Sicherheitskonfigurationen für persönliche Android Enterprise-Arbeitsprofile

Übernehmen Sie im Rahmen des Frameworks für die Android Enterprise-Sicherheitskonfiguration die folgenden Einstellungen für mobile Benutzer mit Android Enterprise-Arbeitsprofil. Weitere Informationen zu den einzelnen Richtlinieneinstellungen finden Sie unter Android Enterprise-Einstellungen zum Markieren von Geräten als konform oder nicht konform mithilfe von Intune und Android Enterprise-Geräteeinstellungen zum Zulassen oder Einschränken von Features auf persönlichen Geräten mithilfe von Intune.

Wenn Sie Ihre Einstellungen wählen, prüfen und kategorisieren Sie Nutzungsszenarien. Konfigurieren Sie anschließend Benutzer entsprechend der Anleitung für die gewählte Sicherheitsstufe. Sie können die vorgeschlagenen Einstellungen je nach den Bedürfnissen Ihrer Organisation festlegen. Achten Sie darauf, dass Ihr Sicherheitsteam die Bedrohungsumgebung, die Risikobereitschaft und die Auswirkungen auf die Nutzbarkeit beurteilt.

Für persönliche Arbeitsprofilgeräte gibt es zwei empfohlene Sicherheitskonfigurationsframeworks:

Hinweis

Aufgrund der für persönliche Arbeitsprofilgeräte verfügbaren Einstellungen ist keine Sicherheitsstufe „Standard“ (Stufe 1) verfügbar. Die verfügbaren Einstellungen begründen keinen Unterschied zwischen Stufe 1 und 2.

Administratoren können die unten erläuterten Konfigurationsstufen in ihrer Ringbereitstellungsmethodik für Test- und Produktionszwecke implementieren, indem die JSON-Beispielvorlagen für das Framework für die Android Enterprise-Sicherheitskonfiguration mit PowerShell-Skripts von Intune importiert werden.

Erhöhte Sicherheit für persönliche Arbeitsprofile

Stufe 2 ist die empfohlene Mindestsicherheitskonfiguration für persönliche Geräte, auf denen Benutzer auf Geschäfts-, Schul- oder Unidaten zugreifen. Diese Konfiguration eignet sich für die meisten Mobilgerätebenutzer. Einige Steuerungsmöglichkeiten können sich auf das Benutzererlebnis auswirken.

Gerätecompliance

Zur Vereinfachung der folgenden Tabelle werden nur konfigurierte Einstellungen aufgeführt. Nicht dokumentierte Gerätekonformitätseinstellungen sind nicht konfiguriert.

Abschnitt Einstellung Wert Anmerkungen
Geräteintegrität Gerät mit Rootzugriff Blockieren
Geräteintegrität Google Play Services ist konfiguriert Erforderlich
Geräteintegrität Aktueller Sicherheitsanbieter Erforderlich
Geräteintegrität Integritätsbewertung wiedergeben Grundlegende Integrität und zertifizierte Geräte prüfen Diese Einstellung konfiguriert die Google Play-Geräteintegritätsprüfung auf Endbenutzergeräten. „Basisintegrität“ überprüft die Integrität des Geräts. Für gerootete Geräte, Emulatoren, virtuelle Geräte und Geräte, die Anzeichen von Manipulationen aufweisen, schlägt die Überprüfung der grundlegenden Integrität fehl.

Die Option „Basisintegrität und zertifizierte Geräte“ überprüft die Kompatibilität des Geräts mit Google-Diensten. Nur unveränderte Geräte, die von Google zertifiziert wurden, bestehen diese Überprüfung.

Geräteintegrität Erforderlicher Auswertungstyp der Google Play-Geräteintegritätsprüfung Hardwaregestützter Schlüssel Hardware-gestützter Nachweis verbessert die vorhandene Überprüfung des Geräteintegritätsdiensts von Google Play durch die Nutzung eines neuen Auswertungstyps namens Hardware Backed, der eine stabilere Stammerkennung als Reaktion auf neuere Arten von Rootingtools und -methoden bietet, die von einer reinen Softwarelösung nicht immer zuverlässig erkannt werden können.

Wie der Name schon sagt, nutzt der hardwaregestützte Nachweis eine hardwarebasierte Komponente, die in Geräte integriert ist, auf denen Android 8.1 und höher installiert ist. Geräte, für die ein Upgrade von einer älteren Version von Android auf Android 8.1 durchgeführt wurde, verfügen wahrscheinlich nicht über die hardwarebasierten Komponenten, die für den hardwaregestützten Nachweis erforderlich sind. Auch wenn diese Einstellung auf Geräten mit Android 8.1 und höher weitgehend unterstützt werden sollte, empfiehlt Microsoft dringend, die Geräte einzeln zu testen, bevor diese Richtlinieneinstellung allgemein aktiviert wird.

