Udostępnij za pośrednictwem

Ustawienia zgodności urządzeń dla administratora urządzeń z systemem Android w usłudze Intune

  • Artykuł

W tym artykule wymieniono ustawienia zgodności, które można skonfigurować na urządzeniach administratora urządzeń z systemem Android w usłudze Intune. W ramach rozwiązania do zarządzania urządzeniami przenośnymi (MDM) użyj tych ustawień, aby oznaczyć urządzenia z odblokowanym dostępem jako niezgodne, ustawić dozwolony poziom zagrożenia, włączyć usługę Google Play Protect i nie tylko.

Aby uzyskać pomoc w konfigurowaniu zasad zgodności, zobacz Używanie zasad zgodności do ustawiania reguł dla urządzeń zarządzanych za pomocą usługi Intune.

Ta funkcja ma zastosowanie do:

  • Administratora urządzenia z systemem Android

Jako administrator usługi Intune użyj tych ustawień zgodności, aby chronić zasoby organizacji. Aby dowiedzieć się więcej na temat zasad zgodności i ich działania, zobacz Wprowadzenie do zgodności urządzeń.

Ważna

Usługa Microsoft Intune kończy obsługę zarządzania urządzeniami z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 31 grudnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w usłudze Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, zobacz Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

Przed rozpoczęciem

Utwórz zasady zgodności. W obszarze Platforma wybierz pozycję Administrator urządzeń z systemem Android.

Ochrona punktu końcowego w usłudze Microsoft Defender

  • Wymagaj, aby urządzenie było na poziomie lub poniżej oceny ryzyka maszyny

    Wybierz maksymalną dozwoloną ocenę ryzyka maszyny dla urządzeń ocenianych przez usługę Microsoft Defender dla punktu końcowego. Urządzenia, które przekraczają ten wynik, są oznaczone jako niezgodne.

    • Nie skonfigurowano (wartość domyślna)
    • Jasny
    • Niski
    • Średnie
    • High (Wysoki)

Kondycja urządzenia

  • Urządzenia zarządzane za pomocą administratora urządzeń
    Funkcje administratora urządzeń są zastępowane przez system Android Enterprise.

    • Nie skonfigurowano (wartość domyślna)
    • Blokuj — zablokowanie administratora urządzenia przeprowadzi użytkowników do systemu Android Enterprise Personally-Owned i Corporate-Owned zarządzania profilem służbowym w celu odzyskania dostępu.

  • Urządzenia z odblokowanym dostępem
    Zapobiegaj dostępowi urządzeń z dostępem firmowym do konta root. (To sprawdzanie zgodności jest obsługiwane w systemie Android 4.0 lub nowszym).

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Blokuj — oznacz urządzenia z odblokowanym dostępem jako niezgodne.

  • Wymagaj, aby urządzenie było na poziomie zagrożenia urządzenia lub na jego poziomie
    To ustawienie służy do oceny ryzyka z połączonej usługi Mobile Threat Defense jako warunku zgodności.

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Zabezpieczone — ta opcja jest najbezpieczniejsza, ponieważ urządzenie nie może mieć żadnych zagrożeń. Jeśli urządzenie zostanie wykryte z dowolnym poziomem zagrożeń, zostanie ocenione jako niezgodne.
    • Niski — urządzenie jest oceniane jako zgodne, jeśli występują tylko zagrożenia niskiego poziomu. Jakiekolwiek zagrożenia wyższego poziomu spowodują, że urządzenie będzie miało status urządzenia niezgodnego.
    • Średni — urządzenie jest oceniane jako zgodne, jeśli istniejące zagrożenia na urządzeniu są na niskim lub średnim poziomie. Jeśli wykryto, że urządzenie ma zagrożenia wysokiego poziomu, zostanie ono uznane za niezgodne.
    • Wysoki — ta opcja jest najmniej bezpieczna i zezwala na wszystkie poziomy zagrożeń. Może to być przydatne, jeśli używasz tego rozwiązania tylko do celów raportowania.

Google Play Protect

Ważna

Urządzenia działające w krajach/regionach, w których usługi Google Mobile Services nie są dostępne, nie będą podlegać ocenie ustawień zasad zgodności usługi Google Play Protect. Aby uzyskać więcej informacji, zobacz Zarządzanie urządzeniami z systemem Android, na których usługi Google Mobile Services są niedostępne.

  • Usługi Google Play są skonfigurowane
    Usługi Google Play umożliwiają aktualizacje zabezpieczeń i są zależnością na poziomie podstawowym dla wielu funkcji zabezpieczeń na certyfikowanych urządzeniach Google.

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — wymagaj zainstalowania i włączenia aplikacji usług Google Play.

  • Aktualny dostawca zabezpieczeń

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — wymagaj, aby aktualny dostawca zabezpieczeń mógł chronić urządzenie przed znanymi lukami w zabezpieczeniach.

