Configuración de cumplimiento de dispositivos para Android Enterprise en Intune

En este artículo se enumeran y describen las distintas opciones de cumplimiento que puede configurar en dispositivos Android Enterprise en Intune. Como parte de la solución de administración de dispositivos móviles (MDM), use esta configuración para marcar los dispositivos rooteados como no compatibles, establecer un nivel de amenaza permitido, habilitar Google Play Protect y mucho más.

Esta característica se aplica a:

  • Android Enterprise

Como administrador de Intune, use esta configuración de cumplimiento para ayudar a proteger los recursos de la organización. Para obtener más información sobre las directivas de cumplimiento y lo que hacen, consulte Introducción al cumplimiento de dispositivos.

Importante

Para aplicar a dispositivos dedicados de Android Enterprise, la directiva de cumplimiento debe tener como destino dispositivos, no usuarios. Las directivas de cumplimiento se evaluarán en el dispositivo y reflejarán adecuadamente el estado de cumplimiento en Intune. Para permitir que los usuarios de dispositivos dedicados inicien sesión en recursos protegidos por directivas de acceso condicional, considere la posibilidad de usar dispositivos Android Enterprise dedicados con el modo de dispositivo compartido de Azure AD.

En los dispositivos dedicados de Android Enterprise inscritos sin el modo de dispositivo compartido de Azure AD, los usuarios del dispositivo no podrán iniciar sesión en los recursos protegidos por directivas de acceso condicional, incluso si el dispositivo es compatible con Intune. Para más información sobre el modo de dispositivo compartido, consulte Introducción al modo de dispositivo compartido en la documentación de Azure AD.

Antes de empezar

Al configurar las directivas de cumplimiento, la amplia gama de opciones le permite adaptar la protección a sus necesidades específicas. Para comprender mejor cómo implementar escenarios de configuración de seguridad específicos, consulte la guía del marco de configuración de seguridad para las directivas de restricción de dispositivos Android Enterprise.

El marco de configuración de seguridad está organizado en distintos niveles de configuración que proporcionan orientación para los dispositivos de propiedad personal y supervisados, y cada nivel se basa en el nivel anterior. Los niveles y la configuración disponibles en cada nivel varían según el modo de inscripción:

Cuando esté listo para continuar, cree una directiva de cumplimiento. Para Plataforma, seleccione Android Enterprise.

Perfil de trabajo totalmente administrado, dedicado y Corporate-Owned

Microsoft Defender para punto de conexión

  • Solicitar que el dispositivo tenga o esté por debajo de la puntuación de riesgo de la máquina

    Seleccione la puntuación máxima de riesgo de máquina permitida para los dispositivos evaluados por Microsoft Defender para punto de conexión. Los dispositivos que superan esta puntuación se marcan como no conformes.

    • No configurado (valor predeterminado)
    • Clear
    • Baja
    • Media
    • Alto

Nota:

es posible que Microsoft Defender para punto de conexión no se admita en todos los tipos de inscripción de Android Enterprise. Obtenga más información sobre qué escenarios se admiten.

Estado del dispositivo

  • Requerir que el dispositivo tenga el nivel de amenaza del dispositivo
    Seleccione el nivel máximo de amenaza de dispositivo permitido evaluado por el servicio de defensa contra amenazas móviles. Los dispositivos que superan este nivel de amenaza se marcan como no conformes. Para usar esta configuración, elija el nivel de amenaza permitido:

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Protegido: esta opción es la más segura y significa que el dispositivo no puede tener ninguna amenaza. Si el dispositivo se detecta con cualquier nivel de amenazas, se evalúa como no conforme.
    • Bajo: el dispositivo se evalúa como compatible si solo hay amenazas de bajo nivel. Cualquier valor por encima coloca al dispositivo en un estado de no conformidad.
    • Medio : el dispositivo se evalúa como compatible si las amenazas que están presentes en el dispositivo son de nivel bajo o medio. Si se detecta que el dispositivo tiene amenazas de alto nivel, se determina que no es compatible.
    • Alto : esta opción es la menos segura, ya que permite todos los niveles de amenaza. Puede ser útil si usa esta solución solo con fines de informes.

