Списки параметров ограничений устройств Android и Samsung Knox Standard в Intune

  • Статья

В этой статье показаны все Microsoft Intune параметры ограничений устройств, которые можно настроить для устройств под управлением Android. В рамках решения для управления мобильными устройствами (MDM) используйте эти параметры, чтобы разрешить или отключить функции, задать требования к паролям, управлять безопасностью и т. д.

Эта функция применима к следующим системам:

  • Администратор устройства Android (DA)

Важно!

Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 30 августа 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в статье Прекращение поддержки администратора устройств Android на устройствах GMS.

Совет

Если нужные параметры недоступны, вы можете настроить устройства с помощью пользовательского профиля.

Перед началом работы

Create профиль конфигурации ограничений устройств администратора устройств Android.

Общие указания

  • Камера: блокировать запрещает доступ к камере устройства. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить доступ к камере устройства.

    Intune управляет доступом только к камере устройства. У него нет доступа к изображениям или видео.

  • Копирование и вставка (только Samsung Knox):блокировать запрещает копирование и вставку. Не настроено позволяет копировать и вставлять функции на устройствах.

  • Общий доступ к буферу обмена между приложениями (только Samsung Knox).Блокировка предотвращает использование буфера обмена для копирования и вставки между приложениями. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешать функции копирования и вставки на устройствах.

  • Отправка диагностических данных (только Samsung Knox):блокировать отправку пользователями отчетов об ошибках с устройств. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям отправлять данные.

  • Очистка (только Samsung Knox): позволяет пользователям выполнять действие очистки на устройствах. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр.

  • Геолокация (только Samsung Knox):блокировка отключает использование сведений о расположении устройств. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить устройствам использовать сведения о расположении.

  • Выключение питания (только Samsung Knox):параметр Блокировать запрещает пользователям выключать устройство. Это также предотвращает настройку и работу параметра Число сбоев входа перед очисткой устройства . Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям выключать устройства.

  • Снимок экрана (только Samsung Knox):блокировать снимки экрана запрещены. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может позволить пользователям записывать содержимое экрана в виде изображения.

  • Голосовая помощник (только Samsung Knox):блокировать отключает службу S Voice. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить использование службы и приложения S Voice на устройствах. Этот параметр не применяется к Bixby или голосовой помощник специальных возможностей, которые считывают содержимое экрана вслух.

  • YouTube (только Samsung Knox):блокировать запрещает пользователям использовать приложение YouTube. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить использование приложения YouTube на устройствах.

  • Общие устройства (только Samsung Knox). Настройте управляемое устройство Samsung Knox Standard как общее. Разрешить позволяет пользователям входить в систему и выходить из устройств с помощью Microsoft Entra учетных данных. Устройства остаются управляемыми, независимо от того, используются они или нет.

    При использовании в с профилем сертификата SCEP эта функция позволяет пользователям совместно использовать устройство с одинаковыми приложениями для всех пользователей. Но у каждого пользователя есть собственный сертификат пользователя SCEP. При выходе пользователей все данные приложения очищаются. Эта функция ограничена только бизнес-приложениями.

    Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может препятствовать входу нескольких пользователей в приложение Корпоративный портал на устройствах с помощью учетных данных Microsoft Entra.

  • Блокировать изменения даты и времени (Samsung Knox).Блокировать запрещает пользователям изменять параметры даты и времени на устройствах. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям изменять параметры даты и времени.

Пароль

  • Шифрование. Выберите Требовать , чтобы файлы на устройстве были зашифрованы. Не все устройства поддерживают шифрование. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. Чтобы настроить этот параметр и правильно сообщить о соответствии требованиям, также настройте следующие параметры:

    1. Пароль: задайте значение Требовать.
    2. Обязательный тип пароля: задайте значение По крайней мере числовой.
    3. Минимальная длина пароля: задайте как минимум 4значение .

    Примечание.

    Если применяется политика шифрования, устройства Samsung Knox требуют, чтобы пользователи устанавливали сложный пароль из 6 символов в качестве секретного кода устройства.

Все устройства Android

Эти параметры применяются к Android 4.0 и более поздней версии, а также к Knox 4.0 и более поздней версии.

  • Максимальное время бездействия в минутах до блокировки экрана. Введите время, в течение времени, необходимого для устройства, перед автоматической блокировкой экрана. Например, введите 5 , чтобы заблокировать устройства после 5 минут простоя. Если значение пустое или имеет значение Не настроено, Intune не изменяет или не обновляет этот параметр.

