Configuración de cumplimiento de dispositivos para el administrador de dispositivos Android en Intune

En este artículo se enumeran las opciones de cumplimiento que puede configurar en los dispositivos de administrador de dispositivos Android en Intune. Como parte de la solución de administración de dispositivos móviles (MDM), use esta configuración para marcar los dispositivos rooteados como no compatibles, establecer un nivel de amenaza permitido, habilitar Google Play Protect y mucho más.

Para obtener ayuda para configurar la directiva de cumplimiento, consulte Uso de directivas de cumplimiento para establecer reglas para los dispositivos que administra con Intune.

Esta característica se aplica a:

• Administrador de dispositivos Android

Como administrador de Intune, use esta configuración de cumplimiento para ayudar a proteger los recursos de la organización. Para obtener más información sobre las directivas de cumplimiento y lo que hacen, consulte Introducción al cumplimiento de dispositivos.

Importante

Microsoft Intune está finalizando la compatibilidad con la administración del administrador de dispositivos Android en dispositivos con acceso a Google Mobile Services (GMS) el 30 de agosto de 2024. Después de esa fecha, la inscripción de dispositivos, el soporte técnico, las correcciones de errores y las correcciones de seguridad no estarán disponibles. Si actualmente usa la administración del administrador de dispositivos, se recomienda cambiar a otra opción de administración de Android en Intune antes de que finalice el soporte técnico. Para obtener más información, consulte Finalización de la compatibilidad con el administrador de dispositivos Android en dispositivos GMS.

Antes de empezar

Create una directiva de cumplimiento. En Plataforma, seleccione Administrador de dispositivos Android.

Microsoft Defender para punto de conexión

• Solicitar que el dispositivo tenga o esté por debajo de la puntuación de riesgo de la máquina

  Seleccione la puntuación de riesgo de máquina máxima permitida para los dispositivos evaluados por Microsoft Defender para punto de conexión. Los dispositivos que superan esta puntuación se marcan como no conformes.

  • No configurado (valor predeterminado)
  • Clear
  • Baja
  • Media
  • Alto

Estado del dispositivo

• Dispositivos administrados con el administrador de dispositivos
  Las funcionalidades de administrador de dispositivos se reemplazan por Android Enterprise.

  • No configurado (valor predeterminado)
  • Bloquear : bloquear el administrador de dispositivos guiará a los usuarios para que se muevan a Android Enterprise Personally-Owned y Corporate-Owned administración de perfiles de trabajo para recuperar el acceso.

• Dispositivos con acceso "root"
  Impedir que los dispositivos rooteados tengan acceso corporativo. (Esta comprobación de cumplimiento es compatible con Android 4.0 y versiones posteriores).

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Bloquear : marque los dispositivos rooteados como no compatibles.

• Requerir que el dispositivo tenga el nivel de amenaza del dispositivo
  Use esta configuración para tomar la evaluación de riesgos de un servicio de Mobile Threat Defense conectado como condición para el cumplimiento.

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Protegido: esta opción es la más segura, ya que el dispositivo no puede tener ninguna amenaza. Si el dispositivo se detecta con cualquier nivel de amenazas, se evalúa como no conforme.
  • Bajo : el dispositivo se evalúa como compatible si solo hay amenazas de bajo nivel. Cualquier valor por encima coloca al dispositivo en un estado de no conformidad.
  • Medio : el dispositivo se evalúa como compatible si las amenazas existentes en el dispositivo son de nivel bajo o medio. Si se detecta que el dispositivo tiene amenazas de alto nivel, se determina que no es compatible.
  • Alto : esta opción es la menos segura y permite todos los niveles de amenaza. Puede ser útil si usa esta solución solo con fines de informes.

Protección de Google Play

Importante

Los dispositivos que operan en países o regiones en los que Google Mobile Services no están disponibles producirán un error en las evaluaciones de la configuración de directivas de cumplimiento de Google Play Protect. Para obtener más información, consulte Administración de dispositivos Android donde Google Mobile Services no está disponible.

• Google Play Services está configurado
  Los servicios de Google Play permiten actualizaciones de seguridad y son una dependencia de nivel base para muchas características de seguridad en dispositivos de Google certificados.

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Requerir : requerir que la aplicación de servicios de Google Play esté instalada y habilitada.

• Proveedor de seguridad actualizada

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Requerir : requerir que un proveedor de seguridad actualizado pueda proteger un dispositivo frente a vulnerabilidades conocidas.

