Intune中 Android 设备管理员的设备符合性设置

  • 项目

本文列出了可在 Intune 中的 Android 设备管理员设备上配置的符合性设置。 作为移动设备管理 (MDM) 解决方案的一部分,使用这些设置将 root 设备标记为不合规、设置允许的威胁级别、启用 Google Play 保护等。

有关配置符合性策略的帮助,请参阅使用合规性策略为使用 Intune 管理的设备设置规则

此功能适用于:

  • Android 设备管理员

作为Intune管理员,使用这些符合性设置来帮助保护组织资源。 若要详细了解合规性策略及其用途,请参阅 设备合规性入门

重要

Microsoft Intune于 2024 年 8 月 30 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持, (GMS) 。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请阅读 在 GMS 设备上终止对 Android 设备管理员的支持

开始之前

Create符合性策略。 对于 “平台”,请选择“ Android 设备管理员”。

Microsoft Defender for Endpoint

  • 要求设备不超过计算机风险评分

    为Microsoft Defender for Endpoint评估的设备选择允许的最大计算机风险分数。 超过此分数的设备将被标记为不符合。

    • 未配置 (默认)
    • Clear
    • High

设备运行状况

  • 使用设备管理员管理的设备
    设备管理员 功能由 Android Enterprise 取代。

    • 未配置 (默认)
    • 阻止 - 阻止设备管理员将引导用户迁移到 Android Enterprise Personally-Owned,并 Corporate-Owned 工作配置文件管理重新获得访问权限。

  • 取得 root 权限的设备
    防止 root 设备具有公司访问权限。 (Android 4.0 及更高版本支持此合规性检查。)

    • 未配置 (默认) - 不会评估此设置是否符合性。
    • 阻止 - 将 root 设备标记为不符合。

  • 要求设备不高于设备威胁级别
    使用此设置可从连接的移动威胁防御服务进行风险评估,作为符合性的条件。

    • 未配置 (默认) - 不会评估此设置是否符合性。
    • 安全 - 此选项是最安全的,因为设备不能有任何威胁。 如果检测到设备存在任何级别的威胁,则会将其评估为不符合。
    • - 如果仅存在低级别威胁,则设备被评估为符合性。 低级以上的任意威胁都将使设备不合规。
    • - 如果设备上的现有威胁为低级或中等级别,则设备被评估为符合性。 如果检测到设备具有高级威胁,则确定设备不符合要求。
    • - 此选项最不安全,允许所有威胁级别。 如果仅将此解决方案用于报告目的,则它可能很有用。

Google Play Protect

重要

在 Google 移动服务不可用的国家/地区运行的设备将无法通过 Google Play 保护合规性策略设置评估。 有关详细信息,请参阅管理无法使用 Google 移动服务的 Android 设备

  • 配置 Google Play Services
    Google Play 服务允许安全更新,并且是经过认证的 Google 设备上的许多安全功能的基础级依赖项。

    • 未配置 (默认) - 不会评估此设置是否符合性。
    • 必需 - 要求安装并启用 Google Play 服务应用。

  • 最新的安全提供程序

    • 未配置 (默认) - 不会评估此设置是否符合性。
    • 需要 - 要求最新的安全提供程序可以保护设备免受已知漏洞的伤害。

  • 对应用进行威胁扫描

    • 未配置 (默认) - 不会评估此设置是否符合性。
    • 必需 - 要求启用 Android 验证应用 功能。

    注意

    在旧版 Android 平台上,此功能是一种合规性设置。 Intune只能检查是否在设备级别启用此设置。

  • 游戏完整性判决
    输入必须满足的 Google 游戏完整性 级别。 选项包括:

    • 未配置 (默认) - 不会评估此设置是否符合性。
    • 检查基本完整性
    • 检查基本完整性 & 设备完整性

注意

若要使用应用保护策略配置 Google Play 保护设置,请参阅在 Android 上Intune应用保护策略设置

设备属性

操作系统版本

  • 最低操作系统版本
    如果设备不符合最低 OS 版本要求,则会将其报告为不符合要求。 将显示一个链接,其中包含有关如何升级的信息。 最终用户可以选择升级其设备,然后获取对公司资源的访问权限。

    默认情况下,未配置任何版本

  • 最高操作系统版本
    当设备使用的 OS 版本高于规则中指定的版本时,将阻止对公司资源的访问。 系统会要求用户与其 IT 管理员联系。在规则更改为允许 OS 版本之前,此设备无法访问公司资源。

    默认情况下,未配置任何版本

系统安全

加密

  • 要求对设备上的数据存储进行加密
    在 Android 4.0 及更高版本或 KNOX 4.0 及更高版本上受支持。

    • 未配置 (默认) - 不会评估此设置是否符合性。
    • 需要 - 加密设备上的数据存储。 选择“ 需要密码才能解锁移动设备 ”设置时,设备将加密。

设备安全性

  • 阻止来自未知源的应用
    在 Android 4.0 到 Android 7.x 上受支持。 Android 8.0 及更高版本不支持

    • 未配置 (默认) - 此设置不会评估符合性或不符合性。
    • 阻止 - 阻止启用了 安全 > 未知源 的设备, (Android 4.0 到 Android 7.x 上支持源。Android 8.0 及更高版本不支持。) 。