Nota:

Todos los proveedores de Mobile Threat Defense (MTD) son compatibles con las implementaciones de Android Enterprise Fully Managed, Dedicated y Corporate-Owned Work Profile mediante la configuración de la aplicación. Consulte con el proveedor de MTD la configuración exacta necesaria para admitir las plataformas Android Enterprise Fully Managed, Dedicated y Corporate-Owned Work Profile en Intune.

Protección de Google Play

Importante

Los dispositivos que operan en regiones o países en los que Google Mobile Services no están disponibles producirán un error en las evaluaciones de la configuración de directivas de cumplimiento de Google Play Protect. Para obtener más información, consulte Administración de dispositivos Android donde Google Mobile Services no está disponible.

  • Certificación de dispositivo SafetyNet
    Escriba el nivel de atestación de SafetyNet que se debe cumplir. Sus opciones:

    • No configurado (valor predeterminado): la configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Comprobación de la integridad básica
    • Comprobación de los dispositivos certificados de integridad & básica

Propiedades del dispositivo

Versión del sistema operativo

  • Versión de SO mínima
    Cuando un dispositivo no cumple el requisito mínimo de versión del sistema operativo, se notifica como no compatible. Se muestra un vínculo con información sobre cómo actualizar. El usuario final puede actualizar su dispositivo y, a continuación, acceder a los recursos de la organización.

    De forma predeterminada, no se configura ninguna versión.

  • Versión de SO máxima
    Cuando un dispositivo usa una versión del sistema operativo posterior a la versión de la regla, se bloquea el acceso a los recursos de la organización. Se pide al usuario que se ponga en contacto con su administrador de TI. Hasta que se cambia una regla para permitir la versión del sistema operativo, este dispositivo no puede acceder a los recursos de la organización.

    De forma predeterminada, no se configura ninguna versión.

  • Nivel mínimo de actualización de seguridad
    Seleccione el nivel de revisión de seguridad más antiguo que puede tener un dispositivo. Los dispositivos que no son al menos en este nivel de revisión no son compatibles. La fecha debe especificarse en formato AAAA-MM-DD.

    De forma predeterminada, no se configura ninguna fecha.

Seguridad del sistema

  • Requerir una contraseña para desbloquear dispositivos móviles

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Requerir : los usuarios deben escribir una contraseña para poder acceder a su dispositivo.
  • Tipo de contraseña necesaria
    Elija si una contraseña debe incluir solo caracteres numéricos o una combinación de números y otros caracteres. Sus opciones:

    • Valor predeterminado del dispositivo : para evaluar el cumplimiento de contraseñas, asegúrese de seleccionar un valor de seguridad de contraseña distinto del valor predeterminado del dispositivo.
    • Contraseña requerida, sin restricciones
    • Biométrica - débil Biometría fuerte frente a débil (abre el sitio web de Android)
    • Numérico (valor predeterminado): la contraseña solo debe ser números, como 123456789. Escriba la longitud mínima de contraseña que debe escribir un usuario, entre 4 y 16 caracteres.
    • Complejo numérico : no se permiten números repetidos o consecutivos, como "1111" o "1234". Escriba la longitud mínima de contraseña que debe escribir un usuario, entre 4 y 16 caracteres.
    • Alfabético : se requieren letras en el alfabeto. No se requieren números ni símbolos. Escriba la longitud mínima de contraseña que debe escribir un usuario, entre 4 y 16 caracteres.
    • Alfanumérica : incluye letras mayúsculas, letras minúsculas y caracteres numéricos. Escriba la longitud mínima de contraseña que debe escribir un usuario, entre 4 y 16 caracteres.
    • Alfanumérico con símbolos : incluye letras mayúsculas, letras minúsculas, caracteres numéricos, signos de puntuación y símbolos.