Geräteeigenschaften Minimale Version des Betriebssystems Format: Major.Minor
Beispiel: 9.0
Microsoft empfiehlt, die Mindesthauptversion für das Android-Betriebssystem so festzulegen, dass übereinstimmende unterstützte Android-Versionen von Microsoft-Apps verwendet werden können. OEMs und Geräte, die den Anforderungen für "Android Enterprise Recommended" entsprechen, müssen die aktuelle Versandversion und ein Upgrade auf die nächste Version unterstützen. Aktuell empfiehlt Android für Wissensarbeiter Android 9.0 und höher. Unter Anforderungen für „Android Enterprise Recommended“ finden Sie die aktuellen Empfehlungen von Android.
Systemsicherheit Erfordern eines Kennworts zum Entsperren von Mobilgeräten Erforderlich
Systemsicherheit Geforderter Kennworttyp Numerisch, komplex Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Systemsicherheit Minimale Kennwortlänge 6 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Systemsicherheit Maximaler Zeitraum der Inaktivität (in Minuten) bis zur Anforderung eines Kennworts 5 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Systemsicherheit Verschlüsselung des Datenspeichers auf dem Gerät Erforderlich
Systemsicherheit Apps von unbekannten Quellen blockieren Blockieren
Systemsicherheit Laufzeitintegrität der Unternehmensportal-App Erforderlich
Systemsicherheit USB-Debugging auf Gerät blockieren Blockieren Diese Festlegung blockiert zwar das Debuggen mit einem USB-Gerät, unterbindet aber auch die Möglichkeit, Protokolle zu erfassen, die bei der Problembehandlung nützlich sein können.
Systemsicherheit Mindestens erforderliche Sicherheitspatchebene Nicht konfiguriert Android-Geräte können monatliche Sicherheitsupdates erhalten, aber das Release hängt von den OEMs und/oder Netzbetreibern ab. Unternehmen sollten dafür sorgen, dass bereitgestellte Android-Geräte Sicherheitsupdates erhalten, bevor diese Einstellung implementiert wird. Unter Android-Sicherheitsbulletins finden Sie die aktuellen Patchreleases.
Aktionen bei Nichteinhaltung Gerät als nicht konform markieren Sofort Standardmäßig ist die Richtlinie so konfiguriert, dass das Gerät als nicht konform markiert wird. Weitere Aktionen sind verfügbar. Weitere Informationen finden Sie unter Konfigurieren von Aktionen für nicht konforme Geräte in Intune.

Geräteeinschränkungen

Zur Vereinfachung der folgenden Tabelle werden nur konfigurierte Einstellungen aufgeführt. Nicht dokumentierte Geräteeinschränkungen sind nicht konfiguriert.

