Vollständig verwaltete Android Enterprise-Sicherheitskonfigurationen

Übernehmen Sie im Rahmen des Frameworks für die Android Enterprise-Sicherheitskonfiguration die folgenden Einstellungen für vollständig verwaltete mobile Android Enterprise-Benutzer. Weitere Informationen zu den einzelnen Richtlinieneinstellungen finden Sie unter Android Enterprise-Einstellungen, um Geräte mit Intune als konform oder nicht konform zu kennzeichnen und Android Enterprise-Geräteeinstellungen zum Zulassen oder Einschränken von Features mit Intune.

Wenn Sie Ihre Einstellungen wählen, prüfen und kategorisieren Sie Nutzungsszenarien. Konfigurieren Sie anschließend Benutzer entsprechend der Anleitung für die gewählte Sicherheitsstufe. Sie können die vorgeschlagenen Einstellungen je nach den Bedürfnissen Ihrer Organisation festlegen. Achten Sie darauf, dass Ihr Sicherheitsteam die Bedrohungsumgebung, die Risikobereitschaft und die Auswirkungen auf die Nutzbarkeit beurteilt.

Für vollständig verwaltete Unternehmensgeräte gibt es drei empfohlene Sicherheitskonfigurationsframeworks:

Administratoren können die unten erläuterten Konfigurationsstufen in ihrer Ringbereitstellungsmethodik für Test- und Produktionszwecke implementieren, indem das Beispiel für JSON-Vorlagen für das Framework für die Android Enterprise-Sicherheitskonfiguration mit PowerShell-Skripts von Intune importiert wird.

Vollständig verwaltete Standardsicherheit

Stufe 1 ist die empfohlene Mindestsicherheitskonfiguration für organisationseigene mobile Geräte.

Die Richtlinien der Stufe 1 erzwingen einen angemessenen Zugriff auf Datenebene bei gleichzeitiger Minimierung der Auswirkungen auf Benutzer. Dies erfolgt durch Erzwingen von Kennwortrichtlinien, einer Mindestversion des Betriebssystems, bewertung der Wiedergabeintegrität und Deaktivieren bestimmter Gerätefunktionen (z. B. USB-Dateiübertragungen).

Gerätecompliance

Zur Vereinfachung der folgenden Tabelle werden nur konfigurierte Einstellungen aufgeführt. Nicht dokumentierte Gerätekonformitätseinstellungen sind nicht konfiguriert.

Abschnitt Einstellung Wert Anmerkungen
Geräteintegrität Integritätsbewertung wiedergeben Grundlegende Integrität und zertifizierte Geräte prüfen Mit dieser Einstellung wird die Wiedergabeintegritätsbewertung auf Endbenutzergeräten konfiguriert. „Basisintegrität“ überprüft die Integrität des Geräts. Für gerootete Geräte, Emulatoren, virtuelle Geräte und Geräte, die Anzeichen von Manipulationen aufweisen, schlägt die Überprüfung der grundlegenden Integrität fehl.
Die Option „Basisintegrität und zertifizierte Geräte“ überprüft die Kompatibilität des Geräts mit Google-Diensten. Nur unveränderte Geräte, die von Google zertifiziert wurden, bestehen diese Überprüfung.
Geräteeigenschaften Minimale Version des Betriebssystems Format: Major.Minor
Beispiel: 9.0
Microsoft empfiehlt, die Mindesthauptversion für das Android-Betriebssystem so festzulegen, dass übereinstimmende unterstützte Android-Versionen von Microsoft-Apps verwendet werden können. OEMs und Geräte, die den Anforderungen für "Android Enterprise Recommended" entsprechen, müssen die aktuelle Versandversion und ein Upgrade auf die nächste Version unterstützen. Aktuell empfiehlt Android für Wissensarbeiter Android 9.0 und höher. Unter Anforderungen für "Android Enterprise Recommended" finden Sie die aktuellen Empfehlungen von Android.
Geräteeigenschaften Mindestens erforderliche Sicherheitspatchebene Nicht konfiguriert Android-Geräte können monatliche Sicherheitsupdates erhalten, aber das Release hängt von den OEMs und/oder Netzbetreibern ab. Unternehmen sollten dafür sorgen, dass bereitgestellte Android-Geräte Sicherheitsupdates erhalten, bevor diese Einstellung implementiert wird. Unter Android-Sicherheitsbulletins finden Sie die aktuellen Patchreleases.
Systemsicherheit Erfordern eines Kennworts zum Entsperren von Mobilgeräten Erforderlich
Systemsicherheit Geforderter Kennworttyp Numerisch, komplex Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Systemsicherheit Minimale Kennwortlänge 6 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Systemsicherheit Maximaler Zeitraum der Inaktivität (in Minuten) bis zur Anforderung eines Kennworts 5 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Systemsicherheit Verschlüsselung des Datenspeichers auf dem Gerät Erforderlich
Systemsicherheit Laufzeitintegrität der Intune-App Erforderlich
Aktionen bei Nichteinhaltung Gerät als nicht konform markieren Sofort Standardmäßig ist die Richtlinie so konfiguriert, dass das Gerät als nicht konform markiert wird. Weitere Aktionen sind verfügbar. Weitere Informationen finden Sie unter Konfigurieren von Aktionen für nicht konforme Geräte in Intune.

