Configuración de cumplimiento de dispositivos para Android Enterprise en Intune

En este artículo se enumeran y describen las distintas opciones de cumplimiento que puede configurar en Android Enterprise dispositivos en Intune. Como parte de la solución de administración de dispositivos móviles (MDM), use esta configuración para marcar los dispositivos rooteados como no compatibles, establecer un nivel de amenaza permitido, habilitar Google Play Protect y mucho más.

Esta característica se aplica a:

  • Android Enterprise

Como administrador de Intune, use esta configuración de cumplimiento para ayudar a proteger los recursos de la organización. Para obtener más información sobre las directivas de cumplimiento y lo que hacen, consulte Introducción al cumplimiento de dispositivos.

Importante

Para aplicar a Android Enterprise dispositivos dedicados, la directiva de cumplimiento debe tener como destino dispositivos, no usuarios. Las directivas de cumplimiento se evaluarán en el dispositivo y reflejarán adecuadamente el estado de cumplimiento en Intune. Para permitir que los usuarios de dispositivos dedicados inicien sesión en recursos protegidos por directivas de acceso condicional, considere la posibilidad de usar Android Enterprise dispositivos dedicados con el modo de dispositivo compartido de Azure AD.

En Android Enterprise dispositivos dedicados inscritos sin el modo de dispositivo compartido de Azure AD, los usuarios del dispositivo no podrán iniciar sesión en los recursos protegidos por directivas de acceso condicional, incluso si el dispositivo es compatible con Intune. Para más información sobre el modo de dispositivo compartido, consulte Introducción al modo de dispositivo compartido en la documentación de Azure AD.

Antes de empezar

Al configurar las directivas de cumplimiento, la amplia gama de opciones le permite adaptar la protección a sus necesidades específicas. Para comprender mejor cómo implementar escenarios de configuración de seguridad específicos, consulte la guía del marco de configuración de seguridad para las directivas de restricción de dispositivos Android Enterprise.

El marco de configuración de seguridad está organizado en distintos niveles de configuración que proporcionan orientación para los dispositivos de propiedad personal y supervisados, y cada nivel se basa en el nivel anterior. Los niveles y la configuración disponibles en cada nivel varían según el modo de inscripción:

Cuando esté listo para continuar, cree una directiva de cumplimiento. Para Plataforma, seleccione Android Enterprise.

Perfil de trabajo totalmente administrado, dedicado y Corporate-Owned

Microsoft Defender para punto de conexión

  • Solicitar que el dispositivo tenga o esté por debajo de la puntuación de riesgo de la máquina

    Seleccione la puntuación máxima de riesgo de máquina permitida para los dispositivos evaluados por Microsoft Defender para punto de conexión. Los dispositivos que superan esta puntuación se marcan como no conformes.

    • No configurado (valor predeterminado)
    • Clear
    • Baja
    • Media
    • Alta

Nota

es posible que no se admitan Microsoft Defender para punto de conexión en todos los tipos de inscripción de Android Enterprise. Obtenga más información sobre qué escenarios se admiten.

Estado del dispositivo

  • Requerir que el dispositivo tenga el nivel de amenaza del dispositivo
    Seleccione el nivel máximo de amenaza de dispositivo permitido evaluado por el servicio de defensa contra amenazas móviles. Los dispositivos que superan este nivel de amenaza se marcan como no conformes. Para usar esta configuración, elija el nivel de amenaza permitido:

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Protegido: esta opción es la más segura y significa que el dispositivo no puede tener ninguna amenaza. Si el dispositivo se detecta con cualquier nivel de amenazas, se evalúa como no conforme.
    • Bajo: el dispositivo se evalúa como compatible si solo hay amenazas de bajo nivel. Cualquier valor por encima coloca al dispositivo en un estado de no conformidad.
    • Medio : el dispositivo se evalúa como compatible si las amenazas que están presentes en el dispositivo son de nivel bajo o medio. Si se detecta que el dispositivo tiene amenazas de alto nivel, se determina que no es compatible.
    • Alto : esta opción es la menos segura, ya que permite todos los niveles de amenaza. Puede ser útil si usa esta solución solo con fines de informes.

