Gerätekonformitätseinstellungen für Android Enterprise in Intune

  • Artikel

In diesem Artikel werden die verschiedenen Konformitätseinstellungen aufgeführt und beschrieben, die Sie auf Android Enterprise-Geräten in Intune konfigurieren können. Verwenden Sie im Rahmen Ihrer Mdm-Lösung (Mobile Device Management, Verwaltung mobiler Geräte) diese Einstellungen, um gerootete Geräte als nicht konform zu kennzeichnen, eine zulässige Bedrohungsstufe festzulegen, Google Play Protect zu aktivieren und vieles mehr.

Diese Funktion gilt für:

  • Android für Unternehmen

Verwenden Sie als Intune Administrator diese Konformitätseinstellungen, um Ihre Organisationsressourcen zu schützen. Weitere Informationen zu Konformitätsrichtlinien und deren Funktionsweise finden Sie unter Erste Schritte mit der Gerätekonformität.

Wichtig

Android-Konformitätsrichtlinien sollten nur auf Gruppen von Geräten und nicht auf Benutzer ausgerichtet sein. Konformitätsrichtlinien werden anhand des Geräts ausgewertet und spiegeln den Konformitätszustand in Intune entsprechend wider. Damit sich Benutzer auf dedizierten Geräten bei Ressourcen anmelden können, die durch Richtlinien für bedingten Zugriff geschützt sind, sollten Sie dedizierte Android Enterprise-Geräte mit Microsoft Entra Modus für gemeinsam genutzte Geräte verwenden.

Auf dedizierten Android Enterprise-Geräten, die ohne Microsoft Entra Modus für gemeinsam genutzte Geräte registriert sind, können sich Benutzer des Geräts nicht bei Ressourcen anmelden, die durch Richtlinien für bedingten Zugriff geschützt sind, auch wenn das Gerät in Intune kompatibel ist. Weitere Informationen zum Modus für gemeinsam genutzte Geräte finden Sie unter Übersicht über den Modus für gemeinsam genutzte Geräte in der Microsoft Entra Dokumentation.

Bevor Sie beginnen:

Erstellen Sie eine Gerätekonformitätsrichtlinie , um auf verfügbare Einstellungen zuzugreifen. Wählen Sie Android Enterprise als Plattform aus.

Vollständig verwaltetes, dediziertes und unternehmenseigenes Arbeitsprofil

In diesem Abschnitt werden die Konformitätsprofileinstellungen beschrieben, die für vollständig verwaltete Geräte, dedizierte Geräte und unternehmenseigene Geräte mit Arbeitsprofilen verfügbar sind. Zu den Einstellungskategorien gehören:

  • Microsoft Defender für Endpunkt
  • Geräteintegrität
  • Geräteeigenschaften
  • Systemsicherheit

Microsoft Defender für Endpunkt

  • Erfordern, dass das Gerät höchstens das angegebene Computerrisiko aufweist

    Wählen Sie die maximal zulässige Computerrisikobewertung für Geräte aus, die von Microsoft Defender for Endpoint ausgewertet werden. Geräte, die diese Bewertung überschreiten, werden als nicht konform markiert.

    • Nicht konfiguriert (Standard)
    • Clear
    • Niedrig
    • Mittel
    • High

Hinweis

Microsoft Defender for Endpoint werden möglicherweise nicht für alle Android Enterprise-Registrierungstypen unterstützt. Erfahren Sie mehr darüber, welche Szenarien unterstützt werden.

Geräteintegrität

  • Anfordern, dass das Gerät höchstens der angegebenen Gerätebedrohungsstufe entspricht
    Wählen Sie die maximal zulässige Geräte-Bedrohungsstufe aus, die von Ihrem mobilen Threat Defense-Dienst ausgewertet wird. Geräte, die diese Bedrohungsstufe überschreiten, werden als nicht konform markiert. Um diese Einstellung zu verwenden, wählen Sie die zulässige Bedrohungsstufe aus:

    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Gesichert : Diese Option ist die sicherste und bedeutet, dass das Gerät keine Bedrohungen aufweisen kann. Wenn das Gerät mit einer Bedrohungsstufe erkannt wird, wird es als nicht konform ausgewertet.
    • Niedrig: Das Gerät wird als konform ausgewertet, wenn nur Bedrohungen auf niedriger Ebene vorhanden sind. Durch Bedrohungen höherer Stufen wird das Gerät in einen nicht kompatiblen Status versetzt.
    • Mittel : Das Gerät wird als konform ausgewertet, wenn die Bedrohungen, die auf dem Gerät vorhanden sind, niedrig oder mittel sind. Wenn für das Gerät allgemeine Bedrohungen erkannt werden, wird festgestellt, dass es nicht konform ist.
    • Hoch : Diese Option ist die am wenigsten sichere Option, da sie alle Bedrohungsstufen zulässt. Dies kann hilfreich sein, wenn Sie diese Lösung nur für Berichtszwecke verwenden.

