Параметры соответствия устройств для Android Enterprise в Intune

В этой статье перечислены и описаны различные параметры соответствия, которые можно настроить на Android Enterprise устройствах в Intune. В рамках решения по управлению мобильными устройствами (MDM) используйте эти параметры, чтобы пометить корневые устройства как несоответствующие, установить допустимый уровень угроз, включить защиту Google Play и т. д.

Данная функция применяется к:

  • Android Enterprise

Как администратор Intune, используйте эти параметры соответствия для защиты ресурсов организации. Дополнительные сведения о политиках соответствия требованиям и их действиях см. в статье "Начало работы с соответствием устройств требованиям".

Важно!

Для применения к Android Enterprise выделенным устройствам политика соответствия должна быть нацелена на устройства, а не на пользователей. Политики соответствия будут оцениваться на устройстве и соответствующим образом отражать состояние соответствия в Intune. Чтобы разрешить пользователям на выделенных устройствах входить в ресурсы, защищенные политиками условного доступа, рассмотрите возможность использования Android Enterprise выделенных устройств в Azure AD режиме общего устройства.

На Android Enterprise выделенных устройств, зарегистрированных без Azure AD режима общего устройства, пользователи устройства не смогут входить в ресурсы, защищенные политиками условного доступа, даже если устройство соответствует требованиям Intune. Дополнительные сведения о режиме общего устройства см. в обзоре режима общего устройства в Azure AD документации.

Прежде чем начать

При настройке политик соответствия требованиям широкий спектр параметров позволяет адаптировать защиту в соответствии с конкретными потребностями. Чтобы лучше понять, как реализовать определенные сценарии конфигурации безопасности, см. руководство по структуре конфигурации безопасности для политик устройств Android Enterprise.

Структура конфигурации безопасности разделена на отдельные уровни конфигурации, которые предоставляют рекомендации для личных и контролируемых устройств, каждый уровень которых строится на основе предыдущего. Доступные уровни и параметры на каждом уровне различаются в зависимости от режима регистрации:

Когда все будет готово, создайте политику соответствия. В качестве платформы выберите Android для бизнеса.

Полностью управляемый, выделенный и Corporate-Owned рабочий профиль

Microsoft Defender для конечной точки

  • Требовать уровень угрозы на устройстве не выше уровня компьютера

    Выберите максимальную допустимую оценку риска компьютера для устройств, оцениваемых Microsoft Defender для конечной точки. Устройства, превышающие эту оценку, помечаются как несоответствующие.

    • Не настроено (по умолчанию)
    • Clear
    • Низкие
    • Средний
    • Высокий

Примечание

Microsoft Defender для конечной точки могут поддерживаться не для всех типов Android Enterprise регистрации. Узнайте больше о поддерживаемых сценариях.

Работоспособность устройств

  • Требовать уровень угрозы на устройстве не больше указанного
    Выберите максимальный допустимый уровень угроз устройства, оцениваемого службой защиты мобильных устройств от угроз. Устройства, превышающие этот уровень угрозы, помечены как несоответствующие. Чтобы использовать этот параметр, выберите допустимый уровень угрозы:

    • Не настроено (по умолчанию) — этот параметр не оценивается на соответствие или несоответствие.
    • Защищенный — этот параметр является наиболее безопасным и означает, что устройство не может иметь угроз. Если устройство обнаруживается с любым уровнем угроз, оно оценивается как несоответствующее.
    • Низкий. — Устройство оценивается как соответствующее, если присутствуют только низкоуровневые угрозы. Любая угроза с уровнем выше низкого переводит устройство в состояние несоответствия.
    • Средний — устройство оценивается как соответствующее, если угрозы, присутствующие на устройстве, имеют низкий или средний уровень. Если обнаружено, что устройство имеет высокоуровневые угрозы, оно определяется как несоответствующее.
    • Высокий — это наименее безопасный вариант, так как он допускает все уровни угроз. Это может быть полезно, если вы используете это решение только для создания отчетов.

Примечание

Все поставщики Mobile Threat Defense (MTD) поддерживаются в Android Enterprise развертываниях полностью управляемых, выделенных и Corporate-Owned рабочих профилей с помощью конфигурации приложения. Обратитесь к поставщику MTD, чтобы узнать точную конфигурацию, необходимую для поддержки Android Enterprise полностью управляемых, выделенных и Corporate-Owned рабочих профилей на Intune.

Google Play protect

Важно!

Устройства, которые находятся в регионах или странах, где google мобильные службы недоступны, завершались сбоем Google Play оценки параметров политики соответствия. Дополнительные сведения см. в разделе "Управление Android устройствами, на которых мобильные службы Google недоступны".