    En función del tipo de contraseña que seleccione, están disponibles las siguientes opciones:

    • Longitud mínima de contraseña
      Escriba la longitud mínima que debe tener la contraseña, entre 4 y 16 caracteres.

    • Número de caracteres necesarios
      Escriba el número de caracteres que debe tener la contraseña, entre 0 y 16 caracteres.

    • Número de caracteres en minúsculas necesarios
      Escriba el número de caracteres en minúsculas que debe tener la contraseña, entre 0 y 16 caracteres.

    • Número de caracteres en mayúsculas necesarios
      Escriba el número de caracteres en mayúscula que debe tener la contraseña, entre 0 y 16 caracteres.

    • Número de caracteres que no son de letra necesarios
      Escriba el número de letras que no sean letras (excepto las letras del alfabeto) que la contraseña debe tener, entre 0 y 16 caracteres.

    • Número de caracteres numéricos necesarios
      Escriba el número de caracteres numéricos (1, 2, 3, etc.) que la contraseña debe tener, entre 0 y 16 caracteres.

    • Número de caracteres de símbolo necesarios
      Escriba el número de caracteres de símbolo (&, #, %, etc.) que la contraseña debe tener, entre 0 y 16 caracteres.

    • Máximo de minutos de inactividad antes de solicitar la contraseña
      Escriba el tiempo de inactividad antes de que el usuario deba volver a escribir su contraseña. Las opciones incluyen el valor predeterminado No configurado y de 1 Minuto a 8 horas.

    • Número de días hasta que expire la contraseña
      Escriba el número de días, entre 1 y 365, hasta que se deba cambiar la contraseña del dispositivo. Por ejemplo, para cambiar la contraseña después de 60 días, escriba 60. Cuando la contraseña expira, se pide a los usuarios que creen una nueva contraseña.

      De forma predeterminada, no se configura ningún valor.

    • Número de contraseñas requeridas antes de que el usuario pueda reusar una
      Escriba el número de contraseñas recientes que no se pueden reutilizar, entre 1 y 24. Use esta configuración para impedir que el usuario cree contraseñas usadas anteriormente.

      De forma predeterminada, no se configura ninguna versión.

Cifrado

  • Cifrado de almacenamiento de datos en el dispositivo

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Requerir : cifre el almacenamiento de datos en los dispositivos.

    No es necesario configurar esta configuración porque los dispositivos Android Enterprise aplican el cifrado.

Perfil de trabajo de propiedad personal

Microsoft Defender para punto de conexión: para Personally-Owned perfil de trabajo

  • Solicitar que el dispositivo tenga o esté por debajo de la puntuación de riesgo de la máquina
    Seleccione la puntuación máxima de riesgo de máquina permitida para los dispositivos evaluados por Microsoft Defender para punto de conexión. Los dispositivos que superan esta puntuación se marcan como no conformes.
    • No configurado (valor predeterminado)
    • Clear
    • Baja
    • Media
    • Alto

Estado del dispositivo: para Personally-Owned perfil de trabajo

  • Dispositivos con acceso "root"

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Bloquear : marque los dispositivos rooteados como no compatibles.
  • Requerir que el dispositivo tenga el nivel de amenaza del dispositivo
    Seleccione el nivel máximo de amenaza de dispositivo permitido evaluado por el servicio de defensa contra amenazas móviles. Los dispositivos que superan este nivel de amenaza se marcan como no conformes. Para usar esta configuración, elija el nivel de amenaza permitido:

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Protegido: esta opción es la más segura y significa que el dispositivo no puede tener ninguna amenaza. Si el dispositivo se detecta con cualquier nivel de amenazas, se evalúa como no conforme.
    • Bajo : el dispositivo se evalúa como compatible si solo hay amenazas de bajo nivel. Cualquier valor por encima coloca al dispositivo en un estado de no conformidad.
    • Medio : el dispositivo se evalúa como compatible si las amenazas que están presentes en el dispositivo son de nivel bajo o medio. Si se detecta que el dispositivo tiene amenazas de alto nivel, se determina que no es compatible.
    • Alto : esta opción es la menos segura, ya que permite todos los niveles de amenaza. Puede ser útil si usa esta solución solo con fines de informes.

