Ustawienia zgodności urządzeń dla administratora urządzeń z systemem Android w usłudze Intune

  • Artykuł

W tym artykule wymieniono ustawienia zgodności, które można skonfigurować na urządzeniach administratora urządzeń z systemem Android w usłudze Intune. W ramach rozwiązania do zarządzania urządzeniami przenośnymi (MDM) użyj tych ustawień, aby oznaczyć urządzenia z odblokowanym dostępem jako niezgodne, ustawić dozwolony poziom zagrożenia, włączyć usługę Google Play Protect i nie tylko.

Aby uzyskać pomoc w konfigurowaniu zasad zgodności, zobacz Używanie zasad zgodności do ustawiania reguł dla urządzeń zarządzanych za pomocą usługi Intune.

Ta funkcja ma zastosowanie do:

  • Administratora urządzenia z systemem Android

Jako administrator usługi Intune użyj tych ustawień zgodności, aby chronić zasoby organizacji. Aby dowiedzieć się więcej na temat zasad zgodności i ich działania, zobacz Wprowadzenie do zgodności urządzeń.

Ważna

Microsoft Intune kończy obsługę zarządzania przez administratora urządzeń z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 30 sierpnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w usłudze Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, przeczytaj Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

Przed rozpoczęciem

Utwórz zasady zgodności. W obszarze Platforma wybierz pozycję Administrator urządzeń z systemem Android.

Ochrona punktu końcowego w usłudze Microsoft Defender

  • Wymagaj, aby urządzenie było na poziomie lub poniżej oceny ryzyka maszyny

    Wybierz maksymalną dozwoloną ocenę ryzyka maszyny dla urządzeń ocenianych przez Ochrona punktu końcowego w usłudze Microsoft Defender. Urządzenia, które przekraczają ten wynik, są oznaczone jako niezgodne.

    • Nie skonfigurowano (wartość domyślna)
    • Wyczyść
    • Niskie
    • Średnie
    • High (Wysoki)

Kondycja urządzenia

  • Urządzenia zarządzane za pomocą administratora urządzeń
    Funkcje administratora urządzeń są zastępowane przez system Android Enterprise.

    • Nie skonfigurowano (wartość domyślna)
    • Blokuj — zablokowanie administratora urządzenia przeprowadzi użytkowników do systemu Android Enterprise Personally-Owned i Corporate-Owned zarządzania profilem służbowym w celu odzyskania dostępu.

  • Urządzenia z odblokowanym dostępem
    Zapobiegaj dostępowi urządzeń z dostępem firmowym do konta root. (To sprawdzanie zgodności jest obsługiwane w systemie Android 4.0 lub nowszym).

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Blokuj — oznacz urządzenia z odblokowanym dostępem jako niezgodne.

  • Wymagaj, aby urządzenie było na poziomie zagrożenia urządzenia lub na jego poziomie
    To ustawienie służy do oceny ryzyka z połączonej usługi Mobile Threat Defense jako warunku zgodności.

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Zabezpieczone — ta opcja jest najbezpieczniejsza, ponieważ urządzenie nie może mieć żadnych zagrożeń. Jeśli urządzenie zostanie wykryte z dowolnym poziomem zagrożeń, zostanie ocenione jako niezgodne.
    • Niski — urządzenie jest oceniane jako zgodne, jeśli występują tylko zagrożenia niskiego poziomu. Jakiekolwiek zagrożenia wyższego poziomu spowodują, że urządzenie będzie miało status urządzenia niezgodnego.
    • Średni — urządzenie jest oceniane jako zgodne, jeśli istniejące zagrożenia na urządzeniu są na niskim lub średnim poziomie. Jeśli wykryto, że urządzenie ma zagrożenia wysokiego poziomu, zostanie ono uznane za niezgodne.
    • Wysoki — ta opcja jest najmniej bezpieczna i zezwala na wszystkie poziomy zagrożeń. Może to być przydatne, jeśli używasz tego rozwiązania tylko do celów raportowania.

Google Play Protect

Ważna

Urządzenia działające w krajach/regionach, w których usługi Google Mobile Services nie są dostępne, nie będą podlegać ocenie ustawień zasad zgodności usługi Google Play Protect. Aby uzyskać więcej informacji, zobacz Zarządzanie urządzeniami z systemem Android, na których usługi Google Mobile Services są niedostępne.

  • Usługi Google Play są skonfigurowane
    Usługi Google Play umożliwiają aktualizacje zabezpieczeń i są zależnością na poziomie podstawowym dla wielu funkcji zabezpieczeń na certyfikowanych urządzeniach Google.

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — wymagaj zainstalowania i włączenia aplikacji usług Google Play.

  • Aktualny dostawca zabezpieczeń

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — wymagaj, aby aktualny dostawca zabezpieczeń mógł chronić urządzenie przed znanymi lukami w zabezpieczeniach.

