Instellingen voor apparaatnaleving voor Android Enterprise in Intune

In dit artikel worden de verschillende nalevingsinstellingen beschreven die u kunt configureren op Android Enterprise-apparaten in Intune. Gebruik deze instellingen als onderdeel van uw MDM-oplossing (Mobile Device Management) om geroot apparaten te markeren als niet-compatibel, een toegestaan bedreigingsniveau in te stellen, Google Play Protect in te schakelen en meer.

Deze functie is van toepassing op:

  • Android Enterprise

Als Intune beheerder gebruikt u deze nalevingsinstellingen om uw organisatieresources te beschermen. Zie Aan de slag met apparaatcompatibiliteit voor meer informatie over nalevingsbeleid en wat ze doen.

Belangrijk

Als u wilt toepassen op Android toegewezen Enterprise-apparaten, moet het nalevingsbeleid zijn gericht op apparaten, niet op gebruikers. Nalevingsbeleid wordt geëvalueerd op basis van het apparaat en weerspiegelt de nalevingsstatus in Intune. Als u wilt dat gebruikers op toegewezen apparaten zich kunnen aanmelden bij resources die worden beveiligd met beleid voor voorwaardelijke toegang, kunt u Android toegewezen Enterprise-apparaten gebruiken met Azure AD modus voor gedeelde apparaten.

Op Android toegewezen Enterprise-apparaten die zijn ingeschreven zonder Azure AD modus voor gedeelde apparaten, kunnen gebruikers van het apparaat zich niet aanmelden bij resources die worden beveiligd met beleid voor voorwaardelijke toegang, zelfs niet als het apparaat compatibel is in Intune. Zie Overzicht van de modus voor gedeelde apparaten in de documentatie over Azure AD voor meer informatie over de modus voor gedeelde apparaten.

Voordat u begint

Bij het configureren van nalevingsbeleid kunt u met het brede scala aan instellingen de beveiliging aanpassen aan uw specifieke behoeften. Zie de richtlijnen voor het beveiligingsconfiguratieframework voor Android Enterprise-apparaatbeperkingsbeleid voor meer inzicht in het implementeren van specifieke beveiligingsconfiguratiescenario's.

Het beveiligingsconfiguratieframework is ingedeeld in verschillende configuratieniveaus die richtlijnen bieden voor apparaten in persoonlijk eigendom en onder supervisie, waarbij elk niveau afbouwt van het vorige niveau. De beschikbare niveaus en instellingen in elk niveau variëren per inschrijvingsmodus:

Wanneer u klaar bent om door te gaan, maakt u een nalevingsbeleid. Selecteer voor Platform Android Enterprise.

Volledig beheerd, toegewezen en Corporate-Owned werkprofiel

Microsoft Defender voor Eindpunt

  • Vereisen dat het apparaat op of onder de risicoscore van de machine valt

    Selecteer de maximaal toegestane machinerisicoscore voor apparaten die worden geëvalueerd door Microsoft Defender voor Eindpunt. Apparaten die deze score overschrijden, worden gemarkeerd als niet-compatibel.

    • Niet geconfigureerd (standaard)
    • Duidelijk
    • Laag
    • Gemiddeld
    • Hoog

Notitie

Microsoft Defender voor Eindpunt worden mogelijk niet ondersteund voor alle Android Enterprise-inschrijvingstypen. Meer informatie over welke scenario's worden ondersteund.

Apparaatstatus

  • Vereisen dat het apparaat zich op of onder het apparaatdreigingsniveau besturingssysteem
    Selecteer het maximaal toegestane bedreigingsniveau voor apparaten dat wordt geëvalueerd door uw Mobile Threat Defense-service. Apparaten die dit bedreigingsniveau overschrijden, worden gemarkeerd als niet-compatibel. Als u deze instelling wilt gebruiken, kiest u het toegestane bedreigingsniveau:

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Beveiligd : deze optie is het veiligst en betekent dat het apparaat geen bedreigingen kan hebben. Als het apparaat wordt gedetecteerd met een bedreigingsniveau, wordt het geëvalueerd als niet-compatibel.
    • Laag: - Het apparaat wordt geëvalueerd als compatibel als er alleen bedreigingen op laag niveau aanwezig zijn. Als het hoger is, krijgt het apparaat een niet-compatibele status.
    • Gemiddeld : het apparaat wordt geëvalueerd als compatibel als de bedreigingen die op het apparaat aanwezig zijn, laag of gemiddeld zijn. Als wordt gedetecteerd dat het apparaat bedreigingen op hoog niveau heeft, wordt vastgesteld dat het niet-compatibel is.
    • Hoog : deze optie is het minst veilig, omdat alle bedreigingsniveaus zijn toegestaan. Het kan handig zijn als u deze oplossing alleen gebruikt voor rapportagedoeleinden.