Protección de Google Play : para Personally-Owned perfil de trabajo

  • Google Play Services está configurado

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Requerir : requerir que la aplicación de servicios de Google Play esté instalada y habilitada. Los servicios de Google Play permiten actualizaciones de seguridad y son una dependencia de nivel base para muchas características de seguridad en dispositivos de Google certificados.
  • Proveedor de seguridad actualizada

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Requerir : requerir que un proveedor de seguridad actualizado pueda proteger un dispositivo frente a vulnerabilidades conocidas.
  • Certificación de dispositivo SafetyNet
    Escriba el nivel de atestación de SafetyNet que se debe cumplir. Sus opciones:

    • No configurado (valor predeterminado): la configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Comprobación de la integridad básica
    • Comprobación de los dispositivos certificados de integridad & básica
  • Tipo de evaluación SafetyNet requerido
    Esta configuración solo está disponible cuando la atestación de dispositivos SafetyNet está establecida en Comprobar la integridad básica o Comprobar la integridad & básica de los dispositivos certificados.

    Seleccione el tipo de evaluación que desea usar para calcular la respuesta de atestación del dispositivo SafetyNet.

    • No configurado (el valor predeterminado es la evaluación básica): (valor predeterminado)
    • Clave basada en hardware: requiere que se use la atestación de clave basada en hardware para la evaluación de SafetyNet. Los dispositivos que no admiten la atestación de clave basada en hardware se marcan como no compatibles.

    Para más información sobre SafetyNet y los dispositivos que admiten la atestación de clave basada en hardware, consulte los Tipos de evaluación en la documentación de SafetyNet para Android.

Nota:

En dispositivos Android Enterprise, el examen de amenazas en las aplicaciones es una directiva de configuración de dispositivos. Con una directiva de configuración, los administradores pueden habilitar la configuración en un dispositivo. Consulte Configuración de restricción de dispositivos Android Enterprise.

Propiedades del dispositivo: para Personally-Owned perfil de trabajo

Versión del sistema operativo : para Personally-Owned perfil de trabajo

  • Versión de SO mínima
    Cuando un dispositivo no cumple el requisito mínimo de versión del sistema operativo, se notifica como no compatible. Se muestra un vínculo con información sobre cómo actualizar. El usuario final puede actualizar su dispositivo y, a continuación, acceder a los recursos de la organización.

    De forma predeterminada, no se configura ninguna versión.

  • Versión de SO máxima
    Cuando un dispositivo usa una versión del sistema operativo posterior a la versión de la regla, se bloquea el acceso a los recursos de la organización. Se pide al usuario que se ponga en contacto con su administrador de TI. Hasta que se cambia una regla para permitir la versión del sistema operativo, este dispositivo no puede acceder a los recursos de la organización.

    De forma predeterminada, no se configura ninguna versión.

Seguridad del sistema : para Personally-Owned perfil de trabajo

Cifrado: para Personally-Owned perfil de trabajo

  • Requerir cifrado de almacenamiento de datos en el dispositivo

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Requerir : cifre el almacenamiento de datos en los dispositivos.

    No es necesario configurar esta configuración porque los dispositivos Android Enterprise aplican el cifrado.

Seguridad de dispositivos : para Personally-Owned perfil de trabajo

  • Bloquear aplicaciones de orígenes desconocidos

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Bloquear: bloquear dispositivos con orígenes habilitados paraorígenes desconocidos de seguridad> (compatible con Android 4.0 a Android 7.x. No es compatible con Android 8.0 y versiones posteriores).

