Impostazioni di conformità dei dispositivi per Android Enterprise in Intune

Questo articolo elenca e descrive le diverse impostazioni di conformità che è possibile configurare nei dispositivi Android Enterprise in Intune. Come parte della soluzione di gestione dei dispositivi mobili (MDM), usare queste impostazioni per contrassegnare i dispositivi rooted come non conformi, impostare un livello di minaccia consentito, abilitare Google Play Protect e altro ancora.

Questa funzionalità si applica a:

• Android Enterprise

In qualità di amministratore Intune, usare queste impostazioni di conformità per proteggere le risorse dell'organizzazione. Per altre informazioni sui criteri di conformità e sulle relative operazioni, vedere Introduzione alla conformità dei dispositivi.

Importante

I criteri di conformità Android devono essere destinati solo a gruppi di dispositivi, non a utenti. I criteri di conformità verranno valutati in base al dispositivo e rifletteranno in modo appropriato lo stato di conformità in Intune. Per consentire agli utenti nei dispositivi dedicati di accedere alle risorse protette dai criteri di accesso condizionale, è consigliabile usare dispositivi dedicati Android Enterprise con Microsoft Entra modalità dispositivo condiviso.

Nei dispositivi android enterprise dedicati registrati senza Microsoft Entra modalità dispositivo condiviso, gli utenti del dispositivo non potranno accedere alle risorse protette dai criteri di accesso condizionale, anche se il dispositivo è conforme in Intune. Per altre informazioni sulla modalità dispositivo condiviso, vedere Panoramica della modalità dispositivo condiviso nella documentazione di Microsoft Entra.

Prima di iniziare

Creare criteri di conformità dei dispositivi per accedere alle impostazioni disponibili. Per Piattaforma selezionare Android Enterprise.

Profilo di lavoro completamente gestito, dedicato e di proprietà dell'azienda

Questa sezione descrive le impostazioni del profilo di conformità disponibili per i dispositivi completamente gestiti, i dispositivi dedicati e i dispositivi di proprietà dell'azienda con profili di lavoro. Le categorie di impostazione includono:

• Microsoft Defender per endpoint
• Integrità del dispositivo
• Proprietà del dispositivo
• Protezione del sistema

Microsoft Defender per endpoint

• Richiedere che il dispositivo sia al o sotto il punteggio di rischio del computer

  Selezionare il punteggio di rischio massimo consentito per i dispositivi valutati in base Microsoft Defender per endpoint. I dispositivi che superano questo punteggio vengono contrassegnati come non conformi.

  • Non configurato (impostazione predefinita)
  • Clear
  • Basso
  • Medio
  • High

Nota

Microsoft Defender per endpoint potrebbe non essere supportato in tutti i tipi di registrazione Android Enterprise. Altre informazioni sugli scenari supportati.

Integrità del dispositivo

• Richiedere che il dispositivo sia al livello o sotto il livello di minaccia del dispositivo
  Selezionare il livello massimo consentito di minaccia del dispositivo valutato dal servizio di difesa dalle minacce per dispositivi mobili. I dispositivi che superano questo livello di minaccia sono contrassegnati come non conformi. Per usare questa impostazione, scegliere il livello di minaccia consentito:

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Protetto : questa opzione è la più sicura e significa che il dispositivo non può avere minacce. Se il dispositivo viene rilevato con qualsiasi livello di minacce, viene valutato come non conforme.
  • Basso: il dispositivo viene valutato come conforme se sono presenti solo minacce di basso livello. In presenza di minacce di livello alto, il dispositivo verrà messo in stato di non conformità.
  • Medio : il dispositivo viene valutato come conforme se le minacce presenti nel dispositivo sono di livello basso o medio. Se viene rilevato che il dispositivo presenta minacce di alto livello, è determinato che non è conforme.
  • Alto : questa opzione è la meno sicura, in quanto consente tutti i livelli di minaccia. Può essere utile se si usa questa soluzione solo a scopo di creazione di report.

Nota

Tutti i provider di Mobile Threat Defense (MTD) sono supportati nelle distribuzioni Android Enterprise completamente gestite, dedicate e Corporate-Owned profilo di lavoro usando la configurazione dell'app. Verificare con il provider MTD la configurazione esatta necessaria per supportare le piattaforme Android Enterprise completamente gestite, dedicate e Corporate-Owned profilo di lavoro in Intune.