Geräteeinschränkungen

Zur Vereinfachung der folgenden Tabelle werden nur konfigurierte Einstellungen aufgeführt. Nicht dokumentierte Geräteeinschränkungen sind nicht konfiguriert.

Abschnitt Einstellung Wert Anmerkungen
Allgemein Standardberechtigungsrichtlinie Gerätestandard
Allgemein Wiederherstellung der Herstellerstandards Blockieren
Allgemein USB-Dateiübertragung Blockieren
Allgemein Externe Medien Blockieren
Allgemein Datenaustausch zwischen Arbeitsprofilen und persönlichen Profilen Gerätestandard
Systemsicherheit Bedrohungsüberprüfung für Apps Erforderlich
Benutzeroberfläche des Geräts Registrierungsprofiltyp Vollständig verwaltet
Benutzeroberfläche des Geräts Über Microsoft Launcher als Standardstartprogramm festlegen Nicht konfiguriert Unternehmen können sich für die Implementierung von Microsoft Launcher entscheiden, um eine einheitliche Startbildschirmerfahrung auf vollständig verwalteten Geräten zu gewährleisten. Weitere Informationen finden Sie im Artikel zum Einrichten von Microsoft Launcher auf vollständig verwalteten Android Enterprise-Geräten mit Intune.
Gerätekennwort Geforderter Kennworttyp Numerisch, komplex
Gerätekennwort Minimale Kennwortlänge 6
Gerätekennwort Anzahl von fehlgeschlagenen Anmeldungen, bevor das Gerät zurückgesetzt wird 10
Energieeinstellungen Zeit bis Bildschirmsperre 5
Benutzer und Konten Benutzer kann Anmeldeinformationen konfigurieren Blockieren
Anwendungen Zugriff auf alle Apps im Google Play Store zulassen Nicht konfiguriert Standardmäßig können Benutzer persönliche Apps aus dem Google Play Store nicht auf vollständig verwalteten Geräten installieren. Wenn Organisationen die Nutzung vollständig verwalteter Geräte für persönliche Zwecke zulassen möchten, erwägen Sie die Änderung dieser Einstellung.
Anwendungen Automatische App-Updates Nur WLAN Organisationen sollten diese Einstellung bei Bedarf anpassen, da bei Aktualisierungen von Apps über das Mobilfunknetz Gebühren anfallen können.
Arbeitsprofilkennwort Geforderter Kennworttyp Numerisch, komplex Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Arbeitsprofilkennwort Minimale Kennwortlänge 6 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Arbeitsprofilkennwort Anzahl von fehlgeschlagenen Anmeldungen, bevor das Gerät zurückgesetzt wird 10 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.

