为了支持Microsoft零信任安全模型,本文提供了与 Microsoft Intune 配合使用的示例配置,以便为 Android Enterprise 完全托管的移动用户配置设备符合性策略和设备限制策略。 这些示例包括符合零信任原则的设备安全配置级别。
使用这些示例时,请与安全团队协作,评估威胁环境、风险偏好,以及不同级别和配置对可用性的影响。 查看并调整示例以满足组织的需求后,实施环部署方法进行初始测试,然后进行生产使用。
有关每个策略设置的详细信息,请参阅:
完全受管理的基本安全性(级别 1)
对于组织拥有的移动设备,建议的最低安全配置是级别 1。
级别 1 中的策略通过以下方式强制执行合理的数据访问级别,同时最大限度地降低对用户的影响:
- 强制实施密码策略
- 要求最低 OS 系统版本
- 禁用某些设备功能 (,例如 USB 文件传输)
以下部分中的表仅列出了这些示例中包含的设置。 未配置表中未列出的设置。
设备符合性 (级别 1)
| 节 | 设置 | 值 | 备注 |
|---|---|---|---|
| 设备运行状况 | 播放完整性判决 | 检查基本完整性 | 此设置要求设备传递 Google Play 完整性 API 的基本完整性检查。 它验证设备是否处于合理的安全状态,这意味着它未获得 root 权限或未运行自定义 ROM。 |
| 设备属性 | 最低操作系统版本 | 格式:Major.Minor 示例:9.0 |
Microsoft 建议配置最低 Android 主要版本,以与 Microsoft 应用支持的 Android 版本匹配。 遵循 Android Enterprise 建议的要求的 OEM 和设备必须支持当前交付版本以及一字母升级版。 当前,Android 建议对知识工作者使用 Android 9.0 及更高版本。 有关 Android 的最新建议,请参阅 Android Enterprise 建议的要求。 |
| 设备属性 | 最低安全修补程序级别 | 未配置 | Android 设备可以接收每月安全修补程序,但发布取决于 OEM 和/或运营商。 组织应确保已部署的 Android 设备在实现此设置之前确实收到了安全更新程序。 有关最新的修补程序发布,请参阅 Android 安全公告。 |
| 系统安全 | 需要密码才可解锁移动设备 | 需要 | |
| 系统安全 | 所需密码类型 | 数字复杂度 | 组织可能需要更新此设置以匹配其密码策略。 |
| 系统安全 | 最短密码长度 | 6 | 组织可能需要更新此设置以匹配其密码策略。 |
| 系统安全 | 最长经过多少分钟的非活动状态后需要提供密码 | 5 | 组织可能需要更新此设置以匹配其密码策略。 |
| 系统安全 | 要求对设备上的数据存储进行加密 | 需要 | |
| 系统安全 | Intune 应用运行时完整性 | 需要 | |
| 针对不合规内容的操作 | 将设备标记为不符合 | 立即 | 默认情况下,此策略配置为将设备标记为不符合。 还可以执行其他操作。 有关详细信息,请参阅在 Intune 中为不符合要求的设备配置操作。 |
设备限制 (级别 1)
| 节 | 设置 | 值 | 备注 |
|---|---|---|---|
| 常规 | 工作配置文件级别) (默认权限策略 | 设备默认值 | |
| 常规 | USB 文件传输 | 阻止 | |
| 常规 | 外部介质 | 阻止 | |
| 常规 | 恢复出厂设置 | 阻止 | |
| 常规 | 工作配置文件和个人配置文件之间的数据共享 | 设备默认值 | |
| 系统安全 | 对应用进行威胁扫描 | 需要 | |
| 设备体验 | 注册配置文件类型 | 完全受管理 | |
| 设备体验 | 设备体验类型 | 未配置 | 组织可以选择实现Microsoft启动器,以确保完全托管设备上的主屏幕体验一致。 有关详细信息,请参阅如何使用Intune在 Android Enterprise 完全托管设备上设置Microsoft启动器。 |
| 设备密码 | 所需密码类型 | 数字复杂度 | |
| 设备密码 | 最短密码长度 | 6 | |
| 设备密码 | 登录失败多少次后擦除设备 | 10 | |
| 电源设置 | 锁定屏幕 (工作配置文件级) 的时间 | 5 分钟 | |
| 用户和帐户 | 用户可以 (工作配置文件级别) 配置凭据 | 阻止 | |
| 应用程序 | 应用自动更新 (工作配置文件级别) | 仅 Wi-Fi | 组织应根据需要调整此设置,因为如果通过手机网络进行应用更新,可能会产生数据计划费用。 |
| 应用程序 | 允许访问 Google Play 商店中的所有应用 | 未配置 | 默认情况下,用户无法在完全托管的设备上安装 Google Play 商店中的个人应用。 如果组织希望允许将完全受管理设备用于个人用途,不妨更改此设置。 |
| 工作配置文件密码 | 所需密码类型 | 数字复杂度 | 组织可能需要更新此设置以匹配其密码策略。 |
| 工作配置文件密码 | 最短密码长度 | 6 | 组织可能需要更新此设置以匹配其密码策略。 |
| 工作配置文件密码 | 登录失败多少次后擦除设备 | 10 | 组织可能需要更新此设置以匹配其密码策略。 |
完全受管理的增强安全性(级别 2)
对于用户访问更敏感的信息的公司拥有设备,建议的配置是级别 2。 这些设备如今是企业中的自然目标。 这些设置不需要大量高技能的安全人员。 因此,它们应该对大多数企业组织是可访问的。 通过制定更强的密码策略并禁用用户/帐户功能,此配置扩展了级别 1 中的配置。