Hinweis

Alle Mobile Threat Defense-Anbieter (MTD) werden in Vollständig verwalteten, dedizierten und Corporate-Owned Arbeitsprofilbereitstellungen von Android Enterprise mithilfe der App-Konfiguration unterstützt. Wenden Sie sich an Ihren MTD-Anbieter, um die genaue Konfiguration zu erhalten, die für die Unterstützung von Android Enterprise Fully Managed, Dedicated und Corporate-Owned Work Profile-Plattformen auf Intune erforderlich ist.

Google Play Protect

Wichtig

Google Play Protect funktioniert an Standorten, an denen Google Mobile Services verfügbar ist. Geräte, die in Regionen oder Ländern ausgeführt werden, in denen Google Mobile Services nicht verfügbar ist, schlagen die Auswertungen der Google Play Protect-Konformitätsrichtlinieneinstellungen fehl. Weitere Informationen finden Sie unter Verwalten von Android-Geräten, bei denen Google Mobile Services nicht verfügbar ist.

  • Integritätsbewertung wiedergeben
    Wählen Sie den Typ der Integritätsprüfungen aus, die Geräte bestehen müssen, um die Konformität zu gewährleisten. Intune wertet das Integritätsurteil von Play aus, um die Konformität zu bestimmen. Folgende Optionen sind verfügbar:

    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Grundlegende Integrität überprüfen: Geräte müssen die grundlegende Integritätsprüfung von Play bestehen.
    • Grundlegende Integrität & Geräteintegrität überprüfen: Geräte müssen die grundlegende Integritätsprüfung und die Geräteintegritätsprüfung von Play bestehen.

  • Überprüfen einer starken Integrität mithilfe von hardwaregestützten Sicherheitsfeatures
    Optional können Sie verlangen, dass Geräte eine starke Integritätsprüfung bestehen. Diese Einstellung ist nur verfügbar, wenn Sie grundlegende Integritätsprüfungen oder Geräteintegritätsprüfungen erfordern. Folgende Optionen sind verfügbar:

    • Nicht konfiguriert (Standardeinstellung): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet. Intune bewertet standardmäßig das Urteil aus der grundlegenden Integritätsprüfung.
    • Überprüfen der starken Integrität : Geräte müssen die starke Integritätsprüfung von Play bestehen. Nicht alle Geräte unterstützen diese Art von Überprüfung. Intune markiert solche Geräte als nicht konform.

    Weitere Informationen zu den Integritätsdiensten von Google Play finden Sie in dieser Android-Entwicklerdokumentation:

Geräteeigenschaften

Betriebssystemversion

  • Minimales Release des Betriebssystems
    Wenn ein Gerät die Mindestanforderung für die Betriebssystemversion nicht erfüllt, wird es als nicht konform gemeldet. Gerätebenutzern wird ein Link mit Informationen zum Upgrade ihres Betriebssystems angezeigt. Sie können ihr Gerät aktualisieren und dann auf organization Ressourcen zugreifen.

    Standardmäßig ist keine Version konfiguriert.

  • Maximales Release des Betriebssystems
    Wenn ein Gerät eine höhere Betriebssystemversion als die Version in der Regel verwendet, wird der Zugriff auf organization Ressourcen blockiert. Der Benutzer wird aufgefordert, sich an seinen IT-Administrator zu wenden. Bis eine Regel geändert wird, um die Betriebssystemversion zuzulassen, kann dieses Gerät nicht auf organization Ressourcen zugreifen.

    Standardmäßig ist keine Version konfiguriert.

  • Mindestens erforderliche Sicherheitspatchebene
    Wählen Sie die älteste Sicherheitspatchebene aus, die ein Gerät haben kann. Geräte, die sich nicht mindestens auf dieser Patchebene befinden, sind nicht konform. Das Datum muss im Format JJJJ-MM-TT eingegeben werden.

    Standardmäßig ist kein Datum konfiguriert.

Systemsicherheit

  • Erfordern eines Kennworts zum Entsperren von Mobilgeräten

    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Erforderlich : Benutzer müssen ein Kennwort eingeben, bevor sie auf ihr Gerät zugreifen können.

  • Geforderter Kennworttyp
    Wählen Sie aus, ob ein Kennwort nur numerische Zeichen oder eine Mischung aus Ziffern und anderen Zeichen enthalten soll. Folgende Optionen sind verfügbar:

    • Gerätestandard : Um die Kennwortkonformität zu bewerten, stellen Sie sicher, dass Sie eine andere Kennwortstärke als Gerätestandard auswählen. Das Betriebssystem erfordert möglicherweise standardmäßig kein Gerätekennwort, daher ist es besser, einen anderen Kennworttyp auszuwählen, um eine bessere Kontrolle und Konsistenz auf allen Geräten zu erzielen.
    • Kennwort erforderlich, keine Einschränkungen
    • Schwache biometrische Daten : Weitere Informationen zu diesem Kennworttyp finden Sie unter Starke und schwache Biometrie (öffnet Android-Entwicklerblog).
    • Numerisch (Standard): Das Kennwort darf nur Zahlen sein, z. B 123456789. .
    • Numerisch komplex : Wiederholte oder aufeinanderfolgende Ziffern wie 1111 oder 1234sind nicht zulässig.
    • Alphabetisch : Buchstaben im Alphabet sind erforderlich. Zahlen und Symbole sind nicht erforderlich.
    • Alphanumerisch : Enthält Großbuchstaben, Kleinbuchstaben und numerische Zeichen.
    • Alphanumerisch mit Symbolen : Enthält Großbuchstaben, Kleinbuchstaben, numerische Zeichen, Satzzeichen und Symbole.