Vollständig verwaltete erhöhte Sicherheit

Stufe 2 ist die empfohlene Konfiguration für unternehmenseigene Geräte, auf denen Benutzer auf sensiblere Informationen zugreifen. Heutzutage sind diese Geräte in Unternehmen oftmals Angriffen ausgesetzt. Diese Einstellungen setzen keinen großen Stab hochqualifizierter Sicherheitsfachleute voraus. Daher sollten sie für die meisten Unternehmensorganisationen zugänglich sein. Diese Konfiguration baut auf der Konfiguration der Stufe 1 dahingehend auf, dass strengere Kennwortrichtlinien gelten und Funktionen für Benutzer/Konten deaktiviert werden.

Die Einstellung auf Stufe 2 umfassen alle für Stufe 1 empfohlenen Richtlinieneinstellungen. Die nachstehend aufgeführten Einstellungen sind jedoch nur diejenigen, die hinzugefügt oder geändert wurden. Diese Einstellungen haben möglicherweise eine etwas größere Auswirkung auf Benutzer oder Anwendungen. Sie erzwingen ein Sicherheitsniveau, das besser den Risiken entspricht, denen Benutzer mit Zugriff auf sensible Daten auf mobilen Geräten ausgesetzt sind.

Gerätecompliance

Abschnitt Einstellung Wert Anmerkungen
Systemsicherheit Anzahl von Tagen bis zum Kennwortablauf 365 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Systemsicherheit Anzahl erforderlicher Kennwörter, bevor ein Benutzer ein Kennwort wiederverwenden kann 5 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.

Geräteeinschränkungen

Abschnitt Einstellung Wert Anmerkungen
Allgemein E-Mail-Adressen für Schutz vor Zurücksetzung auf Werkseinstellungen E-Mail-Adressen für Google-Konto
Allgemein Liste der E-Mail-Adressen (nur Option "E-Mail-Adressen für Google-Konto") example@gmail.com Aktualisieren Sie diese Richtlinie manuell, um die Google-E-Mail-Adressen von Geräteadministratoren anzugeben, die die Geräte nach dem Zurücksetzen entsperren können.
Gerätekennwort Anzahl von Tagen bis zum Kennwortablauf 365 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Gerätekennwort Anzahl erforderlicher Kennwörter, bevor ein Benutzer ein Kennwort wiederverwenden kann 5 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Gerätekennwort Anzahl von fehlgeschlagenen Anmeldungen, bevor das Gerät zurückgesetzt wird 5
Benutzer und Konten Neue Benutzer hinzufügen Blockieren
Benutzer und Konten Entfernen von Benutzern Blockieren
Benutzer und Konten Persönliche Google-Konten Blockieren
Arbeitsprofilkennwort Anzahl erforderlicher Kennwörter, bevor ein Benutzer ein Kennwort wiederverwenden kann 5 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.

Vollständig verwaltete hohe Sicherheit

Stufe 3 ist die empfohlene Konfiguration für Folgendes:

  • Organisationen mit großen und ausgereiften Sicherheitsabteilungen
  • Bestimmte Benutzer und Gruppen, auf die Angreifer besonders abzielen Auf solche Organisationen wird oft von mit hohen finanziellen Mitteln und umfassenden Know-how ausgestatteten Angreifern abgezielt. Deshalb benötigen die zusätzlichen beschriebenen Einschränkungen und Steuerungsmöglichkeiten.

Diese Konfiguration erweitert die Stufe 2 um Folgendes:

  • Sicherstellen, dass das Gerät konform ist, indem die sichersten Microsoft Defender für Endpunkt oder Mobile Threat Defense-Stufe erzwungen wird.
  • Erhöhen der Mindestbetriebssystemversion
  • Erzwingen zusätzlicher Geräteeinschränkungen (z. B. Deaktivieren unbearbeiteter Benachrichtigungen auf dem Sperrbildschirm)
  • Anfordern, dass Apps immer auf dem neuesten Stand sein müssen

Die auf Stufe 3 erzwungenen Richtlinieneinstellungen umfassen alle für Stufe 2 empfohlenen Richtlinieneinstellungen. Die nachstehend aufgeführten Einstellungen sind nur diejenigen, die hinzugefügt oder geändert wurden. Diese Einstellungen haben möglicherweise eine erhebliche Auswirkung auf Benutzer oder Anwendungen. Sie erzwingen ein Sicherheitsniveau, das eher den Risiken entspricht, denen die anvisierten Organisationen ausgesetzt sind.