    Para cargar aplicaciones de lado, se deben permitir orígenes desconocidos. Si no va a cargar aplicaciones Android de forma lateral, establezca esta característica en Bloquear para habilitar esta directiva de cumplimiento.

    Importante

    Las aplicaciones de carga lateral requieren que la configuración Bloquear aplicaciones de orígenes desconocidos esté habilitada. Aplique esta directiva de cumplimiento solo si no está cargando aplicaciones Android de forma lateral en dispositivos.

    No es necesario configurar esta configuración, ya que los dispositivos Android Enterprise siempre restringen la instalación desde orígenes desconocidos.

  • Integridad del entorno de ejecución de la aplicación del portal de empresa

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Requerir: elija Requerir para confirmar que la aplicación de Portal de empresa cumple todos los requisitos siguientes:
      • Tiene instalado el entorno de tiempo de ejecución predeterminado.
      • Está firmado correctamente
      • No está en modo de depuración
      • Se instala desde un origen conocido
  • Bloquear depuración USB en el dispositivo

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Bloquear : impedir que los dispositivos usen la característica de depuración USB.

    No es necesario configurar esta opción porque la depuración USB ya está deshabilitada en dispositivos Android Enterprise.

  • Nivel mínimo de actualización de seguridad
    Seleccione el nivel de revisión de seguridad más antiguo que puede tener un dispositivo. Los dispositivos que no son al menos en este nivel de revisión no son compatibles. La fecha debe especificarse en formato AAAA-MM-DD.

    De forma predeterminada, no se configura ninguna fecha.

  • Requerir una contraseña para desbloquear dispositivos móviles

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Requerir : los usuarios deben escribir una contraseña para poder acceder a su dispositivo.

    Esta configuración se aplica en el nivel de dispositivo. Si solo necesita requerir una contraseña en el nivel Personally-Owned perfil de trabajo, use una directiva de configuración. Consulte Configuración de dispositivos Android Enterprise.

Todos los dispositivos Android : para Personally-Owned perfil de trabajo

  • Número de días hasta que expire la contraseña
    Escriba el número de días, entre 1 y 365, hasta que se deba cambiar la contraseña del dispositivo. Por ejemplo, para cambiar la contraseña después de 60 días, escriba 60. Cuando la contraseña expira, se pide a los usuarios que creen una nueva contraseña.

  • Número de contraseñas anteriores que no se pueden reutilizar
    Escriba el número de contraseñas recientes que no se pueden reutilizar. Use esta configuración para impedir que el usuario cree contraseñas usadas anteriormente.

  • Máximo de minutos de inactividad antes de solicitar la contraseña
    Escriba el tiempo de inactividad antes de que el usuario deba volver a escribir su contraseña. Las opciones incluyen el valor predeterminado No configurado y de 1 Minuto a 8 horas.

Android 12 y versiones posteriores: para Personally-Owned perfil de trabajo

  • Complejidad de la contraseña
    Use esta configuración para establecer los requisitos de complejidad de contraseña. Sus opciones:

    • Ninguno : esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Bajo : se permite un patrón o PIN con secuencias repetidas (4444) o ordenadas (1234, 4321, 2468).
    • Medio : se bloquea el PIN con secuencias repetidas (4444) o ordenadas (1234, 4321, 2468). La longitud, la longitud alfabética o la longitud alfanumérica deben tener al menos 4 caracteres.
    • Alto : se bloquea el PIN con secuencias repetidas (4444) o ordenadas (1234, 4321, 2468). La longitud debe tener al menos 8 caracteres. La longitud alfabética o alfanumérica debe tener al menos 6 caracteres.

