Configuración de cumplimiento de dispositivos para el administrador de dispositivos Android en Intune
En este artículo se enumeran las opciones de cumplimiento que puede configurar en los dispositivos de administrador de dispositivos Android en Intune. Como parte de la solución de administración de dispositivos móviles (MDM), use esta configuración para marcar los dispositivos rooteados como no compatibles, establecer un nivel de amenaza permitido, habilitar Google Play Protect y mucho más.
Para obtener ayuda para configurar la directiva de cumplimiento, consulte Uso de directivas de cumplimiento para establecer reglas para los dispositivos que administra con Intune.
Esta característica se aplica a:
- Administrador de dispositivos Android
Como administrador de Intune, use esta configuración de cumplimiento para ayudar a proteger los recursos de la organización. Para obtener más información sobre las directivas de cumplimiento y lo que hacen, consulte Introducción al cumplimiento de dispositivos.
Importante
Microsoft Intune está finalizando la compatibilidad con la administración del administrador de dispositivos Android en dispositivos con acceso a Google Mobile Services (GMS) el 31 de diciembre de 2024. Después de esa fecha, la inscripción de dispositivos, el soporte técnico, las correcciones de errores y las correcciones de seguridad no estarán disponibles. Si actualmente usa la administración del administrador de dispositivos, se recomienda cambiar a otra opción de administración de Android en Intune antes de que finalice el soporte técnico. Para obtener más información, consulte Finalización de la compatibilidad con el administrador de dispositivos Android en dispositivos GMS.
Antes de empezar
Cree una directiva de cumplimiento. En Plataforma, seleccione Administrador de dispositivos Android.
Microsoft Defender para punto de conexión
Solicitar que el dispositivo tenga o esté por debajo de la puntuación de riesgo de la máquina
Seleccione la puntuación de riesgo de máquina máxima permitida para los dispositivos evaluados por Microsoft Defender para punto de conexión. Los dispositivos que superan esta puntuación se marcan como no conformes.
- No configurado (valor predeterminado)
- Clear
- Baja
- Media
- Alto
Estado del dispositivo
Dispositivos administrados con el administrador de dispositivos
Las funcionalidades de administrador de dispositivos se reemplazan por Android Enterprise.- No configurado (valor predeterminado)
- Bloquear : bloquear el administrador de dispositivos guía a los usuarios para que se muevan a la administración de perfiles de trabajo de propiedad personal y corporativa de Android Enterprise para recuperar el acceso.
Dispositivos con acceso "root"
Impedir que los dispositivos rooteados tengan acceso corporativo. (Esta comprobación de cumplimiento es compatible con Android 4.0 y versiones posteriores).- No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
- Bloquear : marque los dispositivos rooteados como no compatibles.
Requerir que el dispositivo tenga el nivel de amenaza del dispositivo
Use esta configuración para tomar la evaluación de riesgos de un servicio de Mobile Threat Defense conectado como condición para el cumplimiento.- No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
- Protegido: esta opción es la más segura, ya que el dispositivo no puede tener ninguna amenaza. Si el dispositivo se detecta con cualquier nivel de amenazas, el dispositivo se evalúa como no conforme.
- Bajo : el dispositivo se evalúa como compatible si solo hay amenazas de bajo nivel. Cualquier valor por encima coloca al dispositivo en un estado de no conformidad.
- Medio : el dispositivo se evalúa como compatible si las amenazas existentes en el dispositivo son de nivel bajo o medio. Si se detecta que el dispositivo tiene amenazas de alto nivel, se determina que el dispositivo no es conforme.
- Alto : esta opción es la menos segura y permite todos los niveles de amenaza. Puede ser útil si usa esta solución solo con fines de informes.
Protección de Google Play
Importante
Los dispositivos que operan en países o regiones en los que Google Mobile Services no están disponibles producirán un error en las evaluaciones de la configuración de directivas de cumplimiento de Google Play Protect. Para obtener más información, consulte Administración de dispositivos Android donde Google Mobile Services no está disponible.
Google Play Services está configurado
Los servicios de Google Play permiten actualizaciones de seguridad y son una dependencia de nivel base para muchas características de seguridad en dispositivos de Google certificados.- No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
- Requerir : requerir que la aplicación de servicios de Google Play esté instalada y habilitada.