  • Skanowanie zagrożeń w aplikacjach

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — wymagaj włączenia funkcji Android Verify Apps .

    Uwaga

    Na starszej platformie systemu Android ta funkcja jest ustawieniem zgodności. Usługa Intune może tylko sprawdzić, czy to ustawienie jest włączone na poziomie urządzenia.

  • Werdykt integralności odtwarzania
    Wprowadź poziom integralności sklepu Google Play , który musi zostać spełniony. Dostępne opcje:

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Sprawdzanie podstawowej integralności
    • Sprawdzanie integralności podstawowej & integralności urządzenia

Uwaga

Aby skonfigurować ustawienia usługi Google Play Protect przy użyciu zasad ochrony aplikacji, zobacz Ustawienia zasad ochrony aplikacji usługi Intune w systemie Android.

Właściwości urządzenia

Wersja systemu operacyjnego

  • Minimalna wersja systemu operacyjnego
    Jeśli urządzenie nie spełnia wymagań dotyczących minimalnej wersji systemu operacyjnego, jest zgłaszane jako niezgodne. Zostanie wyświetlony link z informacjami o sposobie uaktualniania. Użytkownik końcowy może wybrać uaktualnienie urządzenia, a następnie uzyskać dostęp do zasobów firmy.

    Domyślnie żadna wersja nie jest skonfigurowana.

  • Maksymalna wersja systemu operacyjnego
    Gdy urządzenie używa wersji systemu operacyjnego nowszej niż wersja określona w regule, dostęp do zasobów firmy jest blokowany. Użytkownik jest proszony o kontakt z administratorem IT. Dopóki reguła nie zostanie zmieniona w celu zezwolenia na wersję systemu operacyjnego, to urządzenie nie może uzyskać dostępu do zasobów firmy.

    Domyślnie żadna wersja nie jest skonfigurowana.

Zabezpieczenia systemu

Szyfrowanie

  • Wymagaj szyfrowania magazynu danych na urządzeniu
    Obsługiwane w systemie Android 4.0 lub nowszym lub KNOX 4.0 lub nowszym.

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — szyfrowanie magazynu danych na urządzeniach. Urządzenia są szyfrowane po wybraniu ustawienia Wymagaj hasła do odblokowania urządzeń przenośnych .

Zabezpieczenia urządzenia

  • Blokowanie aplikacji z nieznanych źródeł
    Obsługiwane w systemie Android 4.0 do Android 7.x. Nieobsługiwane przez system Android 8.0 lub nowszy

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Blokuj — blokuj urządzenia z włączonymi źródłami nieznanych źródeł zabezpieczeń > (obsługiwanymi w systemie Android 4.0 za pośrednictwem systemu Android 7.x. Nieobsługiwane w systemie Android 8.0 lub nowszym).

    Aby aplikacje były ładowane po stronie, nieznane źródła muszą być dozwolone. Jeśli nie ładujesz aplikacji systemu Android po stronie, ustaw tę funkcję na Wartość Blokuj , aby włączyć te zasady zgodności.

    Ważna

    Aplikacje ładujące side-loading wymagają włączenia ustawienia Blokuj aplikacje z nieznanych źródeł . Wymuś te zasady zgodności tylko wtedy, gdy aplikacje systemu Android nie są ładowane bezpośrednio na urządzeniach.

  • Integralność środowiska uruchomieniowego aplikacji Portal firmy

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.

    • Wymagaj — wybierz pozycję Wymagaj , aby potwierdzić, że aplikacja Portal firmy spełnia wszystkie następujące wymagania:

      • Ma zainstalowane domyślne środowisko uruchomieniowe
      • Jest prawidłowo podpisany
      • Nie jest w trybie debugowania

  • Blokuj debugowanie USB na urządzeniu
    (Obsługiwane w systemie Android 4.2 lub nowszym)

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Blokuj — uniemożliwia urządzeniom korzystanie z funkcji debugowania USB.

  • Minimalny poziom poprawek zabezpieczeń
    (Obsługiwane w systemie Android 8.0 lub nowszym)

    Wybierz najstarszy poziom poprawki zabezpieczeń, jaki może mieć urządzenie. Urządzenia, które nie są co najmniej na tym poziomie poprawki, są niezgodne. Datę należy wprowadzić w YYYY-MM-DD formacie.

    Domyślnie nie skonfigurowano daty.

  • Aplikacje z ograniczeniami
    Wprowadź nazwę aplikacji i identyfikator pakietu aplikacji dla aplikacji, które powinny być ograniczone, a następnie wybierz pozycję Dodaj. Urządzenie z co najmniej jedną zainstalowaną aplikacją z ograniczeniami jest oznaczone jako niezgodne.

    Aby uzyskać identyfikator pakietu aplikacji dodany do usługi Intune, możesz użyć centrum administracyjnego usługi Intune.

