Intune 中 Android 裝置系統管理員的裝置合規性設定

  • 發行項

本文列出您可以在 Intune的 Android 裝置系統管理員裝置上設定的合規性設定。 作為行動裝置管理 (MDM) 解決方案的一部分,請使用這些設定將 Root 裝置標示為不符合規範、設定允許的威脅層級、啟用 Google Play 保護等等。

如需設定合規性原則的協助,請參閱使用合規性原則為您使用 Intune 管理的裝置設定規則

本功能適用於:

  • Android 裝置系統管理員

身為 Intune 系統管理員,請使用這些合規性設定來協助保護您的組織資源。 若要深入瞭解合規性原則及其用途,請參閱 開始使用裝置合規性

重要事項

Microsoft Intune 於 2024 年 8 月 30 日終止在可存取 Google 行動服務 (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 終止 GMS 裝置上的 Android 裝置系統管理員支援

開始之前

Create 合規性政策。 針對 [平臺],選取 [Android 裝置系統管理員]

適用於端點的 Microsoft Defender

  • 要求裝置處於或低於計算機風險分數

    針對由 適用於端點的 Microsoft Defender 評估的裝置,選取允許的機器風險分數上限。 超過此分數的裝置會標示為不符合規範。

    • 未設定 ()
    • Clear
    • Medium
    • High

裝置健全狀況

  • 使用裝置系統管理員管理的裝置
    Android Enterprise 會取代裝置系統管理員功能。

    • 未設定 ()
    • 封鎖 - 封鎖 裝置系統管理員會引導使用者移至 Android Enterprise Personally-Owned,並 Corporate-Owned 工作配置檔管理以重新取得存取權。

  • Root 破解裝置
    防止 Root root 裝置具有公司存取權。 (Android 4.0 和更新版本支援此合規性檢查。)

    • 未設定 (預設) - 此設定不會針對合規性或不符合規範進行評估。
    • 封鎖 - 將 Root 破解裝置標示為不符合規範。

  • 要求裝置處於或低於裝置威脅層級
    使用此設定可從連線的Mobile Threat Defense 服務進行風險評估,作為合規性的條件。

    • 未設定 (預設) - 此設定不會針對合規性或不符合規範進行評估。
    • 安全 - 此選項最安全,因為裝置不能有任何威脅。 如果偵測到裝置具有任何層級的威脅,則會評估為不符合規範。
    • - 如果只有低階威脅存在,則會將裝置評估為符合規範。 任何較高的威脅等級都會讓裝置成為不符合規範的狀態。
    • 中型 - 如果裝置上的現有威脅為低或中層級,則會將裝置評估為符合規範。 如果偵測到裝置有高層級威脅,則會判斷為不符合規範。
    • - 此選項最不安全,並允許所有威脅層級。 如果您使用此解決方案僅供報告之用,可能會很有用。

Google Play 保護

重要事項

在Google行動服務無法使用的國家/地區中運作的裝置,將會失敗Google Play保護合規性政策設定評估。 如需詳細資訊,請 參閱管理無法使用Google行動服務的Android裝置

  • 已設定Google Play服務
    Google Play 服務允許安全性更新,而且是認證 Google 裝置上許多安全性功能的基礎層級相依性。

    • 未設定 (預設) - 此設定不會針對合規性或不符合規範進行評估。
    • 需要 - 要求安裝並啟用Google Play 服務應用程式。

  • 最新的安全性提供者

    • 未設定 (預設) - 此設定不會針對合規性或不符合規範進行評估。
    • 需要 - 要求最新的安全性提供者可以保護裝置免於已知弱點。

  • 應用程式上的威脅掃描

    • 未設定 (預設) - 此設定不會針對合規性或不符合規範進行評估。
    • 需要 - 要求啟用Android 驗證應用程式 功能。

    注意事項

    在舊版Android平臺上,這項功能是合規性設定。 Intune 只能檢查此設定是否已在裝置層級啟用。

  • 播放完整性決策
    輸入必須符合的Google Play完整性 層級。 選項包括:

    • 未設定 (預設) - 此設定不會針對合規性或不符合規範進行評估。
    • 檢查基本完整性
    • 檢查裝置完整性 & 基本完整性

注意事項

若要使用應用程式保護原則來設定 Google Play 保護設定,請參閱在 Android 上 Intune 應用程式保護原則設定

裝置屬性

操作系統版本

  • 最低作業系統版本
    當裝置不符合最低 OS 版本需求時,會回報為不符合規範。 隨即顯示連結,其中包含如何升級的相關信息。 終端使用者可以選擇升級其裝置,然後取得公司資源的存取權。

    根據預設,不會設定任何版本

  • 操作系統版本上限
    當裝置使用的OS版本晚於規則中指定的版本時,會封鎖對公司資源的存取。 系統會要求使用者連絡其IT系統管理員。在規則變更為允許 OS 版本之前,此裝置無法存取公司資源。

    根據預設,不會設定任何版本

系統安全性

加密

  • 需要加密裝置上的數據記憶體
    支援 Android 4.0 和更新版本,或 KNOX 4.0 和更新版本。

    • 未設定 (預設) - 此設定不會針對合規性或不符合規範進行評估。
    • 需要 - 加密裝置上的數據記憶體。 當您選擇 [ 需要密碼以解除鎖定行動裝置 ] 設定時,裝置會加密。