Abschnitt Einstellung Wert Anmerkungen
Arbeitsprofileinstellungen Kopieren und Einfügen zwischen Arbeitsprofilen und persönlichen Profilen Blockieren
Arbeitsprofileinstellungen Datenaustausch zwischen Arbeitsprofilen und persönlichen Profilen Apps in einem Arbeitsprofil können Freigabeanforderungen vom persönlichen Profil verarbeiten
Arbeitsprofileinstellungen Arbeitsprofilbenachrichtigungen bei Gerätesperre Nicht konfiguriert Durch das Blockieren dieser Einstellung wird sichergestellt, dass vertrauliche Daten nicht in Arbeitsprofilbenachrichtigungen verfügbar gemacht werden, was sich auf die Benutzerfreundlichkeit auswirken kann.
Arbeitsprofileinstellungen Standardmäßige App-Berechtigungen Gerätestandard Administratoren müssen die Berechtigungen überprüfen und anpassen, die von apps gewährt werden, die sie bereitstellen.
Arbeitsprofileinstellungen Konten hinzufügen und entfernen Blockieren
Arbeitsprofileinstellungen Kontaktfreigabe über Bluetooth Aktivieren Standardmäßig ist der Zugriff auf Arbeitskontakte auf anderen Geräten wie Autos über die Bluetooth-Integration nicht verfügbar. Durch Aktivieren dieser Einstellung werden die Freisprechfunktionen für Benutzer verbessert. Das Bluetooth-Gerät kann die Kontakte jedoch bei der ersten Verbindung zwischenspeichern. Organisationen müssen bei der Implementierung dieser Einstellung die Nutzbarkeitsszenarien mit Datenschutzbedenken abwägen.
Arbeitsprofileinstellungen Bildschirmaufnahme Blockieren
Arbeitsprofileinstellungen Im persönlichen Profil nach Geschäftskontakten suchen Nicht konfiguriert Das Blockieren des Zugriffs von Benutzern auf Geschäftskontakte im persönlichen Profil kann sich auf bestimmte Nutzbarkeitsszenarien wie SMS und Wählverbindungen innerhalb des persönlichen Profils auswirken. Organisationen müssen bei der Implementierung dieser Einstellung die Nutzbarkeitsszenarien mit Datenschutzbedenken abwägen.
Arbeitsprofileinstellungen Widgets aus Arbeitsprofil-Apps zulassen Aktivieren
Arbeitsprofileinstellungen Arbeitsprofilkennwort erforderlich Erforderlich
Arbeitsprofileinstellungen Minimale Kennwortlänge 6 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Arbeitsprofileinstellungen Maximaler Zeitraum der Inaktivität (in Minuten) bis zur Sperrung des Arbeitsprofils 5 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Arbeitsprofileinstellungen Anzahl von Anmeldefehlern, bevor das Arbeitsprofil zurückgesetzt wird 10 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Arbeitsprofileinstellungen Kennwortablauf (Tage) Nicht konfiguriert Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Arbeitsprofileinstellungen Geforderter Kennworttyp Numerisch, komplex
Arbeitsprofileinstellungen Wiederverwendung vorheriger Kennwörter verhindern Nicht konfiguriert Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Gerätekennwort Minimale Kennwortlänge 6 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Gerätekennwort Maximaler Zeitraum der Inaktivität (in Minuten) bis zur Bildschirmsperrung 5 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Gerätekennwort Anzahl von fehlgeschlagenen Anmeldungen, bevor das Gerät zurückgesetzt wird 10 Mit dieser Festlegung wird ein Löschen des Arbeitsprofils und nicht ein Zurücksetzen des Geräts ausgelöst.
Gerätekennwort Kennwortablauf (Tage) Nicht konfiguriert Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Gerätekennwort Geforderter Kennworttyp Numerisch, komplex
Gerätekennwort Wiederverwendung vorheriger Kennwörter verhindern Nicht konfiguriert Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Systemsicherheit Bedrohungsüberprüfung für Apps Erforderlich Diese Einstellung sorgt dafür, dass die Verify Apps-Überprüfung von Google für Endbenutzergeräte aktiviert ist. Wenn diese Einstellung konfiguriert ist, wird der Zugriff für den Endbenutzer so lange gesperrt, bis er auf seinem Android-Gerät die App-Überprüfung von Google aktiviert.
Systemsicherheit App-Installationen aus unbekannten Quellen im persönlichen Profil verhindern Blockieren

Hinweis

Wenn das persönliche Arbeitsprofil aktiviert wird, ist One Lock standardmäßig konfiguriert, um Passcodes von Geräten und Arbeitsprofilen zu kombinieren. One Lock kann unter den Arbeitsprofileinstellungen deaktiviert werden, um bei Bedarf Passcodes von Arbeitsprofil und Gerät zu trennen.

Persönliches Arbeitsprofil hohe Sicherheit

Stufe 3 ist die empfohlene Konfiguration für Geräte, die von Benutzern oder Gruppen mit besonders hohem Risiko verwendet werden. Beispielsweise Benutzer, die mit äußerst sensiblen Daten umgehen, bei denen eine unbefugte Preisgabe erhebliche materielle Verluste verursacht. Eine Organisation, die sehr wahrscheinlich von finanzkräftigen und raffinierten Gegnern ins Visier genommen wird, benötigt die nachstehend beschriebenen zusätzlichen Einschränkungen. Diese Konfiguration erweitert die Konfiguration der Stufe 2 um Folgendes:

  • Implementierung von Mobile Threat Defense oder Microsoft Defender für Endpunkt
  • Einschränken von Persönlichen Arbeitsprofildatenszenarien
  • Erzwingung strengerer Kennwortrichtlinien

Die auf Stufe 3 erzwungenen Richtlinieneinstellungen umfassen alle für Stufe 1 empfohlenen Richtlinieneinstellungen. Die nachstehend aufgeführten Einstellungen sind jedoch nur diejenigen, die hinzugefügt oder geändert wurden. Diese Einstellungen haben möglicherweise eine etwas größere Auswirkung auf Benutzer oder Anwendungen. Sie erzwingen ein Sicherheitsniveau, das besser den Risiken entspricht, denen Benutzer mit Zugriff auf sensible Daten auf mobilen Geräten ausgesetzt sind.

Gerätecompliance

Abschnitt Einstellung Wert Anmerkungen
Microsoft Defender für Endpunkt Erfordern, dass das Gerät höchstens das angegebene Computerrisiko aufweist Deaktivieren Diese Einstellung erfordert Microsoft Defender für Endpunkt. Weitere Informationen finden Sie unter Erzwingen der Konformität für Microsoft Defender für Endpunkt mit bedingtem Zugriff in Intune.

Kunden sollten die Implementierung von Microsoft Defender für Endpunkt oder einer Mobile Threat Defense-Lösung in Betracht ziehen. Es ist nicht erforderlich, beide bereitzustellen.