Google Play Protect

Importante

Google Play Protect funziona in posizioni in cui Google Mobile Services è disponibile. I dispositivi che operano in aree geografiche o paesi in cui Google Mobile Services non è disponibile non riusciranno a valutare le impostazioni dei criteri di conformità di Google Play Protect. Per altre informazioni, vedere Gestione dei dispositivi Android in cui Google Mobile Services non è disponibile.

• Play Integrity Verdict
  Selezionare il tipo di controlli di integrità che i dispositivi devono passare per rimanere conformi. Intune valuta il verdetto di integrità di Play per determinare la conformità. Le opzioni disponibili sono:

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Controllare l'integrità di base: richiedere ai dispositivi di superare il controllo di integrità di base di Play.
  • Controllare l'integrità di base & l'integrità del dispositivo: richiedere ai dispositivi di superare il controllo di integrità di base di Play e il controllo dell'integrità del dispositivo.

• Controllare l'integrità avanzata usando le funzionalità di sicurezza supportate dall'hardware
  Facoltativamente, è possibile richiedere ai dispositivi di superare un controllo di integrità avanzata. Questa impostazione è disponibile solo se sono necessari controlli di integrità di base o controlli di integrità del dispositivo. Le opzioni disponibili sono:

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità. Intune valuta il verdetto dal controllo di integrità di base per impostazione predefinita.
  • Controllare l'integrità avanzata : richiedere ai dispositivi di superare il controllo dell'integrità avanzata di Play. Non tutti i dispositivi supportano questo tipo di controllo. Intune contrassegna tali dispositivi come non conformi.

  Per altre informazioni sui servizi di integrità di Google Play, vedere la documentazione per sviluppatori Android seguente:

  • Servizi di integrità e firma di Google Play

  • Verdetti di integrità

Proprietà del dispositivo

Versione del sistema operativo

• Versione minima del sistema operativo
  Quando un dispositivo non soddisfa il requisito minimo di versione del sistema operativo, viene segnalato come non conforme. Gli utenti del dispositivo visualizzano un collegamento con informazioni su come aggiornare il sistema operativo. Possono aggiornare il dispositivo e quindi accedere alle risorse dell'organizzazione.

  Per impostazione predefinita, non è configurata alcuna versione.

• Versione massima del sistema operativo
  Quando un dispositivo usa una versione del sistema operativo successiva alla versione nella regola, l'accesso alle risorse dell'organizzazione viene bloccato. All'utente viene chiesto di contattare l'amministratore IT. Finché non viene modificata una regola per consentire la versione del sistema operativo, questo dispositivo non può accedere alle risorse dell'organizzazione.

  Per impostazione predefinita, non è configurata alcuna versione.

• Livello minimo di patch di sicurezza
  Selezionare il livello di patch di sicurezza meno recente che un dispositivo può avere. I dispositivi che non sono almeno a questo livello di patch non sono conformi. La data deve essere immessa nel formato AAAA-MM-GG.

  Per impostazione predefinita, non è configurata alcuna data.

Protezione del sistema

• Richiedere una password per sbloccare i dispositivi mobili

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Richiedi : gli utenti devono immettere una password prima di poter accedere al dispositivo.

• Tipo di password richiesto
  Scegliere se una password deve includere solo caratteri numerici o una combinazione di numeri e altri caratteri. Le opzioni disponibili sono:

  • Impostazione predefinita del dispositivo : per valutare la conformità delle password, assicurarsi di selezionare un livello di password diverso da Quello predefinito del dispositivo. Il sistema operativo potrebbe non richiedere una password del dispositivo per impostazione predefinita, quindi è preferibile selezionare un tipo di password diverso per un maggiore controllo e coerenza in tutti i dispositivi.
  • Password richiesta, nessuna restrizione
  • Biometrica debole : per altre informazioni su questo tipo di password, vedere Dati biometrici sicuri e vulnerabili (apre il blog degli sviluppatori Android).
  • Numerico (impostazione predefinita): la password deve essere solo numeri, ad 123456789esempio .
  • Complesso numerico : i numeri ripetuti o consecutivi, ad 1111 esempio o 1234, non sono consentiti.
  • Alfabetico : sono necessarie lettere nell'alfabeto. I numeri e i simboli non sono obbligatori.
  • Alfanumerico : include lettere maiuscole, lettere minuscole e caratteri numerici.
  • Alfanumerico con simboli : include lettere maiuscole, lettere minuscole, caratteri numerici, segni di punteggiatura e simboli.