  • Аттестация устройств SafetyNet
    Введите уровень аттестации SafetyNet, который должен быть достигнут. Доступны следующие параметры:

    • Не настроено (по умолчанию) — параметр не оценивается на соответствие или несоответствие.
    • Проверка базовой целостности
    • Проверка базовой целостности & сертифицированных устройств

Свойства устройства

Версия операционной системы

  • Минимальная версия ОС
    Если устройство не соответствует требованиям к минимальной версии ОС, оно сообщается как несоответствующее. Отобразится ссылка с информацией о том, как выполнить обновление. Конечный пользователь может обновить свое устройство, а затем получить доступ к ресурсам организации.

    По умолчанию версия не настроена.

  • Максимальная версия ОС
    Если устройство использует версию ОС, более позднюю, чем в правиле, доступ к ресурсам организации блокируется. Пользователю предлагается обратиться к ИТ-администратору. Пока правило не будет изменено, чтобы разрешить версию ОС, это устройство не сможет получить доступ к ресурсам организации.

    По умолчанию версия не настроена.

  • Минимальный уровень обновления для системы безопасности
    Выберите самый старый уровень исправлений безопасности, который может иметь устройство. Устройства, которые не являются по крайней мере на этом уровне исправления, не соответствуют требованиям. Дата должна быть введена в формате YYYY-MM-DD.

    По умолчанию дата не настроена.

Безопасность системы

  • Требовать пароль для разблокировки мобильных устройств

    • Не настроено (по умолчанию) — этот параметр не оценивается на соответствие или несоответствие.
    • Требовать — пользователи должны ввести пароль, прежде чем они смогут получить доступ к устройству.
  • Требуемый тип пароля
    Укажите, должен ли пароль включать только числовые символы или сочетание числовых и других символов. Доступны следующие параметры:

    • Устройство по умолчанию. Чтобы оценить соответствие паролей, не забудьте выбрать уровень надежности пароля, отличный от уровня устройства по умолчанию.
    • Пароль не требуется, ограничений нет
    • Слабые биометрические данные - Надежные и слабые биометрические данные (Android веб-сайте)
    • Числовой (по умолчанию): пароль должен быть только числами, например 123456789. Введите минимальную длину пароля , введите от 4 до 16 символов.
    • Числовой сложный — повторяющиеся или последовательные числа, такие как "1111" или "1234", не допускаются. Введите минимальную длину пароля , введите от 4 до 16 символов.
    • Буквы в алфавитном порядке являются обязательными. Числа и символы не требуются. Введите минимальную длину пароля , введите от 4 до 16 символов.
    • Буквенно-цифровой — включает прописные буквы, строчные буквы и числовые символы. Введите минимальную длину пароля , введите от 4 до 16 символов.
    • Буквенно-цифровой с символами— включает прописные буквы, строчные буквы, числовые символы, знаки препинания и символы.

    В зависимости от выбранного типа пароля доступны следующие параметры:

    • Минимальная длина пароля;
      Введите минимальную длину пароля от 4 до 16 символов.

    • Необходимое количество символов
      Введите число символов, которое должен содержать пароль, от 0 до 16 символов.

    • Необходимое количество символов нижнего регистра
      Введите число символов в нижнем регистре, которое должен содержать пароль, от 0 до 16 символов.

    • Необходимое количество прописных символов
      Введите число прописных символов, которое должен содержать пароль, от 0 до 16 символов.

    • Необходимое количество символов, не буклетов
      Введите количество букв (не букв в алфавите), которое должно содержать пароль от 0 до 16 символов.

    • Необходимое число числовых символов
      Введите число числовых символов (1, 2и 3т. д.) пароля в диапазоне от 0 до 16 символов.

    • Необходимое количество символов
      Введите количество символов (&, #и %т. д.) пароля в диапазоне от 0 до 16 символов.

    • Максимальное время бездействия (в минутах), по истечении которого запрашивается пароль
      Введите время простоя перед повторным вводом пароля пользователем. Параметры включают значение по умолчанию "Не настроено" и от 1 минуты до 8 часов.

    • Число дней до обязательной смены пароля
      Введите количество дней в диапазоне от 1 до 365, пока не будет изменен пароль устройства. Например, чтобы изменить пароль через 60 дней, введите .60 По истечении срока действия пароля пользователям предлагается создать новый пароль.

      По умолчанию значение не настроено.

    • Требуемое число уникальных паролей до возможности использования предыдущего
      Введите число последних паролей, которые нельзя использовать повторно, в диапазоне от 1 до 24. Используйте этот параметр, чтобы запретить пользователю создавать ранее использованные пароли.

      По умолчанию версия не настроена.

Шифрование

  • Шифрование хранилища данных на устройстве

    • Не настроено (по умолчанию) — этот параметр не оценивается на соответствие или несоответствие.
    • Require — шифрование хранилища данных на устройствах.