  • Skanowanie zagrożeń w aplikacjach

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — wymagaj włączenia funkcji Android Verify Apps .

    Uwaga

    Na starszej platformie systemu Android ta funkcja jest ustawieniem zgodności. Usługa Intune może tylko sprawdzić, czy to ustawienie jest włączone na poziomie urządzenia.

  • Werdykt integralności odtwarzania
    Wprowadź poziom integralności sklepu Google Play , który musi zostać spełniony. Dostępne opcje:

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Sprawdzanie podstawowej integralności
    • Sprawdzanie integralności podstawowej & integralności urządzenia

Uwaga

Aby skonfigurować ustawienia usługi Google Play Protect przy użyciu zasad ochrony aplikacji, zobacz Ustawienia zasad ochrony aplikacji usługi Intune w systemie Android.

Właściwości urządzenia

Wersja systemu operacyjnego

  • Minimalna wersja systemu operacyjnego
    Jeśli urządzenie nie spełnia wymagań dotyczących minimalnej wersji systemu operacyjnego, jest zgłaszane jako niezgodne. Zostanie wyświetlony link z informacjami o sposobie uaktualniania. Użytkownik końcowy może wybrać uaktualnienie urządzenia, a następnie uzyskać dostęp do zasobów firmy.

    Domyślnie żadna wersja nie jest skonfigurowana.

  • Maksymalna wersja systemu operacyjnego
    Gdy urządzenie używa wersji systemu operacyjnego nowszej niż wersja określona w regule, dostęp do zasobów firmy jest blokowany. Użytkownik jest proszony o kontakt z administratorem IT. Dopóki reguła nie zostanie zmieniona w celu zezwolenia na wersję systemu operacyjnego, to urządzenie nie może uzyskać dostępu do zasobów firmy.

    Domyślnie żadna wersja nie jest skonfigurowana.

Zabezpieczenia systemu

Szyfrowanie

  • Wymagaj szyfrowania magazynu danych na urządzeniu
    Obsługiwane w systemie Android 4.0 lub nowszym lub KNOX 4.0 lub nowszym.

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — szyfrowanie magazynu danych na urządzeniach. Urządzenia są szyfrowane po wybraniu ustawienia Wymagaj hasła do odblokowania urządzeń przenośnych .

Zabezpieczenia urządzenia

  • Blokowanie aplikacji z nieznanych źródeł
    Obsługiwane w systemie Android 4.0 do Android 7.x. Nieobsługiwane przez system Android 8.0 lub nowszy

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Blokuj — blokuj urządzenia z włączonymi źródłami nieznanych źródeł zabezpieczeń > (obsługiwanymi w systemie Android 4.0 za pośrednictwem systemu Android 7.x. Nieobsługiwane w systemie Android 8.0 lub nowszym).

    Aby aplikacje były ładowane po stronie, nieznane źródła muszą być dozwolone. Jeśli nie ładujesz aplikacji systemu Android po stronie, ustaw tę funkcję na Wartość Blokuj , aby włączyć te zasady zgodności.

    Ważna

    Aplikacje ładujące side-loading wymagają włączenia ustawienia Blokuj aplikacje z nieznanych źródeł . Wymuś te zasady zgodności tylko wtedy, gdy aplikacje systemu Android nie są ładowane bezpośrednio na urządzeniach.

  • Integralność środowiska uruchomieniowego aplikacji Portal firmy

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.

    • Wymagaj — wybierz pozycję Wymagaj, aby potwierdzić, że aplikacja Portal firmy spełnia wszystkie następujące wymagania:

      • Ma zainstalowane domyślne środowisko uruchomieniowe
      • Jest prawidłowo podpisany
      • Nie jest w trybie debugowania

  • Blokuj debugowanie USB na urządzeniu
    (Obsługiwane w systemie Android 4.2 lub nowszym)

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Blokuj — uniemożliwia urządzeniom korzystanie z funkcji debugowania USB.

  • Minimalny poziom poprawek zabezpieczeń
    (Obsługiwane w systemie Android 8.0 lub nowszym)

    Wybierz najstarszy poziom poprawki zabezpieczeń, jaki może mieć urządzenie. Urządzenia, które nie są co najmniej na tym poziomie poprawki, są niezgodne. Datę należy wprowadzić w YYYY-MM-DD formacie.

    Domyślnie nie skonfigurowano daty.

  • Aplikacje z ograniczeniami
    Wprowadź nazwę aplikacji i identyfikator pakietu aplikacji dla aplikacji, które powinny być ograniczone, a następnie wybierz pozycję Dodaj. Urządzenie z co najmniej jedną zainstalowaną aplikacją z ograniczeniami jest oznaczone jako niezgodne.

Password (hasło)

Dostępne ustawienia haseł różnią się w zależności od wersji systemu Android na urządzeniu.