Proveedor de seguridad actualizada
- No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
- Requerir : requerir que un proveedor de seguridad actualizado pueda proteger un dispositivo frente a vulnerabilidades conocidas.
Examen de amenazas en las aplicaciones
- No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
- Requerir : requerir que la característica Android Verify Apps esté habilitada.
Nota:
En la plataforma Android heredada, esta característica es una configuración de cumplimiento. Intune solo puede comprobar si esta configuración está habilitada en el nivel de dispositivo.
Veredicto de integridad de juego
Escriba el nivel de integridad de Reproducción de Google que se debe cumplir. Las opciones son:- No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
- Comprobación de la integridad básica
- Comprobación de la integridad básica & integridad del dispositivo
Nota:
Para configurar la configuración de Google Play Protect mediante directivas de protección de aplicaciones, consulte Intune configuración de directivas de protección de aplicaciones en Android.
Propiedades de dispositivos
Versión del sistema operativo
Versión de SO mínima
Cuando un dispositivo no cumple el requisito mínimo de versión del sistema operativo, los dispositivos se notifican como no conformes. Se muestra un vínculo con información sobre cómo actualizar. El usuario final puede elegir actualizar su dispositivo y, a continuación, obtener acceso a los recursos de la empresa.De forma predeterminada, no se configura ninguna versión.
Versión de SO máxima
Cuando un dispositivo usa una versión del sistema operativo posterior a la especificada en la regla, se bloquea el acceso a los recursos de la empresa. Se pide al usuario que se ponga en contacto con su administrador de TI. Hasta que se cambia una regla para permitir la versión del sistema operativo, este dispositivo no puede acceder a los recursos de la empresa.De forma predeterminada, no se configura ninguna versión.
Seguridad del sistema
Cifrado
Requerir cifrado de almacenamiento de datos en el dispositivo
Compatible con Android 11 y versiones anteriores, o Samsung KNOX Android 14 y versiones anteriores.- No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
- Requerir : cifre el almacenamiento de datos en los dispositivos. Los dispositivos se cifran al elegir la opción Requerir una contraseña para desbloquear dispositivos móviles .
Seguridad del dispositivo
Bloquear aplicaciones de orígenes desconocidos
Compatible con Android 4.0 a Android 7.x. No compatible con Android 8.0 y versiones posteriores- No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
- Bloquear: bloquear dispositivos con orígenes habilitados para orígenes desconocidos de seguridad > (compatible con Android 4.0 a Android 7.x. No se admite en Android 8.0 y versiones posteriores).
Para cargar aplicaciones de lado, se deben permitir orígenes desconocidos. Si no va a cargar aplicaciones Android de forma lateral, establezca esta característica en Bloquear para habilitar esta directiva de cumplimiento.
Importante
Las aplicaciones de carga lateral requieren que la configuración Bloquear aplicaciones de orígenes desconocidos esté habilitada. Aplique esta directiva de cumplimiento solo si no está cargando aplicaciones Android de forma lateral en los dispositivos.
Integridad del entorno de ejecución de la aplicación del portal de empresa
No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
Requerir: elija Requerir para confirmar que la aplicación de Portal de empresa cumple todos los requisitos siguientes:
- Tiene instalado el entorno de tiempo de ejecución predeterminado.
- Está firmado correctamente
- No está en modo de depuración
Bloquear depuración USB en el dispositivo
(Compatible con Android 4.2 o posterior)- No configurado (valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
- Bloquear : impedir que los dispositivos usen la característica de depuración USB.
Nivel mínimo de actualización de seguridad
(Compatible con Android 8.0 o posterior)Seleccione el nivel de revisión de seguridad más antiguo que puede tener un dispositivo. Los dispositivos que no son al menos en este nivel de revisión no son compatibles. La fecha debe escribirse en el
YYYY-MM-DD
formato .De forma predeterminada, no se configura ninguna fecha.
Aplicaciones restringidas
Escriba el nombre de la aplicación y el identificador de la agrupación de aplicaciones para las aplicaciones que deben estar restringidas y, a continuación, seleccione Agregar. Un dispositivo con al menos una aplicación restringida instalada se marca como no compatible.Para obtener el identificador de agrupación de una aplicación agregada a Intune, puede usar el centro de administración de Intune.