  Altre impostazioni variano in base al tipo di password. Quando applicabile, vengono visualizzate le impostazioni seguenti:

  • Lunghezza minima password
    Immettere la lunghezza minima che deve avere la password, compresa tra 4 e 16 caratteri.

  • Numero di caratteri necessari
    Immettere il numero di caratteri che la password deve avere, compresi tra 0 e 16 caratteri.

  • Numero di caratteri minuscoli necessari
    Immettere il numero di caratteri minuscoli che la password deve avere, compresi tra 0 e 16 caratteri.

  • Numero di caratteri maiuscoli necessari
    Immettere il numero di caratteri maiuscoli che la password deve avere, compresi tra 0 e 16 caratteri.

  • Numero di caratteri non lettera necessari
    Immettere il numero di lettere diverse dalle lettere nell'alfabeto. La password deve contenere da 0 a 16 caratteri.

  • Numero di caratteri numerici necessari
    Immettere il numero di caratteri numerici (1, 2, 3e così via) che devono contenere una password compresa tra 0 e 16 caratteri.

  • Numero di caratteri simbolo necessari
    Immettere il numero di caratteri simbolo (&, #, %e così via) che devono contenere una password compresa tra 0 e 16 caratteri.

  • Numero massimo di minuti di inattività prima che sia necessaria la password
    Immettere il tempo di inattività prima che l'utente debba immettere di nuovo la password. Le opzioni includono il valore predefinito Non configurato e da 1 minuto a 8 ore.

  • Numero di giorni fino alla scadenza della password
    Immettere il numero di giorni, compreso tra 1 e 365, fino a quando non deve essere modificata la password del dispositivo. Ad esempio, per richiedere una modifica della password dopo 60 giorni, immettere 60. Quando la password scade, agli utenti viene richiesto di creare una nuova password.

    Per impostazione predefinita, non viene configurato alcun valore.

  • Numero di password necessarie prima che l'utente possa riutilizzare una password
    Immettere il numero di password recenti che non possono essere riutilizzate, tra 1 e 24. Usare questa impostazione per impedire all'utente di creare password usate in precedenza.

    Per impostazione predefinita, non è configurata alcuna versione.

Crittografia

• Richiedere la crittografia dell'archiviazione dati nel dispositivo

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Richiedi : crittografa l'archiviazione dati nei dispositivi.

  Non è necessario configurare questa impostazione perché i dispositivi Android Enterprise applicano la crittografia.

Sicurezza dei dispositivi

• Intune l'integrità del runtime dell'app
  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Richiedi : crittografa l'archiviazione dati nei dispositivi.

Profilo di lavoro di proprietà personale

Questa sezione descrive le impostazioni del profilo di conformità disponibili per i dispositivi personali registrati con profili di lavoro. Le categorie di impostazione includono:

• Microsoft Defender per endpoint
• Integrità del dispositivo
• Proprietà del dispositivo
• Protezione del sistema

Microsoft Defender per endpoint - per il profilo di lavoro di proprietà personale

• Richiedere che il dispositivo sia al o sotto il punteggio di rischio del computer
  Selezionare il punteggio di rischio massimo consentito per i dispositivi valutati in base Microsoft Defender per endpoint. I dispositivi che superano questo punteggio vengono contrassegnati come non conformi.
  • Non configurato (impostazione predefinita)
  • Clear
  • Basso
  • Medio
  • High

Integrità del dispositivo : per il profilo di lavoro di proprietà personale

• Dispositivi rooted

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Blocca : contrassegnare i dispositivi rooted come non conformi.

• Richiedere che il dispositivo sia al livello o sotto il livello di minaccia del dispositivo
  Selezionare il livello massimo consentito di minaccia del dispositivo valutato dal servizio di difesa dalle minacce per dispositivi mobili. I dispositivi che superano questo livello di minaccia sono contrassegnati come non conformi. Per usare questa impostazione, scegliere il livello di minaccia consentito:

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Protetto : questa opzione è la più sicura e significa che il dispositivo non può avere minacce. Se il dispositivo viene rilevato con qualsiasi livello di minacce, viene valutato come non conforme.
  • Basso : il dispositivo viene valutato come conforme se sono presenti solo minacce di basso livello. In presenza di minacce di livello alto, il dispositivo verrà messo in stato di non conformità.
  • Medio : il dispositivo viene valutato come conforme se le minacce presenti nel dispositivo sono di livello basso o medio. Se viene rilevato che il dispositivo presenta minacce di alto livello, è determinato che non è conforme.
  • Alto : questa opzione è la meno sicura, in quanto consente tutti i livelli di minaccia. Può essere utile se si usa questa soluzione solo a scopo di creazione di report.