Geräteintegrität Anfordern, dass das Gerät höchstens der angegebenen Gerätebedrohungsstufe entspricht Gesichert Diese Einstellung erfordert ein Mobile Threat Defense-Produkt. Weitere Informationen finden Sie unter Mobile Threat Defense für registrierte Geräte.

Kunden sollten die Implementierung von Microsoft Defender für Endpunkt oder einer Mobile Threat Defense-Lösung in Betracht ziehen. Es ist nicht erforderlich, beide bereitzustellen.

Geräteeigenschaften Minimale Version des Betriebssystems Format: Major.Minor
Beispiel: 11.0
Microsoft empfiehlt, die Mindesthauptversion für das Android-Betriebssystem so festzulegen, dass übereinstimmende unterstützte Android-Versionen von Microsoft-Apps verwendet werden können. OEMs und Geräte, die den Anforderungen für "Android Enterprise Recommended" entsprechen, müssen die aktuelle Versandversion und ein Upgrade auf die nächste Version unterstützen. Aktuell empfiehlt Android für Wissensarbeiter Android 9.0 und höher. Unter „Anforderungen für "Android Enterprise Recommended"“ finden Sie die aktuellen Empfehlungen von Android.
Systemsicherheit Anzahl von Tagen bis zum Kennwortablauf 365 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Systemsicherheit Anzahl vorheriger Kennwörter, deren Wiederverwendung verhindert wird 5 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.

Geräteeinschränkungen

Abschnitt Einstellung Wert Anmerkungen
Arbeitsprofileinstellungen Arbeitsprofilbenachrichtigungen bei Gerätesperre Blockieren Durch das Blockieren dieser Einstellung wird sichergestellt, dass vertrauliche Daten nicht in Arbeitsprofilbenachrichtigungen verfügbar gemacht werden, was sich auf die Benutzerfreundlichkeit auswirken kann.
Arbeitsprofileinstellungen Kontaktfreigabe über Bluetooth Nicht konfiguriert Standardmäßig ist der Zugriff auf Arbeitskontakte auf anderen Geräten wie Autos über die Bluetooth-Integration nicht verfügbar. Durch Aktivieren dieser Einstellung werden die Freisprechfunktionen für Benutzer verbessert. Das Bluetooth-Gerät kann die Kontakte jedoch bei der ersten Verbindung zwischenspeichern. Organisationen müssen bei der Implementierung dieser Einstellung die Nutzbarkeitsszenarien mit Datenschutzbedenken abwägen.
Arbeitsprofileinstellungen Im persönlichen Profil nach Geschäftskontakten suchen Blockieren Das Blockieren des Zugriffs von Benutzern auf Geschäftskontakte im persönlichen Profil kann sich auf bestimmte Nutzbarkeitsszenarien wie SMS und Wählverbindungen innerhalb des persönlichen Profils auswirken. Organisationen müssen bei der Implementierung dieser Einstellung die Nutzbarkeitsszenarien mit Datenschutzbedenken abwägen.
Arbeitsprofileinstellungen Widgets aus Arbeitsprofil-Apps zulassen Nicht konfiguriert
Arbeitsprofileinstellungen Anzahl von Anmeldefehlern, bevor das Arbeitsprofil zurückgesetzt wird 5 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Arbeitsprofileinstellungen Kennwortablauf (Tage) 365 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Arbeitsprofileinstellungen Wiederverwendung vorheriger Kennwörter verhindern 5 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Arbeitsprofileinstellungen Smart Lock und andere Vertrauens-Agents Blockieren
Gerätekennwort Anzahl von fehlgeschlagenen Anmeldungen, bevor das Gerät zurückgesetzt wird 5 Mit dieser Festlegung wird ein Löschen des Arbeitsprofils und nicht ein Zurücksetzen des Geräts ausgelöst.
Gerätekennwort Kennwortablauf (Tage) 365 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.
Gerätekennwort Wiederverwendung vorheriger Kennwörter verhindern 5 Organisationen müssen diese Festlegung möglicherweise entsprechend ihrer Kennwortrichtlinien aktualisieren.

Nächste Schritte

Administratoren können die oben erläuterten Konfigurationsstufen in ihrer Ringbereitstellungsmethododik für Test- und Produktionszwecke implementieren, indem das Beispiel für JSON-Vorlagen für das Framework für die Android Enterprise-Sicherheitskonfiguration mit PowerShell-Skripts von Intune importiert wird.

  1. Konfigurieren von Geräteregistrierungseinschränkungen für persönliche Geräte
  2. Konfigurieren von App-Konfigurationsrichtlinien
  3. 🡺 Konfigurieren von Sicherheitseinstellungen für persönliche Geräte (Sie sind hier)
  4. Konfigurieren von Sicherheitseinstellungen für vollständig verwaltete Geräte