    Andere Einstellungen variieren je nach Kennworttyp. Die folgenden Einstellungen werden ggf. angezeigt:

    • Minimale Kennwortlänge
      Geben Sie die Mindestlänge des Kennworts zwischen 4 und 16 Zeichen ein.

    • Anzahl der erforderlichen Zeichen
      Geben Sie die Anzahl der Zeichen ein, die das Kennwort aufweisen muss, zwischen 0 und 16 Zeichen.

    • Anzahl erforderlicher Kleinbuchstaben
      Geben Sie die Anzahl der Kleinbuchstaben ein, die das Kennwort aufweisen muss, zwischen 0 und 16 Zeichen.

    • Anzahl erforderlicher Großbuchstaben
      Geben Sie die Anzahl von Großbuchstaben ein, die das Kennwort aufweisen muss, zwischen 0 und 16 Zeichen.

    • Anzahl der erforderlichen Zeichen ohne Buchstaben
      Geben Sie die Anzahl der Nicht-Buchstaben (außer Buchstaben im Alphabet) ein, die das Kennwort zwischen 0 und 16 Zeichen enthalten muss.

    • Anzahl der erforderlichen numerischen Zeichen
      Geben Sie die Anzahl der numerischen Zeichen (1, 2, 3usw.) ein, die das Kennwort zwischen 0 und 16 Zeichen enthalten muss.

    • Anzahl der erforderlichen Symbolzeichen
      Geben Sie die Anzahl der Symbolzeichen (&, #, %usw.) ein, die das Kennwort zwischen 0 und 16 Zeichen enthalten muss.

    • Maximaler Zeitraum der Inaktivität (in Minuten) bis zur Anforderung eines Kennworts
      Geben Sie die Leerlaufzeit ein, bevor der Benutzer sein Kennwort erneut eingeben muss. Die Optionen umfassen die Standardeinstellung Nicht konfiguriert und von 1 Minute bis 8 Stunden.

    • Anzahl von Tagen bis zum Kennwortablauf
      Geben Sie die Anzahl der Tage zwischen 1 und 365 ein, bis das Gerätekennwort geändert werden muss. Wenn Sie beispielsweise nach 60 Tagen eine Kennwortänderung anfordern möchten, geben Sie ein 60. Wenn das Kennwort abläuft, werden Benutzer aufgefordert, ein neues Kennwort zu erstellen.

      Standardmäßig ist kein Wert konfiguriert.

    • Anzahl erforderlicher Kennwörter, bevor ein Benutzer ein Kennwort wiederverwenden kann
      Geben Sie zwischen 1 und 24 die Anzahl der zuletzt verwendeten Kennwörter ein, die nicht wiederverwendet werden können. Verwenden Sie diese Einstellung, um zu verhindern, dass der Benutzer zuvor verwendete Kennwörter erstellt.

      Standardmäßig ist keine Version konfiguriert.

Verschlüsselung

  • Verschlüsselung des Datenspeichers auf dem Gerät erforderlich

    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Erforderlich : Verschlüsseln Sie den Datenspeicher auf Ihren Geräten.

    Sie müssen diese Einstellung nicht konfigurieren, da Android Enterprise-Geräte die Verschlüsselung erzwingen.

Gerätesicherheit

  • Laufzeitintegrität der Intune-App
    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Erforderlich : Verschlüsseln Sie den Datenspeicher auf Ihren Geräten.

Persönliches Arbeitsprofil

In diesem Abschnitt werden die Konformitätsprofileinstellungen beschrieben, die für persönliche Geräte verfügbar sind, die mit Arbeitsprofilen registriert werden. Zu den Einstellungskategorien gehören:

  • Microsoft Defender für Endpunkt
  • Geräteintegrität
  • Geräteeigenschaften
  • Systemsicherheit

Microsoft Defender for Endpoint - für persönliches Arbeitsprofil

  • Erfordern, dass das Gerät höchstens das angegebene Computerrisiko aufweist
    Wählen Sie die maximal zulässige Computerrisikobewertung für Geräte aus, die von Microsoft Defender for Endpoint ausgewertet werden. Geräte, die diese Bewertung überschreiten, werden als nicht konform markiert.
    • Nicht konfiguriert (Standard)
    • Clear
    • Niedrig
    • Mittel
    • High

Geräteintegrität – für persönliches Arbeitsprofil

  • Gerät mit Rootzugriff

    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Blockieren : Markieren Sie geräte mit Rootzugriff als nicht konform.