Notitie

Alle MTD-providers (Mobile Threat Defense) worden ondersteund op Android Enterprise Fully Managed, Dedicated en Corporate-Owned Work Profile-implementaties met behulp van app-configuratie. Neem contact op met uw MTD-provider voor de exacte configuratie die nodig is om Android enterprise-platformen volledig beheerd, toegewezen en Corporate-Owned werkprofiel te ondersteunen op Intune.

Google Play Protect

Belangrijk

Apparaten die werken in regio's of landen waar Google Mobile Services niet beschikbaar zijn, mislukken evaluaties van het google Play Protect-nalevingsbeleid. Zie Android apparaten beheren waarop Google Mobile Services niet beschikbaar zijn voor meer informatie.

  • SafetyNet-apparaatattest
    Voer het niveau van SafetyNet-attestation in waaraan moet worden voldaan. Uw opties:

    • Niet geconfigureerd (standaard): de instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Basisintegriteit controleren
    • Basisintegriteit controleren & gecertificeerde apparaten

Apparaateigenschappen

Versie van het besturingssysteem

  • Minimale versie van het besturingssysteem
    Wanneer een apparaat niet voldoet aan de minimumvereisten voor de versie van het besturingssysteem, wordt dit gerapporteerd als niet-compatibel. Er wordt een koppeling weergegeven met informatie over het uitvoeren van een upgrade. De eindgebruiker kan zijn of haar apparaat upgraden en vervolgens toegang krijgen tot de resources van de organisatie.

    Standaard is er geen versie geconfigureerd.

  • Maximale versie van het besturingssysteem
    Wanneer een apparaat een versie van het besturingssysteem gebruikt die hoger is dan de versie in de regel, wordt de toegang tot organisatieresources geblokkeerd. De gebruiker wordt gevraagd contact op te nemen met de IT-beheerder. Totdat een regel is gewijzigd om de versie van het besturingssysteem toe te staan, heeft dit apparaat geen toegang tot organisatieresources.

    Standaard is er geen versie geconfigureerd.

  • Minimaal beveiligingspatchniveau
    Selecteer het oudste beveiligingspatchniveau dat een apparaat kan hebben. Apparaten die niet ten minste op dit patchniveau zijn geïnstalleerd, zijn niet-compatibel. De datum moet worden ingevoerd in de notatie JJJJ-MM-DD.

    Standaard is er geen datum geconfigureerd.

Systeembeveiliging

  • Een wachtwoord vereisen om mobiele apparaten te ontgrendelen

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Vereisen : gebruikers moeten een wachtwoord invoeren voordat ze toegang hebben tot hun apparaat.
  • Vereist wachtwoordtype
    Kies of een wachtwoord alleen numerieke tekens of een combinatie van cijfers en andere tekens mag bevatten. Uw opties:

    • Standaardwaarde apparaat : als u wachtwoordnaleving wilt evalueren, moet u een andere wachtwoordsterkte dan De standaardwaarde van het apparaat selecteren.
    • Wachtwoord vereist, geen beperkingen
    • Zwakke biometrie - Sterke versus zwakke biometrie (opent de website van Android)
    • Numeriek (standaard): Het wachtwoord mag alleen getallen zijn, zoals 123456789. Voer de minimale wachtwoordlengte in die een gebruiker moet invoeren, tussen 4 en 16 tekens.
    • Numeriek complex : herhaalde of opeenvolgende getallen, zoals '1111' of '1234', zijn niet toegestaan. Voer de minimale wachtwoordlengte in die een gebruiker moet invoeren, tussen 4 en 16 tekens.
    • Alfabetisch - Letters in het alfabet zijn vereist. Getallen en symbolen zijn niet vereist. Voer de minimale wachtwoordlengte in die een gebruiker moet invoeren, tussen 4 en 16 tekens.
    • Alfanumeriek : bevat hoofdletters, kleine letters en numerieke tekens. Voer de minimale wachtwoordlengte in die een gebruiker moet invoeren, tussen 4 en 16 tekens.
    • Alfanumeriek met symbolen - Bevat hoofdletters, kleine letters, numerieke tekens, leestekens en symbolen.