    На устройстве пользователи не могут задать значение времени, превышающее настроенное время в профиле. Пользователи могут задать меньшее значение времени. Например, если для профиля задано значение 15 в минутах, пользователи могут задать значение 5 минут. Пользователи не могут задать значение 30 минут.

  • Количество сбоев при входе перед очисткой устройства. Введите число неправильных паролей, разрешенных перед очисткой устройств, с 4 до 11. 0 (ноль) может отключить функцию очистки устройства. Если значение пустое, Intune не изменяет или не обновляет этот параметр.

  • Пароль. Обязать пользователей вводить пароль для доступа к устройствам. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям доступ к устройствам без ввода пароля.

    Примечание.

    Устройствам Samsung Knox автоматически требуется 4-значный ПИН-код во время регистрации MDM. Собственные устройства Android могут автоматически требовать ПИН-код для соответствия условному доступу.

Android 10 и более поздних версий

  • Сложность пароля. Введите требуемую сложность пароля. Доступны следующие параметры:

    • Нет (по умолчанию): пароль не требуется.
    • Низкий. Пароль удовлетворяет одному из следующих условий:
      • Шаблон
      • Числовой ПИН-код имеет повторяющуюся (4444) или упорядоченную (1234, 4321, 2468) последовательность.
    • Средний. Пароль удовлетворяет одному из следующих условий:
      • Числовой ПИН-код не имеет повторяющейся последовательности (4444) или упорядоченного (1234, 4321, 2468) и имеет минимальную длину 4.
      • Алфавитный, с минимальной длиной 4.
      • Буквенно-цифровой, с минимальной длиной 4.
    • Высокий. Пароль удовлетворяет одному из следующих условий:
      • Числовой ПИН-код не имеет повторяющейся последовательности (4444) или упорядоченной последовательности (1234, 4321, 2468) и имеет минимальную длину 8.
      • Алфавитный, с минимальной длиной 6.
      • Буквенно-цифровой, с минимальной длиной 6.

    Этот параметр применяется к:

    • Android 10 и более поздней версии, но не на Samsung Knox.

    Важно!

    Настройка сложности пароля выполняется. В конце октября 2020 г. на устройствах начнет действовать сложность пароля .

    Если для параметра Сложность пароля задано значение , отличное от Нет, то также задайте для параметра Пароль значение Требовать, которое находится в разделе Все устройства Android . Пользователи с паролями, которые не соответствуют вашим требованиям к сложности, получают предупреждение об обновлении пароля. Если для параметра Пароль не задано значение Требовать, пользователи со слабыми паролями не получат предупреждение.

Android 9 и более ранних версий или Samsung Knox (любая версия)

  • Минимальная длина пароля. Введите минимальное требуемое количество символов от 4 до 16. Например, введите 6 , чтобы ввести не менее шести цифр или символов в длину пароля.

  • Срок действия пароля (в днях): введите число дней до изменения пароля устройства с 1 до 365. Например, введите 90 , чтобы срок действия пароля истек через 90 дней. По истечении срока действия пароля пользователям предлагается создать новый пароль. Если значение пустое, Intune не изменяет или не обновляет этот параметр.

  • Обязательный тип пароля. Введите требуемый уровень сложности пароля и укажите, можно ли использовать биометрические устройства. Доступны следующие параметры:

    • Устройство по умолчанию

    • Биометрические данные с низким уровнем безопасности: сильная и слабая биометрия (открывается веб-сайт Android)

    • По крайней мере числовой: включает числовые символы, такие как 123456789.

    • Числовой комплекс: повторяющиеся или последовательные числа, такие как "1111" или "1234", не допускаются. Перед назначением этого параметра устройствам обязательно обновите приложение Корпоративный портал до последней версии на этих устройствах.

      Если задано значение Numeric complex и вы назначаете параметр устройствам с android версии более ранней, чем 5.0, применяется следующее поведение:

      • Если приложение Корпоративный портал работает под управлением версии, более ранней, чем 1704, политика ПИН-кода не применяется к устройствам, и в центре администрирования Microsoft Intune отображается ошибка.
      • Если приложение Корпоративный портал работает под управлением версии 1704 или более поздней, можно применить только простой ПИН-код. Версия Android, более ранняя, чем 5.0, не поддерживает этот параметр. В Центре администрирования Microsoft Intune ошибка не отображается.

    • По крайней мере по алфавиту: включает буквы в алфавит. Числа и символы не требуются.

    • По крайней мере буквенно-цифровой символ: включает прописные буквы, строчные буквы и числовые символы.

    • По крайней мере буквенно-цифровые символы: включает прописные буквы, строчные буквы, числовые символы, знаки препинания и символы.