  • Anfordern, dass das Gerät höchstens der angegebenen Gerätebedrohungsstufe entspricht
    Wählen Sie die maximal zulässige Geräte-Bedrohungsstufe aus, die von Ihrem mobilen Threat Defense-Dienst ausgewertet wird. Geräte, die diese Bedrohungsstufe überschreiten, werden als nicht konform markiert. Um diese Einstellung zu verwenden, wählen Sie die zulässige Bedrohungsstufe aus:

    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Gesichert : Diese Option ist die sicherste und bedeutet, dass das Gerät keine Bedrohungen aufweisen kann. Wenn das Gerät mit einer Bedrohungsstufe erkannt wird, wird es als nicht konform ausgewertet.
    • Niedrig : Das Gerät wird als konform bewertet, wenn nur Bedrohungen auf niedriger Ebene vorhanden sind. Durch Bedrohungen höherer Stufen wird das Gerät in einen nicht kompatiblen Status versetzt.
    • Mittel : Das Gerät wird als konform ausgewertet, wenn die Bedrohungen, die auf dem Gerät vorhanden sind, niedrig oder mittel sind. Wenn für das Gerät allgemeine Bedrohungen erkannt werden, wird festgestellt, dass es nicht konform ist.
    • Hoch : Diese Option ist die am wenigsten sichere Option, da sie alle Bedrohungsstufen zulässt. Dies kann hilfreich sein, wenn Sie diese Lösung nur für Berichtszwecke verwenden.

Google Play Protect – für persönliches Arbeitsprofil

Wichtig

Google Play Protect funktioniert an Standorten, an denen Google Mobile Services verfügbar ist. Geräte, die in Regionen oder Ländern ausgeführt werden, in denen Google Mobile Services nicht verfügbar ist, schlagen die Auswertungen der Google Play Protect-Konformitätsrichtlinieneinstellungen fehl. Weitere Informationen finden Sie unter Verwalten von Android-Geräten, bei denen Google Mobile Services nicht verfügbar ist.

  • Google Play Services ist konfiguriert

    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Erforderlich : Erfordert, dass die Google Play-Dienst-App installiert und aktiviert ist. Die Google Play-Dienst-App ermöglicht Sicherheitsupdates und ist eine Abhängigkeit auf Basisebene für viele Sicherheitsfeatures auf zertifizierten Google-Geräten.

  • Aktueller Sicherheitsanbieter

    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Erforderlich : Erfordert, dass ein aktueller Sicherheitsanbieter ein Gerät vor bekannten Sicherheitsrisiken schützen kann.

  • Integritätsbewertung wiedergeben
    Wählen Sie den Typ der Integritätsprüfungen aus, die Geräte bestehen müssen, um die Konformität zu gewährleisten. Intune wertet das Integritätsurteil von Play aus, um die Konformität zu bestimmen. Folgende Optionen sind verfügbar:

    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Grundlegende Integrität überprüfen: Geräte müssen die grundlegende Integritätsprüfung von Play bestehen.
    • Grundlegende Integrität & Geräteintegrität überprüfen: Geräte müssen die grundlegende Integritätsprüfung und die Geräteintegritätsprüfung von Play bestehen.

  • Überprüfen einer starken Integrität mithilfe von hardwaregestützten Sicherheitsfeatures
    Optional können Sie verlangen, dass Geräte eine starke Integritätsprüfung bestehen. Diese Einstellung ist nur verfügbar, wenn Sie grundlegende Integritätsprüfungen oder Geräteintegritätsprüfungen erfordern. Folgende Optionen sind verfügbar:

    • Nicht konfiguriert (Standardeinstellung): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet. Intune wertet standardmäßig die grundlegende Integritätsprüfung aus.
    • Überprüfen der starken Integrität : Geräte müssen die starke Integritätsprüfung von Play bestehen. Nicht alle Geräte unterstützen diese Art von Überprüfung. Intune markiert solche Geräte als nicht konform.

    Weitere Informationen zu den Integritätsdiensten von Google Play finden Sie in dieser Android-Entwicklerdokumentation:

Tipp

Intune verfügt auch über eine Richtlinie, die Play Protect erfordert, um installierte Apps auf Bedrohungen zu überprüfen. Sie können diese Einstellung in einer Android Enterprise-Gerätekonfigurationsrichtlinie unter Geräteeinschränkung>Systemsicherheit konfigurieren. Weitere Informationen finden Sie unter Einstellungen für Android Enterprise-Geräteeinschränkung.

Geräteeigenschaften – für persönliches Arbeitsprofil

Betriebssystemversion – für persönliches Arbeitsprofil

  • Minimales Release des Betriebssystems
    Wenn ein Gerät die Mindestanforderung für die Betriebssystemversion nicht erfüllt, wird es als nicht konform gemeldet. Gerätebenutzern wird ein Link mit Informationen zum Upgrade ihres Betriebssystems angezeigt. Sie können ihr Gerät aktualisieren und dann auf organization Ressourcen zugreifen.

    Standardmäßig ist keine Version konfiguriert.

  • Maximales Release des Betriebssystems
    Wenn ein Gerät eine höhere Betriebssystemversion als die Version in der Regel verwendet, wird der Zugriff auf organization Ressourcen blockiert. Der Benutzer wird aufgefordert, sich an seinen IT-Administrator zu wenden. Bis eine Regel geändert wird, um die Betriebssystemversion zuzulassen, kann dieses Gerät nicht auf organization Ressourcen zugreifen.