Google Play Protect - per profilo di lavoro di proprietà personale

Importante

Google Play Protect funziona in posizioni in cui Google Mobile Services è disponibile. I dispositivi che operano in aree geografiche o paesi in cui Google Mobile Services non è disponibile non riusciranno a valutare le impostazioni dei criteri di conformità di Google Play Protect. Per altre informazioni, vedere Gestione dei dispositivi Android in cui Google Mobile Services non è disponibile.

• Google Play Services è configurato

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Richiedi : richiedere che l'app Google Play Services sia installata e abilitata. L'app Google Play Services abilita gli aggiornamenti della sicurezza ed è una dipendenza a livello di base per molte funzionalità di sicurezza nei dispositivi Google certificati.

• Provider di sicurezza aggiornato

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Richiedi : richiedere che un provider di sicurezza aggiornato possa proteggere un dispositivo da vulnerabilità note.

• Play Integrity Verdict
  Selezionare il tipo di controlli di integrità che i dispositivi devono passare per rimanere conformi. Intune valuta il verdetto di integrità di Play per determinare la conformità. Le opzioni disponibili sono:

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Controllare l'integrità di base: richiedere ai dispositivi di superare il controllo di integrità di base di Play.
  • Controllare l'integrità di base & l'integrità del dispositivo: richiedere ai dispositivi di superare il controllo di integrità di base di Play e il controllo dell'integrità del dispositivo.

• Controllare l'integrità avanzata usando le funzionalità di sicurezza supportate dall'hardware
  Facoltativamente, è possibile richiedere ai dispositivi di superare un controllo di integrità avanzata. Questa impostazione è disponibile solo se sono necessari controlli di integrità di base o controlli di integrità del dispositivo. Le opzioni disponibili sono:

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità. Intune valuta il controllo di integrità di base per impostazione predefinita.
  • Controllare l'integrità avanzata : richiedere ai dispositivi di superare il controllo dell'integrità avanzata di Play. Non tutti i dispositivi supportano questo tipo di controllo. Intune contrassegna tali dispositivi come non conformi.

  Per altre informazioni sui servizi di integrità di Google Play, vedere la documentazione per sviluppatori Android seguente:

  • Servizi di integrità e firma di Google Play

  • Verdetti di integrità

Consiglio

Intune ha anche un criterio che richiede Play Protect per analizzare le app installate alla ricerca di minacce. È possibile configurare questa impostazione in un criterio di configurazione dei dispositivi Android Enterprise in Limiti del> dispositivoSicurezza del sistema. Per altre informazioni, vedere Impostazioni di restrizione dei dispositivi Android Enterprise.

Proprietà del dispositivo : per il profilo di lavoro di proprietà personale

Versione del sistema operativo : per il profilo di lavoro di proprietà personale

• Versione minima del sistema operativo
  Quando un dispositivo non soddisfa il requisito minimo di versione del sistema operativo, viene segnalato come non conforme. Gli utenti del dispositivo visualizzano un collegamento con informazioni su come aggiornare il sistema operativo. Possono aggiornare il dispositivo e quindi accedere alle risorse dell'organizzazione.

  Per impostazione predefinita, non è configurata alcuna versione.

• Versione massima del sistema operativo
  Quando un dispositivo usa una versione del sistema operativo successiva alla versione nella regola, l'accesso alle risorse dell'organizzazione viene bloccato. All'utente viene chiesto di contattare l'amministratore IT. Finché non viene modificata una regola per consentire la versione del sistema operativo, questo dispositivo non può accedere alle risorse dell'organizzazione.

  Per impostazione predefinita, non è configurata alcuna versione.

Sicurezza del sistema : per il profilo di lavoro di proprietà personale

Crittografia : per il profilo di lavoro di proprietà personale

• Richiedere la crittografia dell'archiviazione dati nel dispositivo

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Richiedi : crittografa l'archiviazione dati nei dispositivi.