    En los dispositivos de propiedad personal con un perfil de trabajo, hay dos contraseñas afectadas por esta configuración de complejidad de contraseña :

    • La contraseña del dispositivo que desbloquea el dispositivo
    • Contraseña del perfil de trabajo que permite a los usuarios acceder al perfil de trabajo

    Si la complejidad de la contraseña del dispositivo es demasiado baja, la contraseña del dispositivo se cambia automáticamente para requerir una complejidad alta . Los usuarios finales deben actualizar la contraseña del dispositivo para cumplir los requisitos de complejidad. A continuación, inician sesión en el perfil de trabajo y se les pide que actualicen la complejidad del perfil de trabajo configurada en la configuración Complejidad de contraseña de la directiva.

    Importante

    Antes de que la configuración de complejidad de contraseña estuviera disponible, se usaron los valores Tipo de contraseña requerida y Longitud mínima de contraseña . Esta configuración sigue estando disponible, pero Google para Dispositivos Android 12+ de propiedad personal con un perfil de trabajo los deja en desuso. Para obtener información sobre esta configuración, vaya a Android 11 y versiones anteriores (en este artículo).

    Esto es lo que necesita saber:

    • Si se cambia la configuración Tipo de contraseña requerida del valor predeterminado del dispositivo en una directiva, haga lo siguiente:

      • Los dispositivos Android Enterprise 12+ recién inscritos usarán automáticamente la configuración De complejidad de contraseña con alta complejidad . Por lo tanto, si no desea una complejidad de contraseña alta , cree una nueva directiva para dispositivos Android Enterprise 12+ y configure la configuración Complejidad de contraseña.

      • Los dispositivos Android Enterprise 12+ existentes seguirán usando la opción Tipo de contraseña requerida y el valor existente configurado.

        Si cambia una directiva existente con la configuración Tipo de contraseña requerida que ya está configurada, los dispositivos Android Enterprise 12+ usarán automáticamente la configuración Complejidad de contraseña con la complejidad alta .

        Para dispositivos Android Enterprise 12 y versiones posteriores, se recomienda configurar la configuración De complejidad de contraseña .

    • Si la configuración Tipo de contraseña requerida no cambia desde el valor predeterminado del dispositivo en una directiva, no se aplica automáticamente ninguna directiva de contraseña a los dispositivos Android Enterprise 12+ recién inscritos.

Android 11 y versiones anteriores: para Personally-Owned perfil de trabajo

Importante

  • Google está desusando estos valores de tipo de contraseña requerida y longitud mínima de contraseña para dispositivos Android 12+ de propiedad personal con un perfil de trabajo y lo reemplaza por nuevos requisitos de complejidad de contraseña. Para obtener más información sobre este cambio, vaya a Compatibilidad con day zero para Android 13.
  • En dispositivos Android Enterprise 12 y versiones posteriores, use la opción Complejidad de contraseña .
  • Tipo de contraseña necesaria
    Elija si una contraseña debe incluir solo caracteres numéricos o una combinación de números y otros caracteres. Sus opciones:
    • Valor predeterminado del dispositivo: dado que el valor predeterminado del dispositivo varía según el modelo de dispositivo, use uno de los demás valores para obtener más control y coherencia en todos los dispositivos.
    • Biométrica de baja seguridad
    • Al menos numérico (valor predeterminado): escriba la longitud mínima de contraseña que debe escribir un usuario, entre 4 y 16 caracteres.
    • Complejo numérico: escriba la longitud mínima de contraseña que debe escribir un usuario, entre 4 y 16 caracteres.
    • Al menos alfabético: escriba la longitud mínima de contraseña que debe escribir un usuario, entre 4 y 16 caracteres.
    • Al menos alfanumérica: escriba la longitud mínima de contraseña que debe escribir un usuario, entre 4 y 16 caracteres.
    • Al menos alfanumérico con símbolos: escriba la longitud mínima de contraseña que debe escribir un usuario, entre 4 y 16 caracteres.

En función del tipo de contraseña requerida que seleccione, está disponible la siguiente configuración:

  • Longitud mínima de contraseña
    Escriba la longitud mínima que debe tener la contraseña, entre 4 y 16 caracteres.

Pasos siguientes