    Standardmäßig ist keine Version konfiguriert.

Systemsicherheit – für persönliches Arbeitsprofil

Verschlüsselung für persönliches Arbeitsprofil

  • Verschlüsselung des Datenspeichers auf dem Gerät erforderlich

    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Erforderlich : Verschlüsseln Sie den Datenspeicher auf Ihren Geräten.

    Sie müssen diese Einstellung nicht konfigurieren, da Android Enterprise-Geräte die Verschlüsselung erzwingen.

Gerätesicherheit – für persönliches Arbeitsprofil

  • Apps von unbekannten Quellen blockieren

    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Blockieren : Blockieren Sie Geräte mit Quellen, die für die Sicherheit>unbekannter Quellen aktiviert sind (unterstützt unter Android 4.0 bis Android 7.x. Nicht unterstützt von Android 8.0 und höher).

    Zum Querladen von Apps müssen unbekannte Quellen zulässig sein. Wenn Sie Android-Apps nicht querladen, legen Sie dieses Feature auf Blockieren fest, um diese Konformitätsrichtlinie zu aktivieren.

    Wichtig

    Beim Querladen von Anwendungen muss die Einstellung Apps aus unbekannten Quellen blockieren aktiviert sein. Erzwingen Sie diese Konformitätsrichtlinie nur, wenn Sie Android-Apps auf Geräten nicht querladen.

    Sie müssen diese Einstellung nicht konfigurieren, da Android Enterprise-Geräte die Installation immer aus unbekannten Quellen einschränken.

  • Laufzeitintegrität der Unternehmensportal-App

    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Erforderlich: Wählen Sie Erforderlich aus, um zu bestätigen, dass die Unternehmensportal App alle folgenden Anforderungen erfüllt:
      • Hat die Standardlaufzeitumgebung installiert
      • Ist ordnungsgemäß signiert
      • Befindet sich nicht im Debugmodus
      • Wird aus einer bekannten Quelle installiert.

  • USB-Debugging auf Gerät blockieren

    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Blockieren : Verhindert, dass Geräte das USB-Debugfeature verwenden.

    Sie müssen diese Einstellung nicht konfigurieren, da das USB-Debuggen auf Android Enterprise-Geräten bereits deaktiviert ist.

  • Mindestens erforderliche Sicherheitspatchebene
    Wählen Sie die älteste Sicherheitspatchebene aus, die ein Gerät haben kann. Geräte, die sich nicht mindestens auf dieser Patchebene befinden, sind nicht konform. Das Datum muss im Format JJJJ-MM-TT eingegeben werden.

    Standardmäßig ist kein Datum konfiguriert.

  • Erfordern eines Kennworts zum Entsperren von Mobilgeräten

    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Erforderlich : Benutzer müssen ein Kennwort eingeben, bevor sie auf ihr Gerät zugreifen können.

    Diese Einstellung gilt auf Geräteebene. Wenn Sie nur ein Kennwort auf Arbeitsprofilebene benötigen, verwenden Sie eine Konfigurationsrichtlinie. Weitere Informationen finden Sie unter Android Enterprise-Gerätekonfigurationseinstellungen.

Wichtig

Wenn ein persönliches Arbeitsprofil aktiviert ist, werden die Kennungen für Geräte- und Arbeitsprofil standardmäßig kombiniert, sodass an beiden Stellen dieselbe Kennung verwendet wird. Intune erzwingt die höhere Komplexitätsstufe der beiden. Der Gerätebenutzer kann zwei separate Kennungen verwenden, wenn er zu den Einstellungen des Arbeitsprofils wechselt und die Option Eine Sperre verwenden aufzuheben. Um sicherzustellen, dass Gerätebenutzer bei der Registrierung zwei separate Kennungen verwenden, erstellen Sie ein Gerätekonfigurationsprofil, das Gerätebenutzer daran hindert, eine Sperre zu verwenden.

  1. Erstellen Sie im Admin Center ein Gerätekonfigurationsprofil.
  2. Wählen Sie unter Profiltyp die Option Geräteeinschränkungen aus.
  3. Erweitern Sie Arbeitsprofileinstellungen , und wechseln Sie zu Arbeitsprofilkennwort>Alle Android-Geräte.
  4. Suchen Sie die Einschränkung One lock for device and work profile (Einschränkung One lock for device and work profile). Wählen Sie Blockieren aus.
Alle Android-Geräte – Gerätesicherheit

  • Anzahl von Tagen bis zum Kennwortablauf
    Geben Sie die Anzahl der Tage zwischen 1 und 365 ein, bis das Gerätekennwort geändert werden muss. Wenn Sie beispielsweise nach 60 Tagen eine Kennwortänderung anfordern möchten, geben Sie ein 60. Wenn das Kennwort abläuft, werden Benutzer aufgefordert, ein neues Kennwort zu erstellen.