Nota

Todos los proveedores de Mobile Threat Defense (MTD) se admiten en Android Enterprise implementaciones de perfil de trabajo totalmente administradas, dedicadas y Corporate-Owned mediante la configuración de la aplicación. Compruebe con el proveedor mtd la configuración exacta necesaria para admitir Android Enterprise plataformas totalmente administradas, dedicadas y Corporate-Owned perfil de trabajo en Intune.

Protección de Google Play

Importante

Los dispositivos que operan en regiones o países en los que Google Mobile Services no están disponibles producirán un error en las evaluaciones de la configuración de la directiva de cumplimiento de Google Play Protect. Para obtener más información, consulte Administración de dispositivos Android en los que google Mobile Services no están disponibles.

  • Certificación de dispositivo SafetyNet
    Escriba el nivel de atestación de SafetyNet que se debe cumplir. Sus opciones:

    • No configurado (valor predeterminado): la configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Comprobación de la integridad básica
    • Comprobación de la integridad básica & dispositivos certificados

Propiedades del dispositivo

Versión del sistema operativo

  • Versión de SO mínima
    Cuando un dispositivo no cumple el requisito mínimo de versión del sistema operativo, se notifica como no compatible. Se muestra un vínculo con información sobre cómo actualizar. El usuario final puede actualizar su dispositivo y, a continuación, acceder a los recursos de la organización.

    De forma predeterminada, no se configura ninguna versión.

  • Versión de SO máxima
    Cuando un dispositivo usa una versión del sistema operativo posterior a la versión de la regla, se bloquea el acceso a los recursos de la organización. Se pide al usuario que se ponga en contacto con su administrador de TI. Hasta que se cambia una regla para permitir la versión del sistema operativo, este dispositivo no puede acceder a los recursos de la organización.

    De forma predeterminada, no se configura ninguna versión.

  • Nivel mínimo de actualización de seguridad
    Seleccione el nivel de revisión de seguridad más antiguo que puede tener un dispositivo. Los dispositivos que no son al menos en este nivel de revisión no son compatibles. La fecha debe especificarse en formato AAAA-MM-DD.

    De forma predeterminada, no se configura ninguna fecha.

Seguridad del sistema

  • Requerir una contraseña para desbloquear dispositivos móviles

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Requerir : los usuarios deben escribir una contraseña para poder acceder a su dispositivo.
  • Tipo de contraseña necesaria
    Elija si una contraseña debe incluir solo caracteres numéricos o una combinación de números y otros caracteres. Sus opciones:

    • Valor predeterminado del dispositivo : para evaluar el cumplimiento de contraseñas, asegúrese de seleccionar un valor de seguridad de contraseña distinto del valor predeterminado del dispositivo.
    • Contraseña requerida, sin restricciones
    • Biométrica - débil Biometría fuerte frente a débil (abre el sitio web de Android)
    • Numérico (valor predeterminado): la contraseña solo debe ser números, como 123456789. Escriba la longitud mínima de contraseña que debe escribir un usuario, entre 4 y 16 caracteres.
    • Complejo numérico : no se permiten números repetidos o consecutivos, como "1111" o "1234". Escriba la longitud mínima de contraseña que debe escribir un usuario, entre 4 y 16 caracteres.
    • Alfabético : se requieren letras en el alfabeto. No se requieren números ni símbolos. Escriba la longitud mínima de contraseña que debe escribir un usuario, entre 4 y 16 caracteres.
    • Alfanumérica : incluye letras mayúsculas, letras minúsculas y caracteres numéricos. Escriba la longitud mínima de contraseña que debe escribir un usuario, entre 4 y 16 caracteres.
    • Alfanumérico con símbolos : incluye letras mayúsculas, letras minúsculas, caracteres numéricos, signos de puntuación y símbolos.