    Afhankelijk van het wachtwoordtype dat u selecteert, zijn de volgende instellingen beschikbaar:

    • Minimale wachtwoordlengte
      Voer de minimale lengte in die het wachtwoord moet hebben, tussen 4 en 16 tekens.

    • Aantal vereiste tekens
      Voer het aantal tekens in dat het wachtwoord moet bevatten, tussen 0 en 16 tekens.

    • Aantal kleine letters vereist
      Voer het aantal kleine letters in dat het wachtwoord moet bevatten, tussen 0 en 16 tekens.

    • Het vereiste aantal hoofdletters
      Voer het aantal hoofdletters in dat het wachtwoord moet bevatten, tussen 0 en 16 tekens.

    • Aantal niet-lettertekens vereist
      Voer het aantal niet-letters (alles behalve letters in het alfabet) in dat het wachtwoord moet bevatten, tussen 0 en 16 tekens.

    • Aantal vereiste numerieke tekens
      Voer het aantal numerieke tekens (1, 2, enzovoort 3) in dat het wachtwoord moet bevatten, tussen 0 en 16 tekens.

    • Het vereiste aantal symbooltekens
      Voer het aantal symbooltekens (&, #, enzovoort %) in dat het wachtwoord moet bevatten, tussen 0 en 16 tekens.

    • Maximum aantal minuten van inactiviteit voordat wachtwoord is vereist
      Voer de niet-actieve tijd in voordat de gebruiker het wachtwoord opnieuw moet invoeren. Opties omvatten de standaardwaarde Niet geconfigureerd en van 1 minuut tot 8 uur.

    • Aantal dagen totdat het wachtwoord verloopt
      Voer het aantal dagen tussen 1 en 365 in totdat het wachtwoord van het apparaat moet worden gewijzigd. Als u bijvoorbeeld het wachtwoord na 60 dagen wilt wijzigen, typt u 60. Wanneer het wachtwoord verloopt, wordt gebruikers gevraagd een nieuw wachtwoord te maken.

      Standaard is er geen waarde geconfigureerd.

    • Het vereiste aantal wachtwoorden voordat de gebruiker een wachtwoord opnieuw kan gebruiken
      Voer het aantal recente wachtwoorden in dat niet opnieuw kan worden gebruikt, tussen 1 en 24. Gebruik deze instelling om te voorkomen dat de gebruiker eerder gebruikte wachtwoorden maakt.

      Standaard is er geen versie geconfigureerd.

Versleuteling

  • Versleuteling van gegevensopslag op apparaat

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Vereisen : gegevensopslag op uw apparaten versleutelen.

    U hoeft deze instelling niet te configureren omdat Android Enterprise-apparaten versleuteling afdwingen.

Personally-Owned werkprofiel

Microsoft Defender voor Eindpunt - voor Personally-Owned werkprofiel

  • Vereisen dat het apparaat op of onder de risicoscore van de machine valt
    Selecteer de maximaal toegestane machinerisicoscore voor apparaten die worden geëvalueerd door Microsoft Defender voor Eindpunt. Apparaten die deze score overschrijden, worden gemarkeerd als niet-compatibel.
    • Niet geconfigureerd (standaard)
    • Duidelijk
    • Laag
    • Gemiddeld
    • Hoog

Apparaatstatus - voor Personally-Owned werkprofiel

  • Geroroote apparaten

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Blokkeren - Geroroote apparaten markeren als niet-compatibel.
  • Vereisen dat het apparaat zich op of onder het apparaatdreigingsniveau besturingssysteem
    Selecteer het maximaal toegestane bedreigingsniveau voor apparaten dat wordt geëvalueerd door uw Mobile Threat Defense-service. Apparaten die dit bedreigingsniveau overschrijden, worden gemarkeerd als niet-compatibel. Als u deze instelling wilt gebruiken, kiest u het toegestane bedreigingsniveau:

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Beveiligd : deze optie is het veiligst en betekent dat het apparaat geen bedreigingen kan hebben. Als het apparaat wordt gedetecteerd met een bedreigingsniveau, wordt het geëvalueerd als niet-compatibel.
    • Laag : het apparaat wordt geëvalueerd als compatibel als er alleen bedreigingen van een laag niveau aanwezig zijn. Als het hoger is, krijgt het apparaat een niet-compatibele status.
    • Gemiddeld : het apparaat wordt geëvalueerd als compatibel als de bedreigingen die op het apparaat aanwezig zijn, laag of gemiddeld zijn. Als wordt gedetecteerd dat het apparaat bedreigingen op hoog niveau heeft, wordt vastgesteld dat het niet-compatibel is.
    • Hoog : deze optie is het minst veilig, omdat alle bedreigingsniveaus zijn toegestaan. Het kan handig zijn als u deze oplossing alleen gebruikt voor rapportagedoeleinden.