  • Anzahl vorheriger Kennwörter, deren Wiederverwendung verhindert wird
    Verwenden Sie diese Einstellung, um zu verhindern, dass Benutzer alte Kennwörter wiederverwenden. Geben Sie zwischen 1 und 24 die Anzahl der Kennwörter ein, die sie nicht wiederverwenden können. Geben Sie beispielsweise ein 5 , damit Benutzer keines ihrer letzten fünf Kennwörter wiederverwenden können. Wenn der Wert leer ist, ändert oder aktualisiert Intune diese Einstellung nicht.

  • Maximaler Zeitraum der Inaktivität (in Minuten) bis zur Anforderung eines Kennworts
    Geben Sie die maximal zulässige Leerlaufzeit von 1 Minute bis 8 Stunden ein. Nach dieser Zeit muss der Benutzer sein Kennwort erneut eingeben, um wieder auf sein Gerät zu gelangen. Wenn Sie Nicht konfiguriert (Standard) auswählen, wird diese Einstellung nicht auf Konformität oder Nichtkonformität ausgewertet.

Android 12 und höher – Gerätesicherheit

  • Kennwortkomplexität
    Wählen Sie die Kennwortkomplexitätsanforderungen für Geräte mit Android 12 und höher aus. Folgende Optionen sind verfügbar:

    • Keine : Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Niedrig : Muster oder PINs mit sich wiederholenden (4444) oder sortierten (1234, 4321, 2468) Sequenzen sind zulässig.
    • Mittel : Die Länge, die alphabetische Länge oder die alphanumerische Länge muss mindestens 4 Zeichen umfassen. PINs mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen werden blockiert.
    • Hoch : Die Länge muss mindestens 8 Zeichen betragen. Die alphabetische oder alphanumerische Länge muss mindestens 6 Zeichen lang sein. PINs mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen werden blockiert.

    Diese Einstellung wirkt sich auf zwei Kennwörter auf dem Gerät aus:

    • Das Gerätekennwort, das das Gerät entsperrt.
    • Das Arbeitsprofilkennwort, mit dem Benutzer auf das Arbeitsprofil zugreifen können.

    Wenn die Komplexität des Gerätekennworts zu gering ist, wird das Gerätekennwort automatisch geändert, um eine hohe Komplexität zu erfordern. Endbenutzer müssen das Gerätekennwort aktualisieren, um die Komplexitätsanforderungen zu erfüllen. Wenn sie sich dann beim Arbeitsprofil anmelden, werden sie aufgefordert, ihr Arbeitsprofilkennwort so zu aktualisieren, dass es der Komplexitätsstufe entspricht, die Sie unterSicherheitskennwortkomplexität des Arbeitsprofils> konfigurieren.

    Wichtig

    Bevor die Einstellung Kennwortkomplexität verfügbar war, wurden die Einstellungen Erforderlicher Kennworttyp und Minimale Kennwortlänge verwendet. Diese Einstellungen sind weiterhin verfügbar, aber Google hat sie für persönliche Geräte mit einem Arbeitsprofil als veraltet gekennzeichnet.

    Folgendes müssen Sie wissen:

    • Wenn die Einstellung Erforderlicher Kennworttyp vom Standardwert Gerät in einer Richtlinie geändert wird, gehen Sie wie folgt vor:

      • Neu registrierte Android Enterprise 12+ Geräte verwenden automatisch die Einstellung Kennwortkomplexität mit hoher Komplexität. Wenn Sie also keine hohe Kennwortkomplexität wünschen, erstellen Sie eine neue Richtlinie für Android Enterprise 12+-Geräte, und konfigurieren Sie die Einstellung Kennwortkomplexität .

      • Vorhandene Android Enterprise 12+ Geräte verwenden weiterhin die Einstellung Erforderlicher Kennworttyp und den vorhandenen konfigurierten Wert.

        Wenn Sie eine vorhandene Richtlinie mit der Einstellung Erforderlicher Kennworttyp ändern, die bereits konfiguriert ist, verwenden Android Enterprise 12+-Geräte automatisch die Einstellung Kennwortkomplexität mit der Einstellung Hohe Komplexität.

        Für Android Enterprise 12+ Geräte wird empfohlen, die Einstellung Kennwortkomplexität zu konfigurieren.

    • Wenn die Einstellung Erforderlicher Kennworttyp nicht vom Standardwert Gerät in einer Richtlinie geändert wird, wird automatisch keine Kennwortrichtlinie auf neu registrierte Android Enterprise 12+-Geräte angewendet.

Android 11 und früher – Gerätesicherheit

Wichtig

Google hat die Einstellungen Erforderlicher Kennworttyp und Minimale Kennwortlänge für Android 12 und höher als veraltet gekennzeichnet. Verwenden Sie anstelle dieser Einstellungen die Einstellung für die Kennwortkomplexität unter Android 12 und höher. Wenn Sie die veralteten Einstellungen weiterhin verwenden, ohne die Einstellung für die Kennwortkomplexität zu konfigurieren, wird bei neuen Geräten mit Android 12 oder höher standardmäßig eine hohe Kennwortkomplexität verwendet. Weitere Informationen zu dieser Änderung und deren Auswirkungen auf Kennwörter auf neuen und vorhandenen Geräten finden Sie unter Android 12 und höher – Gerätesicherheit in diesem Artikel.