    En función del tipo de contraseña que seleccione, están disponibles las siguientes opciones:

    • Longitud mínima de contraseña
      Escriba la longitud mínima que debe tener la contraseña, entre 4 y 16 caracteres.

    • Número de caracteres necesarios
      Escriba el número de caracteres que debe tener la contraseña, entre 0 y 16 caracteres.

    • Número de caracteres en minúsculas necesarios
      Escriba el número de caracteres en minúsculas que debe tener la contraseña, entre 0 y 16 caracteres.

    • Número de caracteres en mayúsculas necesarios
      Escriba el número de caracteres en mayúscula que debe tener la contraseña, entre 0 y 16 caracteres.

    • Número de caracteres que no son de letra necesarios
      Escriba el número de letras que no sean letras (excepto las letras del alfabeto) que la contraseña debe tener, entre 0 y 16 caracteres.

    • Número de caracteres numéricos necesarios
      Escriba el número de caracteres numéricos (1, 2, 3, etc.) que la contraseña debe tener, entre 0 y 16 caracteres.

    • Número de caracteres de símbolo necesarios
      Escriba el número de caracteres de símbolo (&, #, %, etc.) que la contraseña debe tener, entre 0 y 16 caracteres.

    • Máximo de minutos de inactividad antes de solicitar la contraseña
      Escriba el tiempo de inactividad antes de que el usuario deba volver a escribir su contraseña. Las opciones incluyen el valor predeterminado No configurado y de 1 Minuto a 8 horas.

    • Número de días hasta que expire la contraseña
      Escriba el número de días, entre 1 y 365, hasta que se deba cambiar la contraseña del dispositivo. Por ejemplo, para cambiar la contraseña después de 60 días, escriba 60. Cuando la contraseña expira, se pide a los usuarios que creen una nueva contraseña.

      De forma predeterminada, no se configura ningún valor.

    • Número de contraseñas requeridas antes de que el usuario pueda reusar una
      Escriba el número de contraseñas recientes que no se pueden reutilizar, entre 1 y 24. Use esta configuración para impedir que el usuario cree contraseñas usadas anteriormente.

      De forma predeterminada, no se configura ninguna versión.

Cifrado

  • Cifrado de almacenamiento de datos en el dispositivo

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Requerir : cifre el almacenamiento de datos en los dispositivos.

    No es necesario configurar esta configuración porque Android Enterprise dispositivos aplican el cifrado.

Perfil de trabajo de propiedad personal

Microsoft Defender para punto de conexión: para Personally-Owned perfil de trabajo

  • Solicitar que el dispositivo tenga o esté por debajo de la puntuación de riesgo de la máquina
    Seleccione la puntuación máxima de riesgo de máquina permitida para los dispositivos evaluados por Microsoft Defender para punto de conexión. Los dispositivos que superan esta puntuación se marcan como no conformes.
    • No configurado (valor predeterminado)
    • Clear
    • Baja
    • Media
    • Alta

Estado del dispositivo: para Personally-Owned perfil de trabajo

  • Dispositivos con acceso "root"

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Bloquear : marque los dispositivos rooteados como no compatibles.
  • Requerir que el dispositivo tenga el nivel de amenaza del dispositivo
    Seleccione el nivel máximo de amenaza de dispositivo permitido evaluado por el servicio de defensa contra amenazas móviles. Los dispositivos que superan este nivel de amenaza se marcan como no conformes. Para usar esta configuración, elija el nivel de amenaza permitido:

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Protegido: esta opción es la más segura y significa que el dispositivo no puede tener ninguna amenaza. Si el dispositivo se detecta con cualquier nivel de amenazas, se evalúa como no conforme.
    • Bajo : el dispositivo se evalúa como compatible si solo hay amenazas de bajo nivel. Cualquier valor por encima coloca al dispositivo en un estado de no conformidad.
    • Medio : el dispositivo se evalúa como compatible si las amenazas que están presentes en el dispositivo son de nivel bajo o medio. Si se detecta que el dispositivo tiene amenazas de alto nivel, se determina que no es compatible.
    • Alto : esta opción es la menos segura, ya que permite todos los niveles de amenaza. Puede ser útil si usa esta solución solo con fines de informes.