Password (hasło)

Dostępne ustawienia haseł różnią się w zależności od wersji systemu Android na urządzeniu.

Wszystkie urządzenia z systemem Android

Następujące ustawienia są obsługiwane w systemie Android 4.0 lub nowszym oraz w systemie Knox 4.0 lub nowszym.

  • Maksymalna liczba minut braku aktywności przed wymaganiem hasła
    To ustawienie określa czas bez danych wejściowych użytkownika, po którym ekran urządzenia przenośnego jest zablokowany. Opcje wahają się od 1 minuty do 8 godzin. Zalecana wartość to 15 minut.

    • Nie skonfigurowano(wartość domyślna)

  • Wymagaj hasła do odblokowania urządzeń przenośnych

    To ustawienie określa, czy wymagać od użytkowników wprowadzenia hasła przed udzieleniem dostępu do informacji na ich urządzeniach przenośnych. Zalecana wartość: Wymagaj (to sprawdzanie zgodności jest obsługiwane dla urządzeń z systemami operacyjnymi Android 4.0 lub nowszym lub KNOX 4.0 lub nowszym).

    • Nie skonfigurowano(wartość domyślna)

Android 10 lub nowszy

Następujące ustawienia są obsługiwane w systemie Android 10 lub nowszym, ale nie w systemie Knox.

  • Złożoność hasła
    To ustawienie jest obsługiwane w systemie Android 10 lub nowszym, ale nie w systemie Samsung Knox. Na urządzeniach z systemem Android 9 lub starszym lub Samsung Knox ustawienia długości hasła i typu przesłaniają to ustawienie pod kątem złożoności.

    Określ wymaganą złożoność hasła.

    • None(default) — nie jest wymagane hasło.
    • Niski — hasło spełnia jeden z następujących warunków:
      • Wzorzec
      • Numer pin ma powtarzaną sekwencję (4444) lub uporządkowaną (1234, 4321, 2468).
    • Średni — hasło spełnia jeden z następujących warunków:
      • Numerowany numer PIN nie ma powtarzanej (4444) ani uporządkowanej sekwencji (1234, 4321, 2468) i ma minimalną długość 4.
      • Alfabetyczne, o minimalnej długości 4.
      • Alfanumeryczne, o minimalnej długości 4.
    • Wysoki — hasło spełnia jeden z następujących warunków:
      • Numer pin nie ma sekwencji powtarzanej (4444) ani uporządkowanej (1234, 4321, 2468) i ma minimalną długość 8.
      • Alfabetyczne, o minimalnej długości 6.
      • Alfanumeryczne o minimalnej długości 6.

Android 9 i starsze lub Samsung Knox

Następujące ustawienia są obsługiwane w systemie Android 9.0 lub starszym oraz w dowolnej wersji systemu Samsung Knox.

  • Wymagaj hasła do odblokowania urządzeń przenośnych
    To ustawienie określa, czy wymagać od użytkowników wprowadzenia hasła przed udzieleniem dostępu do informacji na ich urządzeniach przenośnych. Zalecana wartość: Wymagaj

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — użytkownicy muszą wprowadzić hasło, aby mogli uzyskać dostęp do swojego urządzenia.

    Po ustawieniu opcji Wymagaj można skonfigurować następujące ustawienie:

    Wymagany typ hasła
    Określ, czy hasło powinno zawierać tylko znaki liczbowe lub kombinację cyfr i innych znaków.

    • Ustawienie domyślne urządzenia — aby ocenić zgodność haseł, wybierz siłę hasła inną niż Domyślna wartość urządzenia.
    • Biometryczne niskiego poziomu zabezpieczeń
    • Co najmniej numeryczne
    • Złożona liczba — powtarzające się lub kolejne cyfry, takie jak 1111 lub 1234, są niedozwolone.
    • Co najmniej alfabetyczne
    • Co najmniej alfanumeryczne
    • Co najmniej alfanumeryczne z symbolami

    Na podstawie konfiguracji tego ustawienia jest dostępna co najmniej jedna z następujących opcji:

    • Minimalna długość hasła
      Wprowadź minimalną liczbę cyfr lub znaków, które musi zawierać hasło użytkownika.

    • Maksymalna liczba minut braku aktywności przed wymaganiem hasła
      Wprowadź czas bezczynności, zanim użytkownik będzie musiał ponownie wprowadzić hasło. Po wybraniu opcji Nieskonfigurowane (ustawienie domyślne ) to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.

    • Liczba dni do wygaśnięcia hasła
      Wybierz liczbę dni przed wygaśnięciem hasła, a użytkownik musi utworzyć nowe hasło.

    • Liczba poprzednich haseł, aby zapobiec ponownemu użyciu
      Wprowadź liczbę ostatnio używanych haseł, których nie można użyć ponownie. Użyj tego ustawienia, aby ograniczyć użytkownikowi możliwość tworzenia wcześniej używanych haseł.

Następne kroki