Gerätekonformitätseinstellungen für Android-Geräteadministratoren in Intune
In diesem Artikel werden die Konformitätseinstellungen aufgeführt, die Sie auf Android-Geräteadministratorgeräten in Intune konfigurieren können. Verwenden Sie im Rahmen Ihrer MDM-Lösung (Mobile Device Management) diese Einstellungen, um geräte mit Rooting als nicht konform zu kennzeichnen, eine zulässige Bedrohungsstufe festzulegen, Google Play Protect zu aktivieren und vieles mehr.
Unterstützung beim Konfigurieren von Konformitätsrichtlinien finden Sie unter Verwenden von Konformitätsrichtlinien zum Festlegen von Regeln für Geräte, die Sie mit Intune verwalten.
Diese Funktion gilt für:
- Android-Geräteadministrator
Verwenden Sie als Intune Administrator diese Konformitätseinstellungen, um Ihre Organisationsressourcen zu schützen. Weitere Informationen zu Konformitätsrichtlinien und deren Funktionsweise finden Sie unter Erste Schritte mit der Gerätekonformität.
Wichtig
Microsoft Intune beendet am 30. August 2024 die Unterstützung für die Verwaltung von Android-Geräten per Geräteadministrator auf Geräten mit Zugriff auf Google Mobile Services (GMS). Nach diesem Datum sind die Geräteregistrierung, der technische Support sowie Behebungen von Programmfehlern und Sicherheitslücken nicht mehr verfügbar. Wenn Sie zurzeit die Verwaltung per Geräteadministrator verwenden, empfiehlt es sich, vor dem Ende des Supports zu einer anderen Android-Verwaltungsoption in Intune zu wechseln. Weitere Informationen finden Sie unter Ende der Unterstützung für Android-Geräteadministrator auf GMS-Geräten.
Bevor Sie beginnen:
Create eine Konformitätsrichtlinie. Wählen Sie unter Plattform die Option Android-Geräteadministrator aus.
Microsoft Defender für Endpunkt
Erfordern, dass das Gerät höchstens das angegebene Computerrisiko aufweist
Wählen Sie die maximal zulässige Computerrisikobewertung für Geräte aus, die von Microsoft Defender for Endpoint ausgewertet werden. Geräte, die diese Bewertung überschreiten, werden als nicht konform markiert.
- Nicht konfiguriert (Standard)
- Clear
- Niedrig
- Mittel
- High
Geräteintegrität
Geräte, die mit dem Geräteadministrator verwaltet werden
Geräteadministratorfunktionen werden von Android Enterprise abgelöst.- Nicht konfiguriert (Standard)
- Blockieren : Der Blockierende Geräteadministrator führt Benutzer dazu, zu Android Enterprise Personally-Owned zu wechseln und Corporate-Owned Arbeitsprofilverwaltung zu verwenden, um wieder Zugriff zu erhalten.
Gerät mit Rootzugriff
Verhindern Sie, dass entfernte Geräte Unternehmenszugriff haben. (Diese Konformitätsprüfung wird für Android 4.0 und höher unterstützt.)- Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
- Blockieren : Markieren Sie geräte mit Rootzugriff als nicht konform.
Anfordern, dass das Gerät höchstens der angegebenen Gerätebedrohungsstufe entspricht
Verwenden Sie diese Einstellung, um die Risikobewertung eines verbundenen Mobile Threat Defense-Diensts als Bedingung für die Konformität zu verwenden.- Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
- Gesichert : Diese Option ist die sicherste, da das Gerät keine Bedrohungen aufweisen kann. Wenn das Gerät mit einer Bedrohungsstufe erkannt wird, wird es als nicht konform ausgewertet.
- Niedrig : Das Gerät wird als konform bewertet, wenn nur Bedrohungen auf niedriger Ebene vorhanden sind. Durch Bedrohungen höherer Stufen wird das Gerät in einen nicht kompatiblen Status versetzt.
- Mittel : Das Gerät wird als konform ausgewertet, wenn vorhandene Bedrohungen auf dem Gerät niedrig oder mittel sind. Wenn für das Gerät allgemeine Bedrohungen erkannt werden, wird festgestellt, dass es nicht konform ist.
- Hoch : Diese Option ist am wenigsten sicher und lässt alle Bedrohungsstufen zu. Dies kann hilfreich sein, wenn Sie diese Lösung nur für Berichtszwecke verwenden.
Google Play Protect
Wichtig
Geräte, die in Ländern/Regionen ausgeführt werden, in denen Google Mobile Services nicht verfügbar sind, schlagen die Auswertungen der Google Play Protect-Konformitätsrichtlinieneinstellungen fehl. Weitere Informationen finden Sie unter Verwalten von Android-Geräten, bei denen Google Mobile Services nicht verfügbar sind.
Google Play Services ist konfiguriert
Google Play-Dienste ermöglichen Sicherheitsupdates und sind eine Abhängigkeit auf Basisebene für viele Sicherheitsfeatures auf zertifizierten Google-Geräten.- Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
- Erforderlich : Erfordert, dass die Google Play-Dienst-App installiert und aktiviert ist.