Protección de Google Play : para Personally-Owned perfil de trabajo

  • Google Play Services está configurado

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Requerir : requerir que la aplicación de servicios de Google Play esté instalada y habilitada. Los servicios de Google Play permiten actualizaciones de seguridad y son una dependencia de nivel base para muchas características de seguridad en dispositivos de Google certificados.
  • Proveedor de seguridad actualizada

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Requerir : requerir que un proveedor de seguridad actualizado pueda proteger un dispositivo frente a vulnerabilidades conocidas.
  • Certificación de dispositivo SafetyNet
    Escriba el nivel de atestación de SafetyNet que se debe cumplir. Sus opciones:

    • No configurado (valor predeterminado): la configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Comprobación de la integridad básica
    • Comprobación de la integridad básica & dispositivos certificados
  • Tipo de evaluación SafetyNet requerido
    Esta configuración solo está disponible cuando la atestación de dispositivos SafetyNet está establecida en Comprobar la integridad básica o Comprobar la integridad básica & dispositivos certificados.

    Seleccione el tipo de evaluación que desea usar para calcular la respuesta de atestación del dispositivo SafetyNet.

    • No configurado (el valor predeterminado es la evaluación básica): (valor predeterminado)
    • Clave basada en hardware: requiere que se use la atestación de clave basada en hardware para la evaluación de SafetyNet. Los dispositivos que no admiten la atestación de clave basada en hardware se marcan como no compatibles.

    Para más información sobre SafetyNet y los dispositivos que admiten la atestación de clave basada en hardware, consulte los Tipos de evaluación en la documentación de SafetyNet para Android.

Nota

En Android Enterprise dispositivos, el examen de amenazas en las aplicaciones es una directiva de configuración de dispositivos. Con una directiva de configuración, los administradores pueden habilitar la configuración en un dispositivo. Consulte Android Enterprise configuración de restricción de dispositivos.

Propiedades del dispositivo: para Personally-Owned perfil de trabajo

Versión del sistema operativo : para Personally-Owned perfil de trabajo

  • Versión de SO mínima
    Cuando un dispositivo no cumple el requisito mínimo de versión del sistema operativo, se notifica como no compatible. Se muestra un vínculo con información sobre cómo actualizar. El usuario final puede actualizar su dispositivo y, a continuación, acceder a los recursos de la organización.

    De forma predeterminada, no se configura ninguna versión.

  • Versión de SO máxima
    Cuando un dispositivo usa una versión del sistema operativo posterior a la versión de la regla, se bloquea el acceso a los recursos de la organización. Se pide al usuario que se ponga en contacto con su administrador de TI. Hasta que se cambia una regla para permitir la versión del sistema operativo, este dispositivo no puede acceder a los recursos de la organización.

    De forma predeterminada, no se configura ninguna versión.

Seguridad del sistema : para Personally-Owned perfil de trabajo

  • Requerir una contraseña para desbloquear dispositivos móviles

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Requerir : los usuarios deben escribir una contraseña para poder acceder a su dispositivo.

    Esta configuración se aplica en el nivel de dispositivo. Si solo necesita requerir una contraseña en el nivel Personally-Owned perfil de trabajo, use una directiva de configuración. Consulte Android Enterprise configuración del dispositivo.