• Examen de amenazas en las aplicaciones

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Requerir : requerir que la característica Android Verify Apps esté habilitada.

  Nota:

  En la plataforma Android heredada, esta característica es una configuración de cumplimiento. Intune solo puede comprobar si esta configuración está habilitada en el nivel de dispositivo.

• Veredicto de integridad de juego
  Escriba el nivel de integridad de Reproducción de Google que se debe cumplir. Sus opciones:

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Comprobación de la integridad básica
  • Comprobación de la integridad básica & integridad del dispositivo

Nota:

Para configurar la configuración de Google Play Protect mediante directivas de protección de aplicaciones, consulte Intune configuración de directivas de protección de aplicaciones en Android.

Propiedades del dispositivo

Versión del sistema operativo

• Versión de SO mínima
  Cuando un dispositivo no cumple el requisito mínimo de versión del sistema operativo, se notifica como no compatible. Se muestra un vínculo con información sobre cómo actualizar. El usuario final puede elegir actualizar su dispositivo y, a continuación, obtener acceso a los recursos de la empresa.

  De forma predeterminada, no se configura ninguna versión.

• Versión de SO máxima
  Cuando un dispositivo usa una versión del sistema operativo posterior a la especificada en la regla, se bloquea el acceso a los recursos de la empresa. Se pide al usuario que se ponga en contacto con su administrador de TI. Hasta que se cambia una regla para permitir la versión del sistema operativo, este dispositivo no puede acceder a los recursos de la empresa.

  De forma predeterminada, no se configura ninguna versión.

Seguridad del sistema

Cifrado

• Requerir cifrado de almacenamiento de datos en el dispositivo
  Compatible con Android 4.0 y versiones posteriores, o KNOX 4.0 y versiones posteriores.

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Requerir : cifre el almacenamiento de datos en los dispositivos. Los dispositivos se cifran al elegir la opción Requerir una contraseña para desbloquear dispositivos móviles .

Seguridad del dispositivo

• Bloquear aplicaciones de orígenes desconocidos
  Compatible con Android 4.0 a Android 7.x. No compatible con Android 8.0 y versiones posteriores

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Bloquear: bloquear dispositivos con orígenes habilitados para orígenes desconocidos de seguridad > (compatible con Android 4.0 a Android 7.x. No se admite en Android 8.0 y versiones posteriores).

  Para cargar aplicaciones de lado, se deben permitir orígenes desconocidos. Si no va a cargar aplicaciones Android de forma lateral, establezca esta característica en Bloquear para habilitar esta directiva de cumplimiento.

  Importante

  Las aplicaciones de carga lateral requieren que la configuración Bloquear aplicaciones de orígenes desconocidos esté habilitada. Aplique esta directiva de cumplimiento solo si no está cargando aplicaciones Android de forma lateral en los dispositivos.

• Integridad del entorno de ejecución de la aplicación del portal de empresa

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.

  • Requerir: elija Requerir para confirmar que la aplicación de Portal de empresa cumple todos los requisitos siguientes:

    • Tiene instalado el entorno de tiempo de ejecución predeterminado.
    • Está firmado correctamente
    • No está en modo de depuración

• Bloquear depuración USB en el dispositivo
  (Compatible con Android 4.2 o posterior)

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Bloquear : impedir que los dispositivos usen la característica de depuración USB.

• Nivel mínimo de actualización de seguridad
  (Compatible con Android 8.0 o posterior)

  Seleccione el nivel de revisión de seguridad más antiguo que puede tener un dispositivo. Los dispositivos que no son al menos en este nivel de revisión no son compatibles. La fecha debe escribirse en el YYYY-MM-DD formato .

  De forma predeterminada, no se configura ninguna fecha.

• Aplicaciones restringidas
  Escriba el nombre de la aplicación y el identificador de la agrupación de aplicaciones para las aplicaciones que deben estar restringidas y, a continuación, seleccione Agregar. Un dispositivo con al menos una aplicación restringida instalada se marca como no compatible.

  Para obtener el identificador de agrupación de una aplicación agregada a Intune, puede usar el centro de administración de Intune.

Password

La configuración disponible para las contraseñas varía según la versión de Android en el dispositivo.

Todos los dispositivos Android

La siguiente configuración se admite en Android 4.0 o posterior, y Knox 4.0 y versiones posteriores.