裝置安全性

  • 封鎖來自未知來源的應用程式
    支援 Android 4.0 至 Android 7.x。 Android 8.0 和更新版本不支援

    • 未設定 (預設) - 此設定不會針對合規性或不符合規範進行評估。
    • 封鎖 - 封鎖已啟用 安全 > 性未知來源 的裝置, (Android 4.0 到 Android 7.x 支援。Android 8.0 和更新版本不支援。) 。

    若要側載應用程式,必須允許未知的來源。 如果您不是側載 Android 應用程式,請將此功能設定為 [封鎖 ] 以啟用此合規性政策。

    重要事項

    側載應用程式需要啟用 [ 封鎖來自未知來源的應用程式 ] 設定。 只有在您未在裝置上側載 Android 應用程式時,才強制執行此合規性政策。

  • 公司入口網站應用程式運行時間完整性

    • 未設定 (預設) - 此設定不會針對合規性或不符合規範進行評估。

    • 需要 - 選擇 [需要] 以確認 公司入口網站 應用程式符合下列所有需求:

      • 已安裝預設運行時間環境
      • 已正確簽署
      • 不在偵錯模式中

  • 封鎖裝置上的USB偵錯
    Android 4.2 或更新版本 (支援)

    • 未設定 (預設) - 此設定不會針對合規性或不符合規範進行評估。
    • 封鎖 - 防止裝置使用 USB 偵錯功能。

  • 最低安全性修補程式層級
    Android 8.0 或更新版本的 (支援)

    選取裝置可以擁有的最舊安全性修補程式層級。 至少不在此修補程式層級的裝置不相容。 必須以格式輸入 YYYY-MM-DD 日期。

    根據預設,不會設定日期

  • 受限制的應用程式
    針對應限制的應用程式輸入應用程式 名稱應用程式套 件組合識別碼,然後選取 [ 新增]。 已安裝至少一個受限制應用程式的裝置會標示為不符合規範。

    若要取得新增至 Intune 之應用程式的套件組合識別符,您可以使用 Intune 系統管理中心

密碼

密碼的可用設定會因裝置上的 Android 版本而有所不同。

所有 Android 裝置

Android 4.0 或更新版本以及 Knox 4.0 和更新版本支援下列設定。

  • 在需要密碼之前,閑置最長分鐘數
    此設定會指定未輸入用戶的時間長度,之後會鎖定行動裝置畫面。 選項範圍從 1 分鐘8 小時。 建議的值為 15分鐘

    • 沒有設定 預設 ()

  • 需要密碼才能解除鎖定行動裝置

    此設定會指定是否要求使用者在存取權授與其行動裝置上的資訊之前輸入密碼。 建議值: 需要 (操作系統版本 Android 4.0 和更新版本或 KNOX 4.0 和更新版本的裝置支援此合規性檢查。)

    • 沒有設定 預設 ()

Android 10 和更新版本

Android 10 或更新版本支援下列設定,但在 Knox 上則不支援。

  • 密碼複雜度
    Android 10 或更新版本支援此設定,但 Samsung Knox 不支援此設定。 在執行 Android 9 和更早版本或 Samsung Knox 的裝置上,密碼長度和類型的設定會針對複雜性覆寫此設定.

    指定必要的密碼複雜度。

    • (預設) - 不需要密碼。
    • - 密碼符合下列其中一個條件:
      • 模式
      • 數值 PIN 具有重複 (4444) 或排序 (1234、4321、2468) 序列。
    • - 密碼符合下列其中一個條件:
      • 數值 PIN 沒有重複 (4444) 或排序 (1234、4321、2468) 序列,且長度下限為 4。
      • 字母,最小長度為 4。
      • 英數位元,最小長度為 4。
    • - 密碼符合下列其中一個條件:
      • 數值 PIN 沒有重複 (4444) 或排序 (1234、4321、2468) 序列,且長度下限為 8。
      • 字母,最小長度為 6。
      • 英數位元,最小長度為6。

Android 9 和更早版本或 Samsung Knox

Android 9.0 和更早版本,以及任何版本的 Samsung Knox 都支援下列設定。

  • 需要密碼才能解除鎖定行動裝置
    此設定會指定是否要求使用者在存取權授與其行動裝置上的資訊之前輸入密碼。 建議值:需要

    • 未設定 (預設) - 此設定不會針對合規性或不符合規範進行評估。
    • 需要 - 用戶必須先輸入密碼,才能存取其裝置。

    當設定為 [需要] 時,可以設定下列設定:

    必要的密碼類型
    選擇密碼應該只包含數值字元,還是混合數值和其他字元。

    • 裝置預設 值 - 若要評估密碼合規性,請務必選取 [裝置預設值] 以外的密碼強度。
    • 低安全性生物特徵辨識
    • 至少數值
    • 數值複雜 - 不允許重複或連續的數值,例如 11111234
    • 至少字母
    • 至少是英數位元
    • 至少有具有符號的英數位元

    根據此設定的設定,可以使用下列一或多個選項:

    • 密碼長度下限
      輸入使用者密碼必須擁有的位數或字元數下限。

    • 在需要密碼之前,閑置最長分鐘數
      在用戶必須重新輸入其密碼之前,請輸入空閒時間。 當您選擇 [ 未設定 (預設) 時,不會評估此設定是否符合合規性。

    • 密碼到期前的天數
      選取密碼到期的天數,用戶必須建立新的密碼。

    • 防止重複使用的先前密碼數目
      輸入無法重複使用的最近密碼數目。 使用此設定可限制使用者建立先前使用的密碼。

後續步驟