  Non è necessario configurare questa impostazione perché i dispositivi Android Enterprise applicano la crittografia.

Sicurezza del dispositivo : per il profilo di lavoro di proprietà personale

• Bloccare le app da origini sconosciute

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Blocca: blocca i dispositivi con originisconosciute di sicurezza> abilitate (supportate da Android 4.0 a Android 7.x. Non supportato da Android 8.0 e versioni successive).

  Per caricare localmente le app, è necessario consentire origini sconosciute. Se non si caricano localmente le app Android, impostare questa funzionalità su Blocca per abilitare questo criterio di conformità.

  Importante

  Per le applicazioni sideload è necessario che l'impostazione Blocca app da origini sconosciute sia abilitata. Applicare questo criterio di conformità solo se non si caricano localmente app Android nei dispositivi.

  Non è necessario configurare questa impostazione perché i dispositivi Android Enterprise limitano sempre l'installazione da origini sconosciute.

• Portale aziendale l'integrità del runtime dell'app

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Richiedi: scegliere Richiedi per confermare che l'app Portale aziendale soddisfi tutti i requisiti seguenti:
    • L'ambiente di runtime predefinito è installato
    • Firma corretta
    • Non è in modalità di debug
    • Viene installato da un'origine nota

• Bloccare il debug USB nel dispositivo

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Blocca : impedisce ai dispositivi di usare la funzionalità di debug USB.

  Non è necessario configurare questa impostazione perché il debug USB è già disabilitato nei dispositivi Android Enterprise.

• Livello minimo di patch di sicurezza
  Selezionare il livello di patch di sicurezza meno recente che un dispositivo può avere. I dispositivi che non sono almeno a questo livello di patch non sono conformi. La data deve essere immessa nel formato AAAA-MM-GG.

  Per impostazione predefinita, non è configurata alcuna data.

• Richiedere una password per sbloccare i dispositivi mobili

  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Richiedi : gli utenti devono immettere una password prima di poter accedere al dispositivo.

  Questa impostazione si applica a livello di dispositivo. Se è necessaria solo una password a livello di profilo di lavoro, usare un criterio di configurazione. Per altre informazioni, vedere Impostazioni di configurazione dei dispositivi Android Enterprise.

Importante

Quando un profilo di lavoro di proprietà personale è abilitato, i passcode del dispositivo e del profilo di lavoro vengono combinati per impostazione predefinita in modo che lo stesso passcode venga usato in entrambe le posizioni. Intune applica il livello di complessità più elevato dei due. L'utente del dispositivo può usare due passcode separati se passa alle impostazioni del profilo di lavoro e deseleziona Usa un blocco. Per assicurarsi che gli utenti del dispositivo usino due passcode separati durante la registrazione, creare un profilo di configurazione del dispositivo che impedisce agli utenti del dispositivo di usare un blocco.

1. Nell'interfaccia di amministrazione creare un profilo di configurazione del dispositivo.
2. Per Tipo di profilo selezionare Restrizioni del dispositivo.
3. Espandere Impostazioni profilo di lavoro e passare a Password> profilo di lavoroTutti i dispositivi Android.
4. Trovare la restrizione Un blocco per il dispositivo e il profilo di lavoro. Selezionare Blocca.

Tutti i dispositivi Android - Sicurezza dei dispositivi

• Numero di giorni fino alla scadenza della password
  Immettere il numero di giorni, compreso tra 1 e 365, fino a quando non deve essere modificata la password del dispositivo. Ad esempio, per richiedere una modifica della password dopo 60 giorni, immettere 60. Quando la password scade, agli utenti viene richiesto di creare una nuova password.

• Numero di password precedenti per impedire il riutilizzo
  Usare questa impostazione per impedire agli utenti di riutilizzare le password precedenti. Immettere il numero di password che si desidera impedire loro di riutilizzare, da 1 a 24. Ad esempio, immettere 5 in modo che gli utenti non possano riutilizzare le 5 password precedenti. Quando il valore è vuoto, Intune non modifica o aggiorna questa impostazione.