Aktueller Sicherheitsanbieter
- Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
- Erforderlich : Erfordert, dass ein aktueller Sicherheitsanbieter ein Gerät vor bekannten Sicherheitsrisiken schützen kann.
Bedrohungsüberprüfung für Apps
- Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
- Erforderlich : Erfordert, dass das Android-Feature "Apps überprüfen " aktiviert ist.
Hinweis
Auf der älteren Android-Plattform ist dieses Feature eine Konformitätseinstellung. Intune können nur überprüfen, ob diese Einstellung auf Geräteebene aktiviert ist.
Integritätsbewertung wiedergeben
Geben Sie die Stufe der Play-Integrität von Google ein, die erfüllt werden muss. Folgende Optionen sind verfügbar:- Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
- Überprüfen der grundlegenden Integrität
- Überprüfen der grundlegenden Integrität & der Geräteintegrität
Hinweis
Informationen zum Konfigurieren von Google Play Protect-Einstellungen mithilfe von App-Schutzrichtlinien finden Sie unter einstellungen für Intune App-Schutzrichtlinien unter Android.
Geräteeigenschaften
Betriebssystemversion
Minimales Release des Betriebssystems
Wenn ein Gerät die Mindestanforderung für die Betriebssystemversion nicht erfüllt, wird es als nicht konform gemeldet. Ein Link mit Informationen zum Upgrade wird angezeigt. Der Endbenutzer kann sein Gerät aktualisieren und dann Zugriff auf Unternehmensressourcen erhalten.Standardmäßig ist keine Version konfiguriert.
Maximales Release des Betriebssystems
Wenn ein Gerät eine höhere Betriebssystemversion als die in der Regel angegebene Version verwendet, wird der Zugriff auf Unternehmensressourcen blockiert. Der Benutzer wird aufgefordert, sich an seinen IT-Administrator zu wenden. Bis eine Regel geändert wird, um die Betriebssystemversion zuzulassen, kann dieses Gerät nicht auf Unternehmensressourcen zugreifen.Standardmäßig ist keine Version konfiguriert.
Systemsicherheit
Verschlüsselung
Verschlüsselung des Datenspeichers auf dem Gerät erforderlich
Unterstützt unter Android 4.0 und höher oder KNOX 4.0 und höher.- Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
- Erforderlich : Verschlüsseln Sie den Datenspeicher auf Ihren Geräten. Geräte werden verschlüsselt, wenn Sie die Einstellung Kennwort zum Entsperren mobiler Geräte anfordern auswählen.
Gerätesicherheit
Apps von unbekannten Quellen blockieren
Unterstützt unter Android 4.0 bis Android 7.x. Nicht unterstützt von Android 8.0 und höher- Nicht konfiguriert (Standardeinstellung): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
- Blockieren : Blockieren Sie Geräte mit Quellen, die für die Sicherheit > unbekannter Quellen aktiviert sind (unterstützt unter Android 4.0 bis Android 7.x. Wird unter Android 8.0 und höher nicht unterstützt.).
Zum Querladen von Apps müssen unbekannte Quellen zulässig sein. Wenn Sie Android-Apps nicht querladen, legen Sie dieses Feature auf Blockieren fest, um diese Konformitätsrichtlinie zu aktivieren.
Wichtig
Beim Querladen von Anwendungen muss die Einstellung Apps aus unbekannten Quellen blockieren aktiviert sein. Erzwingen Sie diese Konformitätsrichtlinie nur, wenn Sie Android-Apps auf Geräten nicht querladen.
Laufzeitintegrität der Unternehmensportal-App
Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
Erforderlich: Wählen Sie Erforderlich aus, um zu bestätigen, dass die Unternehmensportal App alle folgenden Anforderungen erfüllt:
- Hat die Standardlaufzeitumgebung installiert
- Ist ordnungsgemäß signiert
- Befindet sich nicht im Debugmodus
USB-Debugging auf Gerät blockieren
(Unterstützt unter Android 4.2 oder höher)- Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
- Blockieren : Verhindert, dass Geräte das USB-Debugfeature verwenden.
Mindestens erforderliche Sicherheitspatchebene
(Unterstützt unter Android 8.0 oder höher)Wählen Sie die älteste Sicherheitspatchebene aus, die ein Gerät haben kann. Geräte, die sich nicht mindestens auf dieser Patchebene befinden, sind nicht konform. Das Datum muss im
YYYY-MM-DDFormat eingegeben werden.Standardmäßig ist kein Datum konfiguriert.
Eingeschränkte Apps
Geben Sie den App-Namen und die App-Bündel-ID für Apps ein, die eingeschränkt werden sollen, und wählen Sie dann Hinzufügen aus. Ein Gerät, auf dem mindestens eine eingeschränkte App installiert ist, wird als nicht konform markiert.Um die Bündel-ID einer App abzurufen, die Intune hinzugefügt wurde, können Sie das Intune Admin Center verwenden.
Kennwort
Die verfügbaren Einstellungen für Kennwörter variieren je nach Android-Version auf dem Gerät.