Google Play Protect - voor Personally-Owned werkprofiel

  • Google Play Services is geconfigureerd

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Vereisen : vereisen dat de Google Play Services-app is geïnstalleerd en ingeschakeld. Google Play-services staan beveiligingsupdates toe en is een afhankelijkheid op basisniveau voor veel beveiligingsfuncties op gecertificeerde Google-apparaten.
  • Bijgewerkte beveiligingsprovider

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Vereisen : vereisen dat een bijgewerkte beveiligingsprovider een apparaat kan beveiligen tegen bekende beveiligingsproblemen.
  • SafetyNet-apparaatattest
    Voer het niveau van SafetyNet-attestation in waaraan moet worden voldaan. Uw opties:

    • Niet geconfigureerd (standaard): de instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Basisintegriteit controleren
    • Basisintegriteit controleren & gecertificeerde apparaten
  • Vereist SafetyNet-evaluatietype
    Deze instelling is alleen beschikbaar wanneer SafetyNet-apparaatattest is ingesteld op Basisintegriteit controleren of Basisintegriteit controleren & gecertificeerde apparaten.

    Selecteer het evaluatietype dat u wilt gebruiken om het attestation-antwoord van het SafetyNet-apparaat te berekenen.

    • Niet geconfigureerd (standaard ingesteld op basisevaluatie): (standaard)
    • Door hardware ondersteunde sleutel : vereisen dat attestation van door hardware ondersteunde sleutel wordt gebruikt voor safetynet-evaluatie. Apparaten die geen ondersteuning bieden voor attestation met een door hardware ondersteunde sleutel, worden gemarkeerd als niet-compatibel.

    Zie Evaluatietypen in de SafetyNet-documentatie voor Android voor meer informatie over SafetyNet en welke apparaten ondersteuning bieden voor sleutelattest door hardware.

Notitie

Op Android Enterprise-apparaten is bedreigingsscan op apps een apparaatconfiguratiebeleid. Met behulp van een configuratiebeleid kunnen beheerders de instelling op een apparaat inschakelen. Zie Android Enterprise-apparaatbeperkingsinstellingen.

Apparaateigenschappen - voor Personally-Owned werkprofiel

Besturingssysteemversie : voor Personally-Owned werkprofiel

  • Minimale versie van het besturingssysteem
    Wanneer een apparaat niet voldoet aan de minimumvereisten voor de versie van het besturingssysteem, wordt dit gerapporteerd als niet-compatibel. Er wordt een koppeling weergegeven met informatie over het uitvoeren van een upgrade. De eindgebruiker kan zijn of haar apparaat upgraden en vervolgens toegang krijgen tot de resources van de organisatie.

    Standaard is er geen versie geconfigureerd.

  • Maximale versie van het besturingssysteem
    Wanneer een apparaat een versie van het besturingssysteem gebruikt die hoger is dan de versie in de regel, wordt de toegang tot organisatieresources geblokkeerd. De gebruiker wordt gevraagd contact op te nemen met de IT-beheerder. Totdat een regel is gewijzigd om de versie van het besturingssysteem toe te staan, heeft dit apparaat geen toegang tot organisatieresources.

    Standaard is er geen versie geconfigureerd.

Systeembeveiliging - voor Personally-Owned werkprofiel

  • Een wachtwoord vereisen om mobiele apparaten te ontgrendelen

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Vereisen : gebruikers moeten een wachtwoord invoeren voordat ze toegang hebben tot hun apparaat.

    Deze instelling is van toepassing op apparaatniveau. Als u alleen een wachtwoord op het niveau van Personally-Owned werkprofiel nodig hebt, gebruikt u een configuratiebeleid. Zie Android configuratie-instellingen voor Enterprise-apparaten.