Máximo de minutos de inactividad antes de que se requiera la contraseña (Samsung KNOX Android 12 y versiones anteriores)
Esta configuración especifica el período de tiempo sin entrada del usuario después del cual se bloquea la pantalla del dispositivo móvil. Las opciones van de 1 minuto a 8 horas. El valor recomendado es 15 minutos.- No configurado(valor predeterminado)
Requerir una contraseña para desbloquear dispositivos móviles
Esta configuración especifica si se requiere que los usuarios escriban una contraseña antes de que se conceda acceso a la información de sus dispositivos móviles. Valor recomendado: Requerir (esta comprobación de cumplimiento es compatible con dispositivos con versiones de sistema operativo Android 4.0 y posteriores, o KNOX 4.0 y versiones posteriores).
No configurado(valor predeterminado): esta configuración no se evalúa para el cumplimiento o el incumplimiento.
Requerir : los usuarios deben escribir una contraseña para poder acceder a su dispositivo. Cuando se establezca en require, configure también:
- Complejidad de la contraseña
- Tipo de contraseña necesaria
Android 10 y versiones posteriores
La siguiente configuración se admite en Android 10 o posterior, pero no en Knox.
Complejidad de la contraseña
Esta configuración se admite en Android 10 o posterior, pero no en Samsung Knox. En los dispositivos que ejecutan Android 9 y versiones anteriores o Samsung Knox, la configuración de la longitud y el tipo de contraseña invalida esta configuración por complejidad..Especifique la complejidad de contraseña necesaria.
- None(default): no se requiere contraseña.
-
Bajo : la contraseña cumple una de las siguientes condiciones:
- Patrón
- El PIN numérico tiene una secuencia repetida (4444) o ordenada (1234, 4321, 2468).
-
Medio : la contraseña cumple una de las condiciones siguientes:
- El PIN numérico no tiene una secuencia repetida (4444) ni ordenada (1234, 4321, 2468) y tiene una longitud mínima de 4.
- Alfabético, con una longitud mínima de 4.
- Alfanumérico, con una longitud mínima de 4.
-
Alto : la contraseña cumple una de las condiciones siguientes:
- El PIN numérico no tiene una secuencia repetida (4444) ni ordenada (1234, 4321, 2468) y tiene una longitud mínima de 8.
- Alfabético, con una longitud mínima de 6.
- Alfanumérico, con una longitud mínima de 6.
Android 9 y versiones anteriores, o Samsung Knox Android 15 y versiones anteriores
La siguiente configuración se admite en Android 9.0 y versiones anteriores, y en cualquier versión del sistema operativo Android 15 y versiones anteriores.
Tipo de contraseña necesaria
Elija si una contraseña debe incluir solo caracteres numéricos o una combinación de números y otros caracteres.- Valor predeterminado del dispositivo : para evaluar el cumplimiento de contraseñas, asegúrese de seleccionar un valor de seguridad de contraseña distinto del valor predeterminado del dispositivo.
- Biométrica de baja seguridad
- Al menos numérico
-
Complejo numérico : no se permiten números repetidos o consecutivos, como
1111
o1234
, . - Al menos alfabético
- Al menos alfanumérica
- Al menos alfanumérico con símbolos
En función de la configuración de esta configuración, están disponibles una o varias de las siguientes opciones:
Longitud mínima de contraseña
Escriba el número mínimo de dígitos o caracteres que debe tener la contraseña del usuario.Máximo de minutos de inactividad antes de solicitar la contraseña
Escriba el tiempo de inactividad antes de que el usuario deba volver a escribir su contraseña. Al elegir No configurado (valor predeterminado), esta configuración no se evalúa para el cumplimiento o el incumplimiento.Número de días hasta que expire la contraseña
Seleccione el número de días antes de que expire la contraseña y el usuario debe crear una nueva.Número de contraseñas anteriores que no se pueden reutilizar
Escriba el número de contraseñas recientes que no se pueden reutilizar. Use esta configuración para impedir que el usuario cree contraseñas usadas anteriormente.