• Numero massimo di minuti di inattività prima che sia necessaria la password
  Immettere il tempo di inattività massimo consentito, da 1 minuto a 8 ore. Dopo questo periodo di tempo, l'utente deve immettere nuovamente la password per tornare nel dispositivo. Quando si sceglie Non configurato (impostazione predefinita), questa impostazione non viene valutata per la conformità o la non conformità.

Android 12 e versioni successive - Sicurezza dei dispositivi

• Complessità delle password
  Selezionare i requisiti di complessità delle password per i dispositivi che eseguono Android 12 e versioni successive. Le opzioni disponibili sono:

  • Nessuno : questa impostazione non viene valutata per la conformità o la non conformità.
  • Bassa : sono consentiti modelli o PIN con sequenze ripetute (4444) o ordinate (1234, 4321, 2468).
  • Media : la lunghezza, la lunghezza alfabetica o alfanumerica deve essere di almeno 4 caratteri. I PIN con sequenze ripetute (4444) o ordinate (1234, 4321, 2468) vengono bloccati.
  • Alto : la lunghezza deve essere di almeno 8 caratteri. La lunghezza alfabetica o alfanumerica deve essere di almeno 6 caratteri. I PIN con sequenze ripetute (4444) o ordinate (1234, 4321, 2468) vengono bloccati.

  Questa impostazione influisce su due password nel dispositivo:

  • Password del dispositivo che sblocca il dispositivo.
  • Password del profilo di lavoro che consente agli utenti di accedere al profilo di lavoro.

  Se la complessità della password del dispositivo è troppo bassa, la password del dispositivo viene modificata automaticamente per richiedere un livello elevato di complessità. Gli utenti finali devono aggiornare la password del dispositivo per soddisfare i requisiti di complessità. Quindi, quando accedono al profilo di lavoro, viene richiesto di aggiornare la password del profilo di lavoro in modo che corrisponda al livello di complessità configurato inComplessità passworddi sicurezza> del profilo di lavoro.

  Importante

  Prima che fosse disponibile l'impostazione di complessità della password, sono state usate le impostazioni Tipo di password obbligatoria e Lunghezza minima password . Queste impostazioni sono ancora disponibili, ma Google le ha deprecate per i dispositivi personali con un profilo di lavoro.

  Ecco cosa è necessario sapere:

  • Se l'impostazione Tipo di password obbligatorio viene modificata rispetto al valore predefinito Dispositivo in un criterio, eseguire le operazioni seguenti:

    • I dispositivi Android Enterprise 12+ appena registrati useranno automaticamente l'impostazione Complessità password con la complessità elevata . Pertanto, se non si vuole una complessità elevata delle password, creare un nuovo criterio per i dispositivi Android Enterprise 12+ e configurare l'impostazione Complessità password .

    • I dispositivi Android Enterprise 12+ esistenti continueranno a usare l'impostazione Tipo di password obbligatorio e il valore esistente configurato.

      Se si modifica un criterio esistente con l'impostazione Tipo di password obbligatoria già configurata, i dispositivi Android Enterprise 12+ useranno automaticamente l'impostazione Complessità password con complessità elevata .

      Per i dispositivi Android Enterprise 12+ è consigliabile configurare l'impostazione Complessità password.

  • Se l'impostazione Tipo di password obbligatorio non viene modificata rispetto al valore predefinito Dispositivo in un criterio, non viene applicato automaticamente alcun criterio password ai dispositivi Android Enterprise 12+ appena registrati.

Android 11 e versioni precedenti - Sicurezza dei dispositivi

Importante

Google ha deprecato le impostazioni Tipo di password obbligatoria e Lunghezza minima password per Android 12 e versioni successive. Al posto di tali impostazioni, usare l'impostazione di complessità della password in Android 12 e versioni successive. Se si continuano a usare le impostazioni deprecate senza configurare l'impostazione di complessità della password, i nuovi dispositivi che eseguono Android 12 o versioni successive avranno per impostazione predefinita una complessità elevata delle password. Per altre informazioni su questa modifica e su come influisce sulle password nei dispositivi nuovi ed esistenti, vedere Android 12 e versioni successive - Sicurezza dei dispositivi in questo articolo.