    Вам не нужно настраивать этот параметр, так как Android Enterprise принудительное шифрование.

Личный рабочий профиль

Microsoft Defender для конечной точки — для Personally-Owned рабочего профиля

  • Требовать уровень угрозы на устройстве не выше уровня компьютера
    Выберите максимальную допустимую оценку риска компьютера для устройств, оцениваемых Microsoft Defender для конечной точки. Устройства, превышающие эту оценку, помечаются как несоответствующие.
    • Не настроено (по умолчанию)
    • Clear
    • Низкие
    • Средний
    • Высокий

Работоспособность устройства — для Personally-Owned профиля

  • Устройства с административным доступом

    • Не настроено (по умолчанию) — этот параметр не оценивается на соответствие или несоответствие.
    • Блокировать — пометить корневые устройства как несоответствующие.
  • Требовать уровень угрозы на устройстве не больше указанного
    Выберите максимальный допустимый уровень угроз устройства, оцениваемого службой защиты мобильных устройств от угроз. Устройства, превышающие этот уровень угрозы, помечены как несоответствующие. Чтобы использовать этот параметр, выберите допустимый уровень угрозы:

    • Не настроено (по умолчанию) — этот параметр не оценивается на соответствие или несоответствие.
    • Защищенный — этот параметр является наиболее безопасным и означает, что устройство не может иметь угроз. Если устройство обнаруживается с любым уровнем угроз, оно оценивается как несоответствующее.
    • Низкий — устройство оценивается как соответствующее, если присутствуют только низкоуровневые угрозы. Любая угроза с уровнем выше низкого переводит устройство в состояние несоответствия.
    • Средний — устройство оценивается как соответствующее, если угрозы, присутствующие на устройстве, имеют низкий или средний уровень. Если обнаружено, что устройство имеет высокоуровневые угрозы, оно определяется как несоответствующее.
    • Высокий — это наименее безопасный вариант, так как он допускает все уровни угроз. Это может быть полезно, если вы используете это решение только для создания отчетов.

Google Play protect — для Personally-Owned рабочего профиля

  • Сервисы Google Play настроены

    • Не настроено (по умолчанию) — этот параметр не оценивается на соответствие или несоответствие.
    • Require — требовать, чтобы Google Play служб было установлено и включено. Google Play службы позволяют обновлять системы безопасности и является зависимостью базового уровня для многих функций безопасности на сертифицированных устройствах Google.
  • Обновленный поставщик безопасности

    • Не настроено (по умолчанию) — этот параметр не оценивается на соответствие или несоответствие.
    • Require — требовать, чтобы актуальный поставщик безопасности может защитить устройство от известных уязвимостей.
  • Аттестация устройств SafetyNet
    Введите уровень аттестации SafetyNet, который должен быть достигнут. Доступны следующие параметры:

    • Не настроено (по умолчанию) — параметр не оценивается на соответствие или несоответствие.
    • Проверка базовой целостности
    • Проверка базовой целостности & сертифицированных устройств
  • Требуемый тип оценки SafetyNet
    Этот параметр доступен только в том случае, если для аттестации устройств SafetyNet задано значение "Проверка базовой целостности" или "Проверка & сертифицированных устройств".

    Выберите тип оценки, который вы хотите использовать для вычисления ответа на аттестацию устройства SafetyNet.

    • Не настроено (по умолчанию для базовой оценки) — (по умолчанию)
    • Hardware-backed key (Ключ с аппаратной поддержкой) — для оценки SafetyNet должна использоваться аттестация на основе ключа с аппаратной поддержкой. Устройства, которые не поддерживают аттестацию на основе ключа с аппаратной поддержкой, будут помечены как несоответствующие.

    Дополнительные сведения о SafetyNet и устройствах с поддержкой аттестации на основе ключа с аппаратной поддержкой см. в разделе о типах оценки в документации по SafetyNet для Android.

Примечание

На Android Enterprise устройства сканирование угроз в приложениях является политикой конфигурации устройств. С помощью политики конфигурации администраторы могут включить этот параметр на устройстве. См. Android Enterprise параметров ограничений устройств.

Свойства устройства — для Personally-Owned профиля

Версия операционной системы — для Personally-Owned профиля

  • Минимальная версия ОС
    Если устройство не соответствует требованиям к минимальной версии ОС, оно сообщается как несоответствующее. Отобразится ссылка с информацией о том, как выполнить обновление. Конечный пользователь может обновить свое устройство, а затем получить доступ к ресурсам организации.

    По умолчанию версия не настроена.

  • Максимальная версия ОС
    Если устройство использует версию ОС, более позднюю, чем в правиле, доступ к ресурсам организации блокируется. Пользователю предлагается обратиться к ИТ-администратору. Пока правило не будет изменено, чтобы разрешить версию ОС, это устройство не сможет получить доступ к ресурсам организации.