• Máximo de minutos de inactividad antes de solicitar la contraseña
  Esta configuración especifica el período de tiempo sin entrada del usuario después del cual se bloquea la pantalla del dispositivo móvil. Las opciones van de 1 minuto a 8 horas. El valor recomendado es 15 minutos.

  • No configurado(valor predeterminado)

• Requerir una contraseña para desbloquear dispositivos móviles

  Esta configuración especifica si se requiere que los usuarios escriban una contraseña antes de que se conceda acceso a la información de sus dispositivos móviles. Valor recomendado: Requerir (esta comprobación de cumplimiento es compatible con dispositivos con versiones de sistema operativo Android 4.0 y posteriores, o KNOX 4.0 y versiones posteriores).

  • No configurado(valor predeterminado)

Android 10 y versiones posteriores

La siguiente configuración se admite en Android 10 o posterior, pero no en Knox.

• Complejidad de la contraseña
  Esta configuración se admite en Android 10 o posterior, pero no en Samsung Knox. En los dispositivos que ejecutan Android 9 y versiones anteriores o Samsung Knox, la configuración de la longitud y el tipo de contraseña invalida esta configuración por complejidad..

  Especifique la complejidad de contraseña necesaria.

  • None(default): no se requiere contraseña.
  • Bajo : la contraseña cumple una de las siguientes condiciones:
    • Patrón
    • El PIN numérico tiene una secuencia repetida (4444) o ordenada (1234, 4321, 2468).
  • Medio : la contraseña cumple una de las condiciones siguientes:
    • El PIN numérico no tiene una secuencia repetida (4444) ni ordenada (1234, 4321, 2468) y tiene una longitud mínima de 4.
    • Alfabético, con una longitud mínima de 4.
    • Alfanumérico, con una longitud mínima de 4.
  • Alto : la contraseña cumple una de las condiciones siguientes:
    • El PIN numérico no tiene una secuencia repetida (4444) ni ordenada (1234, 4321, 2468) y tiene una longitud mínima de 8.
    • Alfabético, con una longitud mínima de 6.
    • Alfanumérico, con una longitud mínima de 6.

Android 9 y versiones anteriores o Samsung Knox

La siguiente configuración se admite en Android 9.0 y versiones anteriores, y cualquier versión de Samsung Knox.

• Requerir una contraseña para desbloquear dispositivos móviles
  Esta configuración especifica si se requiere que los usuarios escriban una contraseña antes de que se conceda acceso a la información de sus dispositivos móviles. Valor recomendado: Requerir

  • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
  • Requerir : los usuarios deben escribir una contraseña para poder acceder a su dispositivo.

  Cuando se establece en Requerir, se puede configurar la siguiente configuración:

  Tipo de contraseña necesaria
  Elija si una contraseña debe incluir solo caracteres numéricos o una combinación de números y otros caracteres.

  • Valor predeterminado del dispositivo : para evaluar el cumplimiento de contraseñas, asegúrese de seleccionar un valor de seguridad de contraseña distinto del valor predeterminado del dispositivo.
  • Biométrica de baja seguridad
  • Al menos numérico
  • Complejo numérico : no se permiten números repetidos o consecutivos, como 1111 o 1234, .
  • Al menos alfabético
  • Al menos alfanumérica
  • Al menos alfanumérico con símbolos

  En función de la configuración de esta configuración, están disponibles una o varias de las siguientes opciones:

  • Longitud mínima de contraseña
    Escriba el número mínimo de dígitos o caracteres que debe tener la contraseña del usuario.

  • Máximo de minutos de inactividad antes de solicitar la contraseña
    Escriba el tiempo de inactividad antes de que el usuario deba volver a escribir su contraseña. Al elegir No configurado (valor predeterminado), esta configuración no se evalúa para el cumplimiento o el incumplimiento.

  • Número de días hasta que expire la contraseña
    Seleccione el número de días antes de que expire la contraseña y el usuario debe crear una nueva.

  • Número de contraseñas anteriores que no se pueden reutilizar
    Escriba el número de contraseñas recientes que no se pueden reutilizar. Use esta configuración para impedir que el usuario cree contraseñas usadas anteriormente.

Pasos siguientes

• Agregue acciones para dispositivos no compatibles y use etiquetas de ámbito para filtrar directivas.
• Supervise las directivas de cumplimiento.
• Consulte la configuración de la directiva de cumplimiento para dispositivos Android Enterprise .