    若要旁加载应用,必须允许未知源。 如果未旁加载 Android 应用,请将此功能设置为 “阻止 ”以启用此符合性策略。

    重要

    旁加载应用程序要求启用 “阻止来自未知源的应用” 设置。 仅当不在设备上旁加载 Android 应用时,才强制实施此符合性策略。

  • 公司门户应用运行时完整性

    • 未配置 (默认) - 不会评估此设置是否符合性。

    • 要求 - 选择“需要”以确认公司门户应用满足以下所有要求:

      • 已安装默认运行时环境
      • 已正确签名
      • 未处于调试模式

  • 在设备上阻止进行 USB 调试
    android 4.2 或更高版本支持 ()

    • 未配置 (默认) - 不会评估此设置是否符合性。
    • 阻止 - 阻止设备使用 USB 调试功能。

  • 最低安全修补程序级别
    android 8.0 或更高版本支持 ()

    选择设备可以具有的最旧安全修补程序级别。 至少不是此修补程序级别的设备不符合要求。 必须以 格式输入 YYYY-MM-DD 日期。

    默认情况下,不配置日期

  • 受限应用
    输入应限制的应用的应用名称和应用捆绑 ID,然后选择“添加”。 至少安装了一个受限应用的设备被标记为不合规。

    若要获取添加到 Intune 的应用的捆绑 ID,可以使用 Intune 管理中心

Password

密码的可用设置因设备上的 Android 版本而异。

所有 Android 设备

Android 4.0 或更高版本以及 Knox 4.0 及更高版本支持以下设置。

  • 最长经过多少分钟的非活动状态后需要提供密码
    此设置指定在没有用户输入的情况下锁定移动设备屏幕的时间长度。 选项范围为 1 分钟8 小时。 建议的值为 15 分钟

    • 未配置 (默认)

  • 需要密码才可解锁移动设备

    此设置指定是否要求用户在访问其移动设备上的信息之前输入密码。 建议值:要求 (具有 ANDROID 4.0 及更高操作系统版本或 KNOX 4.0 及更高版本的设备支持此符合性检查。)

    • 未配置 (默认)

Android 10 及更高版本

Android 10 或更高版本支持以下设置,但在 Knox 上不支持。

  • 密码复杂性
    Android 10 或更高版本支持此设置,但在 Samsung Knox 上不支持此设置。 在运行 Android 9 及更早版本或 Samsung Knox 的设备上,密码长度和类型的设置会替代此设置,以示复杂性.

    指定所需的密码复杂性。

    • (默认) - 无需密码。
    • - 密码满足以下条件之一:
      • 模式
      • 数字 PIN 具有重复 (4444) 或排序 (1234、4321、2468) 序列。
    • - 密码满足以下条件之一:
      • 数字 PIN 没有重复 (4444) 或排序 (1234、4321、2468) 序列,并且最小长度为 4。
      • 字母顺序,最小长度为 4。
      • 字母数字,最小长度为 4。
    • - 密码满足以下条件之一:
      • 数字 PIN 没有重复 (4444) 或排序 (1234、4321、2468) 序列,最小长度为 8。
      • 字母顺序,最小长度为 6。
      • 字母数字,最小长度为 6。

Android 9 及更早版本或 Samsung Knox

Android 9.0 及更早版本以及任何版本的 Samsung Knox 支持以下设置。

  • 需要密码才可解锁移动设备
    此设置指定是否要求用户在访问其移动设备上的信息之前输入密码。 建议的值:需要

    • 未配置 (默认) - 不会评估此设置是否符合性。
    • 需要 - 用户必须输入密码才能访问其设备。

    设置为 “需要”时,可以配置以下设置:

    所需密码类型
    选择密码应仅包含数字字符,还是混合使用数字和其他字符。

    • 设备默认值 - 若要评估密码符合性,请务必选择 除设备默认值以外的密码强度。
    • 低安全性生物识别
    • 至少为数值
    • 数值复数 - 不允许使用重复或连续数字,例如 11111234
    • 至少按字母顺序排列
    • 至少字母数字
    • 至少包含符号的字母数字

    根据此设置的配置,可以使用以下一个或多个选项:

    • 最短密码长度
      输入用户密码必须具有的最小位数或字符数。

    • 最长经过多少分钟的非活动状态后需要提供密码
      输入用户必须重新输入其密码之前的空闲时间。 选择“ 未配置 ” (默认) 时,不会评估此设置是否符合性或不符合性。

    • 密码还剩多少天到期
      选择密码过期前的天数,用户必须创建新密码。

    • 阻止重用的曾用密码数
      输入不能重复使用的最近密码数。 使用此设置可限制用户创建以前使用的密码。

后续步骤