apparaten. Aanbevolen waarde: Vereisen

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Vereisen : gebruikers moeten een wachtwoord invoeren voordat ze toegang hebben tot hun apparaat.

    Wanneer deze instelling is ingesteld op Vereisen, kan de volgende instelling worden geconfigureerd:

    Vereist wachtwoordtype
    Kies of een wachtwoord alleen numerieke tekens of een combinatie van cijfers en andere tekens moet bevatten.

    • Apparaat standaard : als u de wachtwoordcompatibiliteit wilt evalueren, moet u een andere wachtwoordsterkte dan Standaardapparaat selecteren.
    • Lage biometrische beveiliging
    • Ten minste numeriek
    • Numeriek complex : herhaalde of opeenvolgende cijfers, zoals 1111 of 1234, zijn niet toegestaan.
    • Ten minste alfabetisch
    • Ten minste alfanumerieke
    • Ten minste alfanumeriek met symbolen

    Op basis van de configuratie van deze instelling zijn een of meer van de volgende opties beschikbaar:

    • Minimale wachtwoordlengte
      Voer het minimale aantal cijfers of tekens in dat het wachtwoord van de gebruiker moet bevatten.

    • Maximum aantal minuten van inactiviteit voordat een wachtwoord is vereist
      Voer de niet-actieve tijd in voordat de gebruiker het wachtwoord opnieuw moet invoeren. Wanneer u Niet geconfigureerd (standaard) kiest, wordt deze instelling niet geëvalueerd op naleving of niet-naleving.

    • Aantal dagen totdat het wachtwoord verloopt
      Selecteer het aantal dagen voordat het wachtwoord verloopt en de gebruiker een nieuw wachtwoord moet maken.

    • Aantal vorige wachtwoorden om hergebruik te voorkomen
      Voer het aantal recente wachtwoorden in dat niet opnieuw kan worden gebruikt. Gebruik deze instelling om te voorkomen dat de gebruiker eerder gebruikte wachtwoorden kan maken.

Volgende stappen