    По умолчанию версия не настроена.

Безопасность системы — для Personally-Owned рабочего профиля

  • Требовать пароль для разблокировки мобильных устройств

    • Не настроено (по умолчанию) — этот параметр не оценивается на соответствие или несоответствие.
    • Требовать — пользователи должны ввести пароль, прежде чем они смогут получить доступ к устройству.

    Этот параметр применяется на уровне устройства. Если требуется только пароль на уровне рабочего Personally-Owned, используйте политику конфигурации. См. Android Enterprise конфигурации устройства.

  • Требуемый тип пароля
    Укажите, должен ли пароль включать только числовые символы или сочетание числовых и других символов. Доступны следующие параметры:

    • Устройство по умолчанию: так как значение по умолчанию зависит от модели устройства, используйте одно из других значений для более строгого контроля и согласованности на всех устройствах.
    • Биометрические данные с низким уровнем безопасности
    • По крайней мере числовое значение (по умолчанию): введите минимальную длину пароля, которая должна быть вводить пользователем, от 4 до 16 символов.
    • Числовой сложный: введите минимальную длину пароля, которая должна быть вводить пользователем, от 4 до 16 символов.
    • По крайней мере в алфавитном порядке: введите минимальную длину пароля, которая должна быть вводить пользователем, от 4 до 16 символов.
    • По крайней мере буквенно-цифровой: введите минимальную длину пароля, которая должна быть вводить пользователем, от 4 до 16 символов.
    • По крайней мере буквенно-цифровые символы: введите минимальную длину пароля, введите от 4 до 16 символов.

    В зависимости от выбранного типа пароля доступны следующие параметры:

    • Максимальное время бездействия (в минутах), по истечении которого запрашивается пароль
      Введите время простоя перед повторным вводом пароля пользователем. Параметры включают значение по умолчанию "Не настроено" и от 1 минуты до 8 часов.

    • Число дней до обязательной смены пароля
      Введите количество дней в диапазоне от 1 до 365, пока не будет изменен пароль устройства. Например, чтобы изменить пароль через 60 дней, введите .60 По истечении срока действия пароля пользователям предлагается создать новый пароль.

    • Минимальная длина пароля;
      Введите минимальную длину пароля от 4 до 16 символов.

    • число предыдущих паролей для запрета повторного использования;
      Введите количество последних паролей, которые нельзя использовать повторно. Используйте этот параметр, чтобы запретить пользователю создавать ранее использованные пароли.

Шифрование — для Personally-Owned рабочего профиля

  • Шифрование хранилища данных на устройстве

    • Не настроено (по умолчанию) — этот параметр не оценивается на соответствие или несоответствие.
    • Require — шифрование хранилища данных на устройствах.

    Вам не нужно настраивать этот параметр, так как Android Enterprise принудительное шифрование.

Безопасность устройств — для Personally-Owned рабочего профиля

  • Блокировать приложения из неизвестных источников

    • Не настроено (по умолчанию) — этот параметр не оценивается на соответствие или несоответствие.
    • Блокировать — блокировать устройства с включенными источниками SecurityUnknown > (поддерживается Android 4.0–Android 7.x. Не поддерживается Android 8.0 и более поздних версий).

    Для загрузки неопубликований приложений необходимо разрешить неизвестные источники. Если вы не загружаете приложения Android, задайте для этой функции значение " Блокировать", чтобы включить эту политику соответствия.

    Важно!

    Для неопубликований приложений требуется включить параметр "Блокировать приложения из неизвестных источников". Применяйте эту политику соответствия, только если вы не загружаете приложения Android на устройствах.

    Вам не нужно настраивать этот параметр, так как Android Enterprise всегда ограничивать установку из неизвестных источников.

  • Целостность среды выполнения приложения корпоративного портала

    • Не настроено (по умолчанию) — этот параметр не оценивается на соответствие или несоответствие.
    • Require — choose Require to confirm the Корпоративный портал app meets all the following requirements:
      • Установлена среда выполнения по умолчанию
      • Правильно подписано
      • Не в режиме отладки
      • Устанавливается из известного источника
  • Блокировать отладку по USB на устройстве

    • Не настроено (по умолчанию) — этот параметр не оценивается на соответствие или несоответствие.
    • Блокировать — запретить устройствам использовать функцию отладки USB.

    Вам не нужно настраивать этот параметр, так как отладка USB уже отключена на Android Enterprise устройствах.

  • Минимальный уровень обновления для системы безопасности
    Выберите самый старый уровень исправлений безопасности, который может иметь устройство. Устройства, которые не являются по крайней мере на этом уровне исправления, не соответствуют требованиям. Дата должна быть введена в формате YYYY-MM-DD.

    По умолчанию дата не настроена.

Дальнейшие действия