Wszystkie urządzenia z systemem Android

Następujące ustawienia są obsługiwane w systemie Android 4.0 lub nowszym oraz w systemie Knox 4.0 lub nowszym.

  • Maksymalna liczba minut braku aktywności przed wymaganiem hasła
    To ustawienie określa czas bez danych wejściowych użytkownika, po którym ekran urządzenia przenośnego jest zablokowany. Opcje wahają się od 1 minuty do 8 godzin. Zalecana wartość to 15 minut.

    • Nie skonfigurowano(wartość domyślna)

  • Wymagaj hasła do odblokowania urządzeń przenośnych

    To ustawienie określa, czy wymagać od użytkowników wprowadzenia hasła przed udzieleniem dostępu do informacji na ich urządzeniach przenośnych. Zalecana wartość: Wymagaj (to sprawdzanie zgodności jest obsługiwane dla urządzeń z systemami operacyjnymi Android 4.0 lub nowszym lub KNOX 4.0 lub nowszym).

    • Nie skonfigurowano(wartość domyślna)

Android 10 lub nowszy

Następujące ustawienia są obsługiwane w systemie Android 10 lub nowszym, ale nie w systemie Knox.

  • Złożoność hasła
    To ustawienie jest obsługiwane w systemie Android 10 lub nowszym, ale nie w systemie Samsung Knox. Na urządzeniach z systemem Android 9 lub starszym lub Samsung Knox ustawienia długości hasła i typu przesłaniają to ustawienie pod kątem złożoności.

    Określ wymaganą złożoność hasła.

    • None(default) — nie jest wymagane hasło.
    • Niski — hasło spełnia jeden z następujących warunków:
      • Wzorzec
      • Numer pin ma powtarzaną sekwencję (4444) lub uporządkowaną (1234, 4321, 2468).
    • Średni — hasło spełnia jeden z następujących warunków:
      • Numerowany numer PIN nie ma powtarzanej (4444) ani uporządkowanej sekwencji (1234, 4321, 2468) i ma minimalną długość 4.
      • Alfabetyczne, o minimalnej długości 4.
      • Alfanumeryczne, o minimalnej długości 4.
    • Wysoki — hasło spełnia jeden z następujących warunków:
      • Numer pin nie ma sekwencji powtarzanej (4444) ani uporządkowanej (1234, 4321, 2468) i ma minimalną długość 8.
      • Alfabetyczne, o minimalnej długości 6.
      • Alfanumeryczne o minimalnej długości 6.

Android 9 i starsze lub Samsung Knox

Następujące ustawienia są obsługiwane w systemie Android 9.0 lub starszym oraz w dowolnej wersji systemu Samsung Knox.

  • Wymagaj hasła do odblokowania urządzeń przenośnych
    To ustawienie określa, czy wymagać od użytkowników wprowadzenia hasła przed udzieleniem dostępu do informacji na ich urządzeniach przenośnych. Zalecana wartość: Wymagaj

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — użytkownicy muszą wprowadzić hasło, aby mogli uzyskać dostęp do swojego urządzenia.

    Po ustawieniu opcji Wymagaj można skonfigurować następujące ustawienie:

    Wymagany typ hasła
    Określ, czy hasło powinno zawierać tylko znaki liczbowe lub kombinację cyfr i innych znaków.

    • Ustawienie domyślne urządzenia — aby ocenić zgodność haseł, wybierz siłę hasła inną niż Domyślna wartość urządzenia.
    • Biometryczne niskiego poziomu zabezpieczeń
    • Co najmniej numeryczne
    • Złożona liczba — powtarzające się lub kolejne cyfry, takie jak 1111 lub 1234, są niedozwolone.
    • Co najmniej alfabetyczne
    • Co najmniej alfanumeryczne
    • Co najmniej alfanumeryczne z symbolami

    Na podstawie konfiguracji tego ustawienia jest dostępna co najmniej jedna z następujących opcji:

    • Minimalna długość hasła
      Wprowadź minimalną liczbę cyfr lub znaków, które musi zawierać hasło użytkownika.

    • Maksymalna liczba minut braku aktywności przed wymaganiem hasła
      Wprowadź czas bezczynności, zanim użytkownik będzie musiał ponownie wprowadzić hasło. Po wybraniu opcji Nieskonfigurowane (ustawienie domyślne ) to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.

    • Liczba dni do wygaśnięcia hasła
      Wybierz liczbę dni przed wygaśnięciem hasła, a użytkownik musi utworzyć nowe hasło.

    • Liczba poprzednich haseł, aby zapobiec ponownemu użyciu
      Wprowadź liczbę ostatnio używanych haseł, których nie można użyć ponownie. Użyj tego ustawienia, aby ograniczyć użytkownikowi możliwość tworzenia wcześniej używanych haseł.

Następne kroki