  • Tipo de contraseña necesaria
    Elija si una contraseña debe incluir solo caracteres numéricos o una combinación de números y otros caracteres. Sus opciones:

    • Valor predeterminado del dispositivo: dado que el valor predeterminado del dispositivo varía según el modelo de dispositivo, use uno de los demás valores para obtener más control y coherencia en todos los dispositivos.
    • Biométrica de baja seguridad
    • Al menos numérico (valor predeterminado): escriba la longitud mínima de contraseña que debe escribir un usuario, entre 4 y 16 caracteres.
    • Complejo numérico: escriba la longitud mínima de contraseña que debe escribir un usuario, entre 4 y 16 caracteres.
    • Al menos alfabético: escriba la longitud mínima de contraseña que debe escribir un usuario, entre 4 y 16 caracteres.
    • Al menos alfanumérica: escriba la longitud mínima de contraseña que debe escribir un usuario, entre 4 y 16 caracteres.
    • Al menos alfanumérico con símbolos: escriba la longitud mínima de contraseña que debe escribir un usuario, entre 4 y 16 caracteres.

    En función del tipo de contraseña que seleccione, están disponibles las siguientes opciones:

    • Máximo de minutos de inactividad antes de solicitar la contraseña
      Escriba el tiempo de inactividad antes de que el usuario deba volver a escribir su contraseña. Las opciones incluyen el valor predeterminado No configurado y de 1 Minuto a 8 horas.

    • Número de días hasta que expire la contraseña
      Escriba el número de días, entre 1 y 365, hasta que se deba cambiar la contraseña del dispositivo. Por ejemplo, para cambiar la contraseña después de 60 días, escriba 60. Cuando la contraseña expira, se pide a los usuarios que creen una nueva contraseña.

    • Longitud mínima de contraseña
      Escriba la longitud mínima que debe tener la contraseña, entre 4 y 16 caracteres.

    • Número de contraseñas anteriores que no se pueden reutilizar
      Escriba el número de contraseñas recientes que no se pueden reutilizar. Use esta configuración para impedir que el usuario cree contraseñas usadas anteriormente.

Cifrado: para Personally-Owned perfil de trabajo

  • Cifrado de almacenamiento de datos en el dispositivo

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Requerir : cifre el almacenamiento de datos en los dispositivos.

    No es necesario configurar esta configuración porque Android Enterprise dispositivos aplican el cifrado.

Seguridad de dispositivos : para Personally-Owned perfil de trabajo

  • Bloquear aplicaciones de orígenes desconocidos

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Bloquear: bloquee los dispositivos con orígenes habilitados para SecurityUnknown > Sources (compatible con Android 4.0 a Android 7.x. No es compatible con Android 8.0 y versiones posteriores).

    Para cargar aplicaciones de lado, se deben permitir orígenes desconocidos. Si no va a cargar Android aplicaciones de forma lateral, establezca esta característica en Bloquear para habilitar esta directiva de cumplimiento.

    Importante

    Las aplicaciones de carga lateral requieren que la configuración Bloquear aplicaciones de orígenes desconocidos esté habilitada. Aplique esta directiva de cumplimiento solo si no está cargando Android aplicaciones en dispositivos.

    No es necesario configurar esta configuración, ya que Android Enterprise dispositivos siempre restringen la instalación desde orígenes desconocidos.

  • Integridad del entorno de ejecución de la aplicación del portal de empresa

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Requerir: elija Requerir para confirmar que la aplicación de Portal de empresa cumple todos los requisitos siguientes:
      • Tiene instalado el entorno de tiempo de ejecución predeterminado.
      • Está firmado correctamente
      • No está en modo de depuración
      • Se instala desde un origen conocido
  • Bloquear depuración USB en el dispositivo

    • No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
    • Bloquear : impedir que los dispositivos usen la característica de depuración USB.

    No es necesario configurar esta opción porque la depuración USB ya está deshabilitada en Android Enterprise dispositivos.

  • Nivel mínimo de actualización de seguridad
    Seleccione el nivel de revisión de seguridad más antiguo que puede tener un dispositivo. Los dispositivos que no son al menos en este nivel de revisión no son compatibles. La fecha debe especificarse en formato AAAA-MM-DD.

    De forma predeterminada, no se configura ninguna fecha.

Siguientes pasos