  • Geforderter Kennworttyp
    Wählen Sie aus, ob ein Kennwort nur numerische Zeichen oder eine Mischung aus Ziffern und anderen Zeichen enthalten soll. Folgende Optionen sind verfügbar:

    • Gerätestandard: Um die Kennwortkonformität zu bewerten, stellen Sie sicher, dass Sie eine andere Kennwortstärke als Gerätestandard auswählen. Das Betriebssystem erfordert möglicherweise standardmäßig kein Gerätekennwort, daher ist es besser, einen anderen Kennworttyp auszuwählen, um eine bessere Kontrolle und Konsistenz auf allen Geräten zu erzielen.
    • Biometrie mit geringer Sicherheit: Weitere Informationen zu diesem Kennworttyp finden Sie unter Starke und schwache Biometrie (öffnet Android-Entwicklerblog).
    • Mindestens numerisch (Standard): Erfordert numerische Zeichen, z 123456789. B. .
    • Numerisch komplex: Wiederholte oder aufeinanderfolgende Ziffern wie 1111 oder 1234sind nicht zulässig. Geben Sie außerdem Folgendes ein:
    • Mindestens alphabetisch: Erfordert Buchstaben aus dem Alphabet. Zahlen und Symbole sind nicht erforderlich. Geben Sie außerdem Folgendes ein:
    • Mindestens alphanumerisch: Erfordert Großbuchstaben, Kleinbuchstaben und numerische Zeichen.
    • Mindestens alphanumerisch mit Symbolen: Erfordert Großbuchstaben, Kleinbuchstaben, Numerische Zeichen, Satzzeichen und Symbole.

  • Minimale Kennwortlänge
    Diese Einstellung wird für bestimmte Kennworttypen angezeigt. Geben Sie die erforderliche Mindestanzahl von Zeichen zwischen 4 und 16 Zeichen ein.

Sicherheit des Arbeitsprofils – für persönliches Arbeitsprofil

Wenn Sie keine Kennwortanforderungen konfigurieren, ist die Verwendung eines Arbeitsprofilkennworts optional und muss den Benutzern überlassen werden.

  • Anfordern eines Kennworts zum Entsperren des Arbeitsprofils
    Gerätebenutzer müssen über ein kennwortgeschütztes Arbeitsprofil verfügen. Folgende Optionen sind verfügbar:
    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Erforderlich : Benutzer müssen ein Kennwort eingeben, um auf ihr Arbeitsprofil zugreifen zu können.
Alle Android-Geräte – Arbeitsprofilsicherheit

  • Anzahl von Tagen bis zum Kennwortablauf
    Geben Sie die Anzahl der Tage zwischen 1 und 365 ein, bis das Arbeitsprofilkennwort geändert werden muss. Wenn Sie beispielsweise nach 60 Tagen eine Kennwortänderung anfordern möchten, geben Sie ein 60. Wenn das Kennwort abläuft, werden Benutzer aufgefordert, ein neues Kennwort zu erstellen.

  • Anzahl vorheriger Kennwörter, deren Wiederverwendung verhindert wird
    Verwenden Sie diese Einstellung, um zu verhindern, dass Benutzer alte Kennwörter wiederverwenden. Geben Sie zwischen 1 und 24 die Anzahl der Kennwörter ein, die sie nicht wiederverwenden können. Geben Sie beispielsweise 5 ein, damit Benutzer keines ihrer letzten fünf Kennwörter wiederverwenden können. Wenn der Wert leer ist, ändert oder aktualisiert Intune diese Einstellung nicht.

  • Maximaler Zeitraum der Inaktivität (in Minuten) bis zur Anforderung eines Kennworts
    Geben Sie die maximal zulässige Leerlaufzeit von 1 Minute bis 8 Stunden ein. Nach dieser Zeit muss der Benutzer sein Kennwort erneut eingeben, um wieder in sein Arbeitsprofil zu gelangen. Wenn Sie Nicht konfiguriert (Standard) auswählen, wird diese Einstellung nicht auf Konformität oder Nichtkonformität ausgewertet.

Android 12 und höher: Sicherheit des Arbeitsprofils

  • Kennwortkomplexität
    Wählen Sie die Kennwortkomplexitätsanforderung für Arbeitsprofile auf Geräten mit Android 12 und höher aus. Folgende Optionen sind verfügbar:

    • Keine : Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Niedrig : Ein Muster oder eine PIN mit wiederholten (4444) oder sortierten (1234, 4321, 2468) Sequenzen sind zulässig.
    • Mittel : Die Länge, die alphabetische Länge oder die alphanumerische Länge muss mindestens 4 Zeichen umfassen. PINs mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen werden blockiert.
    • Hoch : Die Länge muss mindestens 8 Zeichen betragen. Die alphabetische oder alphanumerische Länge muss mindestens 6 Zeichen lang sein. PINs mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen werden blockiert.

    Diese Einstellung wirkt sich auf zwei Kennwörter auf dem Gerät aus:

    • Das Gerätekennwort, das das Gerät entsperrt.
    • Das Arbeitsprofilkennwort, mit dem Benutzer auf das Arbeitsprofil zugreifen können.