Alle Android-Geräte
Die folgenden Einstellungen werden unter Android 4.0 oder höher und Knox 4.0 und höher unterstützt.
Maximaler Zeitraum der Inaktivität (in Minuten) bis zur Anforderung eines Kennworts
Diese Einstellung gibt die Zeitspanne ohne Benutzereingabe an, nach der der Bildschirm des mobilen Geräts gesperrt wird. Die Optionen reichen von 1 Minute bis 8 Stunden. Der empfohlene Wert beträgt 15 Minuten.- Nicht konfiguriert(Standard)
Erfordern eines Kennworts zum Entsperren von Mobilgeräten
Diese Einstellung gibt an, ob Benutzer ein Kennwort eingeben müssen, bevor der Zugriff auf Informationen auf ihren mobilen Geräten gewährt wird. Empfohlener Wert: Erforderlich (Diese Konformitätsprüfung wird für Geräte mit Betriebssystemversionen android 4.0 und höher oder KNOX 4.0 und höher unterstützt.)
- Nicht konfiguriert(Standard)
Android 10 und höher
Die folgenden Einstellungen werden unter Android 10 oder höher, aber nicht auf Knox unterstützt.
Kennwortkomplexität
Diese Einstellung wird unter Android 10 oder höher, aber nicht auf Samsung Knox unterstützt. Auf Geräten, auf denen Android 9 und früher oder Samsung Knox ausgeführt wird, überschreiben Einstellungen für Kennwortlänge und -typ diese Einstellung aus Gründen der Komplexität..Geben Sie die erforderliche Kennwortkomplexität an.
- None(Standard) – Kein Kennwort erforderlich.
- Niedrig : Das Kennwort erfüllt eine der folgenden Bedingungen:
- Muster
- Die numerische PIN weist eine wiederholte (4444) oder sortierte Sequenz (1234, 4321, 2468) auf.
- Mittel: Das Kennwort erfüllt eine der folgenden Bedingungen:
- Numerische PIN weist keine wiederholte (4444) oder sortierte (1234, 4321, 2468) Sequenz auf und hat eine Mindestlänge von 4.
- Alphabetisch, mit einer Mindestlänge von 4.
- Alphanumerisch, mit einer Mindestlänge von 4.
- Hoch : Das Kennwort erfüllt eine der folgenden Bedingungen:
- Numerische PIN weist keine wiederholte (4444) oder sortierte (1234, 4321, 2468) Sequenz auf und hat eine Mindestlänge von 8.
- Alphabetisch, mit einer Mindestlänge von 6.
- Alphanumerisch, mit einer Mindestlänge von 6.
Android 9 und früher oder Samsung Knox
Die folgenden Einstellungen werden unter Android 9.0 und früheren Versionen und jeder Samsung Knox-Version unterstützt.
Erfordern eines Kennworts zum Entsperren von Mobilgeräten
Diese Einstellung gibt an, ob Benutzer ein Kennwort eingeben müssen, bevor der Zugriff auf Informationen auf ihren mobilen Geräten gewährt wird. Empfohlener Wert: Erforderlich- Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
- Erforderlich : Benutzer müssen ein Kennwort eingeben, bevor sie auf ihr Gerät zugreifen können.
Bei Festlegung auf Erforderlich kann die folgende Einstellung konfiguriert werden:
Geforderter Kennworttyp
Wählen Sie aus, ob ein Kennwort nur numerische Zeichen oder eine Mischung aus Ziffern und anderen Zeichen enthalten soll.- Gerätestandard : Um die Kennwortkonformität zu bewerten, stellen Sie sicher, dass Sie eine andere Kennwortstärke als Gerätestandard auswählen.
- Biometrie mit geringer Sicherheit
- Mindestens numerisch
- Numerisch komplex : Wiederholte oder aufeinanderfolgende Ziffern wie
1111oder1234sind nicht zulässig. - Mindestens alphabetisch
- Mindestens alphanumerisch
- Mindestens alphanumerisch mit Symbolen
Basierend auf der Konfiguration dieser Einstellung stehen mindestens eine der folgenden Optionen zur Verfügung:
Minimale Kennwortlänge
Geben Sie die Mindestanzahl von Ziffern oder Zeichen ein, die das Kennwort des Benutzers aufweisen muss.Maximaler Zeitraum der Inaktivität (in Minuten) bis zur Anforderung eines Kennworts
Geben Sie die Leerlaufzeit ein, bevor der Benutzer sein Kennwort erneut eingeben muss. Wenn Sie Nicht konfiguriert (Standard) auswählen, wird diese Einstellung nicht auf Konformität oder Nichtkonformität ausgewertet.Anzahl von Tagen bis zum Kennwortablauf
Wählen Sie die Anzahl der Tage aus, bevor das Kennwort abläuft und der Benutzer ein neues Kennwort erstellen muss.Anzahl vorheriger Kennwörter, deren Wiederverwendung verhindert wird
Geben Sie die Anzahl der zuletzt verwendeten Kennwörter ein, die nicht wiederverwendet werden können. Verwenden Sie diese Einstellung, um zu verhindern, dass der Benutzer zuvor verwendete Kennwörter erstellt.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für