• Tipo di password richiesto
  Scegliere se una password deve includere solo caratteri numerici o una combinazione di numeri e altri caratteri. Le opzioni disponibili sono:

  • Impostazione predefinita del dispositivo: per valutare la conformità delle password, assicurarsi di selezionare un livello di password diverso da Quello predefinito del dispositivo. Il sistema operativo potrebbe non richiedere una password del dispositivo per impostazione predefinita, quindi è preferibile selezionare un tipo di password diverso per un maggiore controllo e coerenza in tutti i dispositivi.
  • Biometria a bassa sicurezza: per altre informazioni su questo tipo di password, vedere dati biometrici sicuri e vulnerabili (si apre il blog degli sviluppatori Android).
  • Almeno numerico (impostazione predefinita): richiedere caratteri numerici, ad 123456789esempio .
  • Complesso numerico: i numeri ripetuti o consecutivi, ad 1111 esempio o 1234, non sono consentiti. Immettere anche:
  • Almeno alfabetico: richiedere lettere dall'alfabeto. I numeri e i simboli non sono obbligatori. Immettere anche:
  • Almeno alfanumerico: richiede lettere maiuscole, lettere minuscole e caratteri numerici.
  • Almeno alfanumerico con simboli: richiedere lettere maiuscole, lettere minuscole, caratteri numerici, segni di punteggiatura e simboli.

• Lunghezza minima password
  Questa impostazione viene visualizzata per determinati tipi di password. Immettere il numero minimo di caratteri necessari, compreso tra 4 e 16 caratteri.

Sicurezza del profilo di lavoro : per il profilo di lavoro di proprietà personale

Se non si configurano i requisiti della password, l'uso di una password del profilo di lavoro è facoltativo e viene lasciato agli utenti da configurare.

• Richiedere una password per sbloccare il profilo di lavoro
  Richiedere agli utenti del dispositivo di avere un profilo di lavoro protetto da password. Le opzioni disponibili sono:
  • Non configurata (impostazione predefinita): questa impostazione non viene valutata per la conformità o la non conformità.
  • Richiedi : gli utenti devono immettere una password per accedere al profilo di lavoro.

Tutti i dispositivi Android - Sicurezza del profilo di lavoro

• Numero di giorni fino alla scadenza della password
  Immettere il numero di giorni, compreso tra 1 e 365, fino a quando non deve essere modificata la password del profilo di lavoro. Ad esempio, per richiedere una modifica della password dopo 60 giorni, immettere 60. Quando la password scade, agli utenti viene richiesto di creare una nuova password.

• Numero di password precedenti per impedire il riutilizzo
  Usare questa impostazione per impedire agli utenti di riutilizzare le password precedenti. Immettere il numero di password che si desidera impedire loro di riutilizzare, da 1 a 24. Ad esempio, immettere 5 in modo che gli utenti non possano riutilizzare le 5 password precedenti. Quando il valore è vuoto, Intune non modifica o aggiorna questa impostazione.

• Numero massimo di minuti di inattività prima che sia necessaria la password
  Immettere il tempo di inattività massimo consentito, da 1 minuto a 8 ore. Dopo questo periodo di tempo, l'utente deve immettere nuovamente la password per tornare al profilo di lavoro. Quando si sceglie Non configurato (impostazione predefinita), questa impostazione non viene valutata per la conformità o la non conformità.

Android 12 e versioni successive - Sicurezza del profilo di lavoro

• Complessità delle password
  Selezionare il requisito di complessità delle password per i profili di lavoro nei dispositivi che eseguono Android 12 e versioni successive. Le opzioni disponibili sono:

  • Nessuno : questa impostazione non viene valutata per la conformità o la non conformità.
  • Basso : sono consentiti un modello o un PIN con sequenze ripetute (4444) o ordinate (1234, 4321, 2468).
  • Media : la lunghezza, la lunghezza alfabetica o alfanumerica deve essere di almeno 4 caratteri. I PIN con sequenze ripetute (4444) o ordinate (1234, 4321, 2468) vengono bloccati.
  • Alto : la lunghezza deve essere di almeno 8 caratteri. La lunghezza alfabetica o alfanumerica deve essere di almeno 6 caratteri. I PIN con sequenze ripetute (4444) o ordinate (1234, 4321, 2468) vengono bloccati.

  Questa impostazione influisce su due password nel dispositivo:

  • Password del dispositivo che sblocca il dispositivo.
  • Password del profilo di lavoro che consente agli utenti di accedere al profilo di lavoro.