    Wenn die Komplexität des Gerätekennworts zu gering ist, wird das Gerätekennwort automatisch geändert, um eine hohe Komplexität zu erfordern. Endbenutzer müssen das Gerätekennwort aktualisieren, um die Komplexitätsanforderungen zu erfüllen. Wenn sie sich dann beim Arbeitsprofil anmelden, werden sie aufgefordert, ihr Arbeitsprofilkennwort entsprechend der hier konfigurierten Komplexität zu aktualisieren.

    Wichtig

    Bevor die Einstellung Kennwortkomplexität verfügbar war, wurden die Einstellungen Erforderlicher Kennworttyp und Minimale Kennwortlänge verwendet. Diese Einstellungen sind weiterhin verfügbar, aber Google hat sie für persönliche Geräte mit einem Arbeitsprofil inzwischen als veraltet gekennzeichnet.

    Folgendes müssen Sie wissen:

    • Wenn die Einstellung Erforderlicher Kennworttyp vom Standardwert Gerät in einer Richtlinie geändert wird, gehen Sie wie folgt vor:

      • Neu registrierte Android Enterprise 12+ Geräte verwenden automatisch die Einstellung Kennwortkomplexität mit hoher Komplexität. Wenn Sie also keine hohe Kennwortkomplexität wünschen, erstellen Sie eine neue Richtlinie für Android Enterprise 12+-Geräte, und konfigurieren Sie die Einstellung Kennwortkomplexität .

      • Vorhandene Android Enterprise 12+ Geräte verwenden weiterhin die Einstellung Erforderlicher Kennworttyp und den vorhandenen konfigurierten Wert.

        Wenn Sie eine vorhandene Richtlinie mit der Einstellung Erforderlicher Kennworttyp ändern, die bereits konfiguriert ist, verwenden Android Enterprise 12+-Geräte automatisch die Einstellung Kennwortkomplexität mit der Einstellung Hohe Komplexität.

        Für Android Enterprise 12+ Geräte wird empfohlen, die Einstellung Kennwortkomplexität zu konfigurieren.

    • Wenn die Einstellung Erforderlicher Kennworttyp nicht vom Standardwert Gerät in einer Richtlinie geändert wird, wird automatisch keine Kennwortrichtlinie auf neu registrierte Android Enterprise 12+-Geräte angewendet.

Android 11 und früher: Sicherheit des Arbeitsprofils

Diese Kennworteinstellungen gelten für Geräte mit Android 11 und früheren Versionen.

Wichtig

Google hat die Einstellungen Erforderlicher Kennworttyp und Minimale Kennwortlänge für Android 12 und höher als veraltet gekennzeichnet. Verwenden Sie anstelle dieser Einstellungen die Einstellung für die Kennwortkomplexität unter Android 12 und höher. Wenn Sie die veralteten Einstellungen weiterhin verwenden, ohne die Einstellung für die Kennwortkomplexität zu konfigurieren, wird bei neuen Geräten mit Android 12 oder höher standardmäßig eine hohe Kennwortkomplexität verwendet. Weitere Informationen zu dieser Änderung und deren Auswirkungen auf Arbeitsprofilkennwörter auf neuen und vorhandenen Geräten finden Sie unter Android 12 und höher – Arbeitsprofilsicherheit in diesem Artikel.

  • Geforderter Kennworttyp
    Benutzer müssen einen bestimmten Kennworttyp verwenden. Folgende Optionen sind verfügbar:
    • Gerätestandard : Um die Kennwortkonformität zu bewerten, stellen Sie sicher, dass Sie eine andere Kennwortstärke als Gerätestandard auswählen. Das Betriebssystem erfordert möglicherweise standardmäßig kein Arbeitsprofilkennwort, daher ist es besser, einen anderen Kennworttyp auszuwählen, um eine bessere Kontrolle und Konsistenz auf allen Geräten zu erzielen.
    • Biometrie mit geringer Sicherheit: Weitere Informationen zu diesem Kennworttyp finden Sie unter Starke und schwache Biometrie (öffnet Android-Entwicklerblog).
    • Mindestens numerisch (Standard): Erfordert numerische Zeichen, z 123456789. B. .
    • Numerisch komplex: Wiederholte oder aufeinanderfolgende Ziffern wie 1111 oder 1234sind nicht zulässig.
    • Mindestens alphabetisch: Erfordert Buchstaben aus dem Alphabet. Zahlen und Symbole sind nicht erforderlich.
    • Mindestens alphanumerisch: Erfordert Großbuchstaben, Kleinbuchstaben und numerische Zeichen.
    • Mindestens alphanumerisch mit Symbolen: Erfordert Großbuchstaben, Kleinbuchstaben, Numerische Zeichen, Satzzeichen und Symbole.
  • Minimale Kennwortlänge
    Diese Einstellung wird für bestimmte Kennworttypen angezeigt. Geben Sie die erforderliche Mindestanzahl von Zeichen zwischen 4 und 16 Zeichen ein.

Nächste Schritte