级别 2 设置包括针对级别 1 建议的所有策略设置。 但是,以下部分中列出的设置仅包括添加或更改的设置。 这些设置可能会对用户或应用程序产生略大的影响。 它们对在移动设备上访问敏感信息的风险用户强制执行更合适的安全性级别。
设备符合性 (级别 2)
| 节 | 设置 | 值 | 备注 |
|---|---|---|---|
| 系统安全 | 密码还剩多少天到期 | 365 | 组织可能需要更新此设置以匹配其密码策略。 |
| 系统安全 | 必须有多少个密码后用户才能重用密码 | 5 | 组织可能需要更新此设置以匹配其密码策略。 |
| 设备运行状况 | 播放完整性判决 | 检查基本完整性 & 设备完整性 | 要求设备传递 Play 的基本完整性检查和设备完整性检查。 |
| 设备运行状况 | 使用硬件支持的安全功能检查强完整性 | 检查强完整性 | 要求设备传递 Play 的强完整性检查。 并非所有设备都支持这种类型的检查。 Intune将此类设备标记为不符合。 |
(级别 2) 的设备限制
| 节 | 设置 | 值 | 备注 |
|---|---|---|---|
| 常规 | 恢复出厂设置保护电子邮件 | Google 帐户电子邮件地址 | |
| 常规 | 电子邮件地址列表(仅限 Google 帐户电子邮件地址选项) | example@gmail.com | 手动更新此策略以指定可在擦除设备后解锁的设备管理员的 Google 电子邮件地址。 |
| 设备密码 | 密码还剩多少天到期 | 365 | 组织可能需要更新此设置以匹配其密码策略。 |
| 设备密码 | 必须有多少个密码后用户才能重用密码 | 5 | 组织可能需要更新此设置以匹配其密码策略。 |
| 设备密码 | 登录失败多少次后擦除设备 | 5 | |
| 用户和帐户 | 添加新用户 | 阻止 | |
| 用户和帐户 | 删除用户 | 阻止 | |
| 用户和帐户 | 个人 Google 帐户 | 阻止 | |
| 工作配置文件密码 | 必须有多少个密码后用户才能重用密码 | 5 | 组织可能需要更新此设置以匹配其密码策略。 |
完全受管理的高安全性(级别 3)
对于以下两种情况,建议的配置是级别 3:
- 具有复杂的大型安全组织的组织。
- 攻击者唯一目标的特定用户和组。
此类组织通常是资金雄厚且经验丰富的对手的目标。
此配置通过以下方式扩展了级别 2:
- 通过强制实施最安全的Microsoft Defender for Endpoint或移动威胁防御级别来确保设备符合要求。
- 增加最低操作系统版本。
- 强制实施其他设备限制 (例如在锁屏界面上禁用) 未响应的通知。
- 要求应用始终处于最新状态。
级别 3 设置包括建议用于级别 2 的所有策略设置。 但是,以下部分中列出的设置仅包括添加或更改的设置。 这些设置可能会对用户或应用程序产生重大影响。 它们执行更适合于目标组织所面临风险的安全性级别。
设备符合性 (级别 3)
| 节 | 设置 | 值 | 备注 |
|---|---|---|---|
| Microsoft Defender for Endpoint | 要求设备不超过计算机风险评分 | Clear | 此设置需要 Microsoft Defender for Endpoint。 有关详细信息,请参阅在 Intune 中使用条件访问强制执行 Microsoft Defender for Endpoint 的合规性。 客户应考虑实现 Microsoft Defender for Endpoint 或移动威胁防御解决方案。 不需要同时部署这两者。 |
| 设备运行状况 | 要求设备不高于设备威胁级别 | 安全 | 此设置需要移动威胁防御产品。 有关详细信息,请参阅适用于已注册设备的移动威胁防御。 客户应考虑实现 Microsoft Defender for Endpoint 或移动威胁防御解决方案。 不需要同时部署这两者。 |
| 设备属性 | 最低操作系统版本 | 格式:Major.Minor 示例:11.0 |
Microsoft 建议配置最低 Android 主要版本,以与 Microsoft 应用支持的 Android 版本匹配。 遵循 Android Enterprise 建议的要求的 OEM 和设备必须支持当前交付版本以及一字母升级版。 当前,Android 建议对知识工作者使用 Android 9.0 及更高版本。 有关 Android 的最新建议,请参阅 Android Enterprise 建议的要求。 |
(级别 3) 的设备限制
| 节 | 设置 | 值 | 备注 |
|---|---|---|---|
| 常规 | 日期和时间更改 | 阻止 | |
| 常规 | 网络共享和访问热点 | 阻止 | |
| 常规 | 使用 NFC (工作配置文件级) 的波束数据 | 阻止 | |
| 常规 | 在个人个人资料中搜索工作联系人并显示工作联系人呼叫者 ID | 阻止 | |
| 设备密码 | “禁用的锁屏界面”功能 | - 未响应的通知 - 信任代理 (工作配置文件级) |
|
| 应用程序 | 应用自动更新 (工作配置文件级别) | 始终 | 组织应根据需要调整此设置,因为如果通过手机网络进行应用更新,可能会产生数据计划费用。 |
| 工作配置文件密码 | 登录失败多少次后擦除设备 | 5 | 组织可能需要更新此设置以匹配其密码策略。 |