Gerätecompliance

Abschnitt Einstellung Wert Anmerkungen
Microsoft Defender für Endpunkt Erfordern, dass das Gerät höchstens das angegebene Computerrisiko aufweist Deaktivieren Diese Einstellung erfordert Microsoft Defender für Endpunkt. Weitere Informationen finden Sie unter Erzwingen der Konformität für Microsoft Defender für Endpunkt mit bedingtem Zugriff in Intune.

Kunden sollten die Implementierung von Microsoft Defender für Endpunkt oder einer Mobile Threat Defense-Lösung in Betracht ziehen. Es ist nicht erforderlich, beide bereitzustellen.

Geräteintegrität Anfordern, dass das Gerät höchstens der angegebenen Gerätebedrohungsstufe entspricht Gesichert Diese Einstellung erfordert ein Mobile Threat Defense-Produkt. Weitere Informationen finden Sie unter Mobile Threat Defense für registrierte Geräte.

Kunden sollten die Implementierung von Microsoft Defender für Endpunkt oder einer Mobile Threat Defense-Lösung in Betracht ziehen. Es ist nicht erforderlich, beide bereitzustellen.

Geräteeigenschaften Minimale Version des Betriebssystems Format: Major.Minor
Beispiel: 11.0
Microsoft empfiehlt, die Mindesthauptversion für das Android-Betriebssystem so festzulegen, dass übereinstimmende unterstützte Android-Versionen von Microsoft-Apps verwendet werden können. OEMs und Geräte, die den Anforderungen für "Android Enterprise Recommended" entsprechen, müssen die aktuelle Versandversion und ein Upgrade auf die nächste Version unterstützen. Aktuell empfiehlt Android für Wissensarbeiter Android 9.0 und höher. Unter "Anforderungen für Android Enterprise Recommended" finden Sie die aktuellen Empfehlungen von Android.

Geräteeinschränkungen

Abschnitt Einstellung Wert Anmerkungen
Allgemein Datums- und Uhrzeitänderungen Blockieren
Allgemein Tethering und Zugriff auf Hotspots Blockieren
Allgemein Daten mithilfe von NFC übertragen Blockieren
Allgemein Suchen nach Arbeitskontakten und Anzeigen der Anrufer-ID eines Arbeitskontakts im persönlichen Profil Blockieren
Gerätekennwort Deaktivierte Sperrbildschirmfeatures Vertrauens-Agents, Unbearbeitete Benachrichtigungen
Anwendungen Automatische App-Updates Immer Organisationen sollten diese Einstellung bei Bedarf anpassen, da bei Aktualisierungen von Apps über das Mobilfunknetz Gebühren anfallen können.
Arbeitsprofilkennwort Anzahl von fehlgeschlagenen Anmeldungen, bevor das Gerät zurückgesetzt wird 5 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.

Nächste Schritte

Administratoren können die oben erläuterten Konfigurationsstufen in ihrer Ringbereitstellungsmethododik für Test- und Produktionszwecke implementieren, indem das Beispiel für JSON-Vorlagen für das Framework für die Android Enterprise-Sicherheitskonfiguration mit PowerShell-Skripts von Intune importiert wird.

  1. Konfigurieren von Geräteregistrierungseinschränkungen für persönliche Geräte
  2. Konfigurieren von App-Konfigurationsrichtlinien
  3. Konfigurieren von Sicherheitseinstellungen für persönliche Geräte
  4. 🡺 Konfigurieren von Sicherheitseinstellungen für vollständig verwaltete Geräte (Sie sind hier)