  • Vereist wachtwoordtype
    Kies of een wachtwoord alleen numerieke tekens of een combinatie van cijfers en andere tekens mag bevatten. Uw opties:

    • Standaardinstelling apparaat: Omdat de standaardwaarde van het apparaat verschilt per apparaatmodel, gebruikt u een van de andere waarden voor meer controle en consistentie op alle apparaten.
    • Lage biometrische beveiliging
    • Ten minste numeriek (standaard): Voer de minimale wachtwoordlengte in die een gebruiker moet invoeren, tussen 4 en 16 tekens.
    • Numeriek complex: voer de minimale wachtwoordlengte in die een gebruiker moet invoeren, tussen 4 en 16 tekens.
    • Ten minste alfabetisch: Voer de minimale wachtwoordlengte in die een gebruiker moet invoeren, tussen 4 en 16 tekens.
    • Ten minste alfanumeriek: voer de minimale wachtwoordlengte in die een gebruiker moet invoeren, tussen 4 en 16 tekens.
    • Ten minste alfanumeriek met symbolen: Voer de minimale wachtwoordlengte in die een gebruiker moet invoeren, tussen 4 en 16 tekens.

    Afhankelijk van het wachtwoordtype dat u selecteert, zijn de volgende instellingen beschikbaar:

    • Maximum aantal minuten van inactiviteit voordat wachtwoord is vereist
      Voer de niet-actieve tijd in voordat de gebruiker het wachtwoord opnieuw moet invoeren. Opties omvatten de standaardwaarde Niet geconfigureerd en van 1 minuut tot 8 uur.

    • Aantal dagen totdat het wachtwoord verloopt
      Voer het aantal dagen tussen 1 en 365 in totdat het wachtwoord van het apparaat moet worden gewijzigd. Als u bijvoorbeeld het wachtwoord na 60 dagen wilt wijzigen, typt u 60. Wanneer het wachtwoord verloopt, wordt gebruikers gevraagd een nieuw wachtwoord te maken.

    • Minimale wachtwoordlengte
      Voer de minimale lengte in die het wachtwoord moet hebben, tussen 4 en 16 tekens.

    • Aantal vorige wachtwoorden om hergebruik te voorkomen
      Voer het aantal recente wachtwoorden in dat niet opnieuw kan worden gebruikt. Gebruik deze instelling om te voorkomen dat de gebruiker eerder gebruikte wachtwoorden maakt.

Versleuteling - voor Personally-Owned werkprofiel

  • Versleuteling van gegevensopslag op apparaat

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Vereisen : gegevensopslag op uw apparaten versleutelen.

    U hoeft deze instelling niet te configureren omdat Android Enterprise-apparaten versleuteling afdwingen.

Apparaatbeveiliging - voor Personally-Owned werkprofiel

  • Apps van onbekende bronnen blokkeren

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Blokkeren: apparaten met bronnen met SecurityUnknown-bronnen > blokkeren (ondersteund op Android 4.0 tot en met Android 7.x. Niet ondersteund door Android 8.0 en later).

    Als u apps sideloadt, moeten onbekende bronnen zijn toegestaan. Als u Android apps niet sideloadt, stelt u deze functie in op Blokkeren om dit nalevingsbeleid in te schakelen.

    Belangrijk

    Voor sideloading van toepassingen is vereist dat de instelling Apps blokkeren van onbekende bronnen is ingeschakeld. Dwing dit nalevingsbeleid alleen af als u Android apps niet sideloadt op apparaten.

    U hoeft deze instelling niet te configureren omdat Android Enterprise-apparaten de installatie van onbekende bronnen altijd beperken.

  • Runtime-integriteit van bedrijfsportal-app

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Vereisen - Kies Vereisen om te bevestigen dat de Bedrijfsportal-app voldoet aan de volgende vereisten:
      • De standaard runtime-omgeving is geïnstalleerd
      • Is correct ondertekend
      • Staat niet in de foutopsporingsmodus
      • Is geïnstalleerd vanuit een bekende bron
  • USB-foutopsporing op apparaat blokkeren

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Blokkeren : voorkomen dat apparaten de usb-foutopsporingsfunctie gebruiken.

    U hoeft deze instelling niet te configureren omdat USB-foutopsporing al is uitgeschakeld op Android Enterprise-apparaten.

  • Minimaal beveiligingspatchniveau
    Selecteer het oudste beveiligingspatchniveau dat een apparaat kan hebben. Apparaten die niet ten minste op dit patchniveau zijn geïnstalleerd, zijn niet-compatibel. De datum moet worden ingevoerd in de notatie JJJJ-MM-DD.

    Standaard is er geen datum geconfigureerd.

Volgende stappen