  • Запретить повторное использование предыдущих паролей. Используйте этот параметр, чтобы запретить пользователям создавать ранее использованные пароли. Введите количество ранее использовавшихся паролей, которые нельзя использовать( от 1 до 24). Например, введите 5 , чтобы пользователи не могли задать новый пароль для текущего или любого из предыдущих четырех паролей. Если значение пустое, Intune не изменяет или не обновляет этот параметр.

  • Разблокировка по отпечатку пальца (только Samsung Knox).Блокировка предотвращает использование отпечатков пальцев для разблокировки устройств. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям разблокировать устройства с помощью отпечатка пальца.

  • Смарт-блокировка и другие доверенные агенты. Блокировать запрещает smart lock или другим доверенным агентам настраивать параметры экрана блокировки. Если устройство находится в надежном расположении, эта функция, также известная как агент доверия, позволяет отключить или обойти пароль на экране блокировки устройства. Например, используйте эту функцию, если устройства подключены к определенному устройству Bluetooth или если устройства находятся рядом с NFC-тегом. Этот параметр можно использовать, чтобы запретить пользователям настраивать смарт-блокировку.

    Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр.

    Этот параметр применяется к:

    • Samsung KNOX Standard 5.0 и более поздней версии

Магазин Google Play

  • Магазин Google Play (только Samsung Knox):блокировать запрещает пользователям использовать магазин Google Play. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить пользователям доступ к магазину Google Play на устройствах.

Ограниченные приложения

Эта функция поддерживается на устройствах Android и Samsung Knox Standard.

  • Тип списка ограниченных приложений: Create список приложений для разрешения или блокировки на устройствах. Эта функция поддерживается на устройствах Android и Samsung Knox Standard. Доступны следующие параметры:

    • Не настроено (по умолчанию): Intune не изменяет или не обновляет этот параметр.
    • Запрещенные приложения: список приложений (не управляемых Intune), которые пользователи не могут устанавливать и запускать. Если пользователь устанавливает приложение из этого списка, вы получите уведомление от Intune.
    • Утвержденные приложения: список приложений, которые пользователи могут устанавливать. Чтобы обеспечить соответствие требованиям, пользователи не должны устанавливать другие приложения. Приложения, управляемые Intune, автоматически разрешаются, включая приложение Корпоративный портал.

  • Список приложений: добавьте свое приложение:

    • URL-адрес магазина приложений. Введите URL-адрес магазина Google Play для нужного приложения. Например, чтобы добавить приложение Удаленный рабочий стол (Майкрософт) для Android, введите https://play.google.com/store/apps/details?id=com.microsoft.rdc.android.

      Чтобы найти URL-адрес приложения, откройте магазин Google Play и найдите приложение. Например, выполните поиск по запросу Microsoft Remote Desktop Play Store или Microsoft Planner. Выберите приложение и скопируйте URL-адрес.

    • Идентификатор пакета приложений. Введите идентификатор пакета приложений. Чтобы получить идентификатор пакета приложения, добавленного в Intune, можно использовать центр администрирования Intune.

    • Имя приложения: введите нужное имя. Это имя отображается пользователям.

    • Издатель (необязательно): введите издателя приложения, например Microsoft.

Вы также можете импортировать CSV-файл с подробными сведениями о приложении, включая URL-адрес. < Используйте URL-адрес> приложения, <имя> приложения, < формат издателя> приложения. Или экспорт существующего списка, включающего список ограниченных приложений в том же формате.

Важно!

Профили устройств, использующие ограниченные параметры приложения, должны быть назначены группам пользователей, а не группам устройств.

Браузер

  • Веб-браузер (только Samsung Knox):блокировать запрещает использование веб-браузера по умолчанию на устройствах. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить использование веб-браузера устройства по умолчанию.
  • Автозаполнение (только Samsung Knox):параметр Блокировать запрещает браузеру автоматически заполнять текст. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить автозаполнения.
  • Файлы cookie (только Samsung Knox): выберите способ обработки файлов cookie с веб-сайтов на устройствах. Доступны следующие параметры:
    • Разрешить
    • Блокировать все файлы cookie
    • Разрешение файлов cookie с посещенных веб-сайтов
    • Разрешить файлы cookie с текущего веб-сайта
  • JavaScript (только Для Samsung Knox).Значение Блокировать запрещает запуск JavaScript в браузере. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить эти скрипты.
  • Всплывающие окна (только Для Samsung Knox).Блокировать включает блокировку всплывающих окон, чтобы предотвратить появление всплывающих окон в веб-браузере. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешать всплывающие окна.