  Se la complessità della password del dispositivo è troppo bassa, la password del dispositivo viene modificata automaticamente per richiedere un livello elevato di complessità. Gli utenti finali devono aggiornare la password del dispositivo per soddisfare i requisiti di complessità. Quindi, quando accedono al profilo di lavoro, viene richiesto di aggiornare la password del profilo di lavoro in modo che corrisponda alla complessità configurata qui.

  Importante

  Prima che fosse disponibile l'impostazione di complessità della password, sono state usate le impostazioni Tipo di password obbligatoria e Lunghezza minima password . Queste impostazioni sono ancora disponibili, ma Google le ha deprecate per i dispositivi personali con un profilo di lavoro.

  Ecco cosa è necessario sapere:

  • Se l'impostazione Tipo di password obbligatorio viene modificata rispetto al valore predefinito Dispositivo in un criterio, eseguire le operazioni seguenti:

    • I dispositivi Android Enterprise 12+ appena registrati useranno automaticamente l'impostazione Complessità password con la complessità elevata . Pertanto, se non si vuole una complessità elevata delle password, creare un nuovo criterio per i dispositivi Android Enterprise 12+ e configurare l'impostazione Complessità password .

    • I dispositivi Android Enterprise 12+ esistenti continueranno a usare l'impostazione Tipo di password obbligatorio e il valore esistente configurato.

      Se si modifica un criterio esistente con l'impostazione Tipo di password obbligatoria già configurata, i dispositivi Android Enterprise 12+ useranno automaticamente l'impostazione Complessità password con complessità elevata .

      Per i dispositivi Android Enterprise 12+ è consigliabile configurare l'impostazione Complessità password.

  • Se l'impostazione Tipo di password obbligatorio non viene modificata rispetto al valore predefinito Dispositivo in un criterio, non viene applicato automaticamente alcun criterio password ai dispositivi Android Enterprise 12+ appena registrati.

Android 11 e versioni precedenti - Sicurezza del profilo di lavoro

Queste impostazioni delle password si applicano ai dispositivi che eseguono Android 11 e versioni precedenti.

Importante

Google ha deprecato le impostazioni Tipo di password obbligatoria e Lunghezza minima password per Android 12 e versioni successive. Al posto di tali impostazioni, usare l'impostazione di complessità della password in Android 12 e versioni successive. Se si continuano a usare le impostazioni deprecate senza configurare l'impostazione di complessità della password, i nuovi dispositivi che eseguono Android 12 o versioni successive avranno per impostazione predefinita una complessità elevata delle password. Per altre informazioni su questa modifica e su come influisce sulle password del profilo di lavoro nei dispositivi nuovi ed esistenti, vedere Android 12 e versioni successive - Sicurezza del profilo di lavoro in questo articolo.

• Tipo di password richiesto
  Richiedere agli utenti di usare un determinato tipo di password. Le opzioni disponibili sono:
  • Impostazione predefinita del dispositivo : per valutare la conformità delle password, assicurarsi di selezionare un livello di password diverso da Quello predefinito del dispositivo. Il sistema operativo potrebbe non richiedere una password del profilo di lavoro per impostazione predefinita, quindi è preferibile selezionare un tipo di password diverso per un maggiore controllo e coerenza tra tutti i dispositivi.
  • Biometria a bassa sicurezza: per altre informazioni su questo tipo di password, vedere dati biometrici sicuri e vulnerabili (si apre il blog degli sviluppatori Android).
  • Almeno numerico (impostazione predefinita): richiedere caratteri numerici, ad 123456789esempio .
  • Complesso numerico: i numeri ripetuti o consecutivi, ad 1111 esempio o 1234, non sono consentiti.
  • Almeno alfabetico: richiedere lettere dall'alfabeto. I numeri e i simboli non sono obbligatori.
  • Almeno alfanumerico: richiede lettere maiuscole, lettere minuscole e caratteri numerici.
  • Almeno alfanumerico con simboli: richiedere lettere maiuscole, lettere minuscole, caratteri numerici, segni di punteggiatura e simboli.
• Lunghezza minima password
  Questa impostazione viene visualizzata per determinati tipi di password. Immettere il numero minimo di caratteri necessari, compreso tra 4 e 16 caratteri.

Passaggi successivi

• Aggiungere azioni per i dispositivi non conformi e usare i tag di ambito per filtrare i criteri.
• Monitorare i criteri di conformità.
• Vedere le impostazioni dei criteri di conformità per i dispositivi Android.