Разрешить или заблокировать приложения

Используйте эти параметры, чтобы разрешить, заблокировать или скрыть определенные приложения на устройствах Samsung Knox Standard. Скрытые приложения не могут быть открыты или запущены пользователями.

Доступны следующие параметры:

  • Приложения, разрешенные для установки (только Samsung Knox Standard). Добавьте приложения, которые пользователи могут устанавливать. Пользователи не могут устанавливать приложения, которых нет в списке.
  • Приложения, заблокированные для запуска (только Samsung Knox Standard). Введите приложения, которые пользователи не могут запускать на своем устройстве.
  • Приложения, скрытые от пользователя (только Samsung Knox Standard): введите приложения, скрытые на устройствах. Пользователи не могут обнаруживать или запускать эти приложения.

Для каждого параметра добавьте приложения:

  • Добавление приложений по имени пакета. Введите имя приложения и имя пакета приложения. В основном используется для бизнес-приложений.
  • Добавление приложений по URL-адресу. Введите имя приложения и его URL-адрес в магазине Google Play.
  • Добавить приложение магазина. Выберите приложение из списка приложений, которыми вы управляете в Intune.

Облако и хранилище

  • Резервное копирование Google (только Samsung Knox).Блокировать запрещает синхронизацию устройств с google backup. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить использование google backup.
  • Автоматическая синхронизация учетных записей Google (только Samsung Knox):блокировать функцию автоматической синхронизации учетной записи Google на устройствах. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить автоматическую синхронизацию параметров учетной записи Google.
  • Съемные носители (только Samsung Knox):Блокировать запрещает устройствам использовать съемные носители. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить устройствам использовать съемные хранилища, например SD-карта.
  • Шифрование на картах памяти (только Samsung Knox):требует обязательного шифрования карт памяти. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить использование незашифрованных карт памяти. Не все устройства поддерживают шифрование карта хранилища. Чтобы подтвердить это, проверка с производителем устройства.

Сотовая связь и подключение

  • Роуминг данных (только Samsung Knox):блокировка предотвращает перемещение данных по сотовой сети. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить перемещение данных.
  • Обмен сообщениями SMS/MMS (только Samsung Knox):блокировать текстовые сообщения на устройствах. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить использование сообщений SMS и MMS.
  • Голосовой набор (только Samsung Knox):блокировать запрещает пользователям использовать функцию голосового набора на устройствах. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить голосовой набор.
  • Голосовой роуминг (только Samsung Knox):блокировать запрещает голосовой роуминг по сотовой сети. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить голосовой роуминг.
  • Bluetooth (только Samsung Knox):блокировать запрещает использование Bluetooth на устройствах. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить использование Bluetooth.
  • NFC (только Samsung Knox).Блокировать отключает операции, использующие связь ближнего действия (NFC) на устройствах, которые поддерживают эту функцию. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить операции NFC.
  • Wi-Fi (только Samsung Knox):блокировать запрещает использование Wi-Fi на устройствах. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить использование Wi-Fi.
  • Wi-Fi tethering (только Samsung Knox):блокировка предотвращает использование Wi-Fi троса на устройствах. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить использование Wi-Fi привязки.

Базовая подписка

Параметры киоска применяются только к устройствам Samsung Knox Standard под управлением Android 10 или более ранней версии и только к приложениям, которыми вы управляете с помощью Intune.

  • Добавьте приложения, которые нужно запускать, когда устройство находится в режиме киоска. В режиме киоска запускаются только приложения, которые вы добавляете; не добавленные приложения не запускаются. Предварительно установленные браузеры не запускаются как приложение, когда устройство находится в режиме киоска. Если требуется браузер, рассмотрите возможность использования Управляемого браузера.

    Параметры приложения:

    • Добавление приложений по имени пакета: в основном используется для бизнес-приложений. Введите имя приложения и имя пакета приложения.
    • Добавление приложений по URL-адресу. Введите имя приложения и его URL-адрес в магазине Google Play.
    • Добавить приложение магазина. Выберите приложение из списка приложений, которыми вы управляете в Intune.

  • Кнопка спящего режима экрана: параметр Блокировать предотвращает или скрывает кнопку спящего режима экрана. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить кнопку пробуждения экрана в спящем режиме на устройствах.

  • Кнопки громкости. Блокировать запрещает пользователям настраивать громкость, отключая кнопки громкости. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр. По умолчанию ОС может разрешить использование кнопок громкости на устройствах.

Дальнейшие действия

Назначьте профиль и отслеживайте его состояние.

Вы также можете создавать профили киосков для устройств Android Enterprise и Windows 10.