為了支援Microsoft 零信任 安全性模型,本文提供與 Microsoft Intune 搭配使用的範例組態,以針對Android Enterprise完全受控行動使用者設定裝置合規性原則和裝置限制原則。 這些範例包括符合 零信任 原則的裝置安全性設定層級。
使用這些範例時,請與您的安全性小組合作,評估威脅環境、風險偏好,以及不同層級和設定對可用性的影響。 檢閱並調整範例以符合組織的需求之後,請實作通道部署方法來進行初始測試,然後再使用生產環境。
如需每個原則設定的詳細資訊,請參閱:
完全受控的基本安全性 (層級 1)
層級 1 是組織擁有的行動裝置建議的最低安全性設定。
層級 1 中的原則會強制執行合理的數據存取層級,同時透過下列方式將對用戶的影響降至最低:
- 強制執行密碼原則
- 需要最低OS系統版本
- 停用特定裝置功能 (例如 USB 檔案傳輸)
下列各節中的數據表只會列出這些範例中包含的設定。 未在數據表中列出的設定未設定。
裝置合規性 (層級 1)
| 區段 | 設定 | 值 | 附註 |
|---|---|---|---|
| 裝置健全狀況 | 播放完整性決策 | 檢查基本完整性 | 此設定需要裝置通過Google播放完整性 API 的基本完整性檢查。 它會驗證裝置是否處於相當安全的狀態,這表示裝置並未進行 Root 破解或執行自定義 ROM。 |
| 裝置屬性 | 最低作系統版本 | 格式:Major.Minor 範例:9.0 |
Microsoft建議設定最低 Android 主要版本,以符合Microsoft應用程式支援的 Android 版本。 符合 Android Enterprise 建議需求的 OEM 和裝置必須支援目前的出貨版本 + 一個字母升級。 目前,Android 針對知識工作者建議使用 Android 9.0 和更新版本。 如需 Android 的最新建議,請參閱 Android Enterprise 建議需求。 |
| 裝置屬性 | 最低安全性修補程式層級 | 尚未設定 | Android 裝置可以接收每月安全性修補程式,但版本取決於 OEM 和/或貨運公司。 組織應該確保已部署的 Android 裝置在實作此設定之前,確實會收到安全性更新。 如需最新的修補程式版本,請參閱 Android 安全性布告欄。 |
| 系統安全性 | 需要密碼才能解除鎖定行動裝置 | 需要 | |
| 系統安全性 | 必要的密碼類型 | 數值複雜 | 組織可能需要更新此設定,以符合其密碼原則。 |
| 系統安全性 | 密碼最小長度 | 6 | 組織可能需要更新此設定,以符合其密碼原則。 |
| 系統安全性 | 在需要密碼之前,閑置最長分鐘數 | 5 | 組織可能需要更新此設定,以符合其密碼原則。 |
| 系統安全性 | 需要加密裝置上的數據記憶體 | 需要 | |
| 系統安全性 | Intune 應用程式運行時間完整性 | 需要 | |
| 不符合規範的動作 | 標示裝置不符合規範 | 立即 | 根據預設,原則會設定為將裝置標示為不符合規範。 有其他動作可供使用。 如需詳細資訊,請參閱在 Intune 中設定不相容裝置的動作。 |
裝置限制 (層級 1)
| 區段 | 設定 | 值 | 附註 |
|---|---|---|---|
| 一般 | 工作配置檔層級 (預設許可權原則) | 裝置預設值 | |
| 一般 | USB 檔案傳輸 | 封鎖 | |
| 一般 | 外部媒體 | 封鎖 | |
| 一般 | 恢復出廠預設值 | 封鎖 | |
| 一般 | 工作和個人配置檔之間的數據共用 | 裝置預設值 | |
| 系統安全性 | 應用程式上的威脅掃描 | 需要 | |
| 裝置體驗 | 註冊配置檔類型 | 完全受控 | |
| 裝置體驗 | 裝置體驗類型 | 尚未設定 | 組織可以選擇實作Microsoft啟動器,以確保完全受控裝置上的一致主畫面體驗。 如需詳細資訊,請參閱 How to Setup Microsoft Launcher on Android Enterprise Fully Managed Devices with Intune。 |
| 裝置密碼 | 必要的密碼類型 | 數值複雜 | |
| 裝置密碼 | 密碼最小長度 | 6 | |
| 裝置密碼 | 抹除裝置之前登入失敗次數 | 10 | |
| 電源設定 | 鎖定螢幕 (工作配置檔層級) | 5 分鐘 | |
| 用戶和帳戶 | 用戶可以在工作配置檔層級 (設定認證) | 封鎖 | |
| 應用程式 | 應用程式自動更新 (工作配置檔層級) | 僅限 Wi-Fi | 組織應該視需要調整此設定,因為如果應用程式更新是透過行動數據網路進行,可能會產生數據計劃費用。 |
| 應用程式 | 允許存取Google Play商店中的所有應用程式 | 尚未設定 | 根據預設,用戶無法在完全受控的裝置上,從 Google Play 商店安裝個人應用程式。 如果組織想要允許完全受控裝置用於個人用途,請考慮變更此設定。 |
| 工作配置文件密碼 | 必要的密碼類型 | 數值複雜 | 組織可能需要更新此設定,以符合其密碼原則。 |
| 工作配置文件密碼 | 密碼最小長度 | 6 | 組織可能需要更新此設定,以符合其密碼原則。 |
| 工作配置文件密碼 | 抹除裝置之前登入失敗次數 | 10 | 組織可能需要更新此設定,以符合其密碼原則。 |
完全受控增強的安全性 (層級 2)
層級 2 是公司擁有之裝置的建議設定,用戶可在其中存取更敏感的資訊。 這些裝置是現今企業中的自然目標。 這些設定不會假設有大量高技能的安全性人員。 因此,大多數企業組織都應該能夠存取它們。 此設定會藉由制定更強的密碼原則,並停用使用者/帳戶功能,來擴充層級 1 中的設定。
層級 2 設定包含針對層級 1 建議的所有原則設定。 不過,下列各節所列的設定只包含新增或變更的設定。 這些設定可能會對使用者或應用程式產生稍微較高的影響。 它們會強制執行更適合存取行動裝置上敏感性資訊之使用者所面臨風險的安全性層級。
裝置合規性 (層級 2)
| 區段 | 設定 | 值 | 附註 |
|---|---|---|---|
| 系統安全性 | 密碼到期前的天數 | 365 | 組織可能需要更新此設定,以符合其密碼原則。 |
| 系統安全性 | 用戶可以重複使用密碼之前所需的密碼數目 | 5 | 組織可能需要更新此設定,以符合其密碼原則。 |
| 裝置健全狀況 | 播放完整性決策 | 檢查裝置完整性 & 基本完整性 | 要求裝置通過 Play 的基本完整性檢查和裝置完整性檢查。 |
| 裝置健全狀況 | 使用硬體支援的安全性功能來檢查強式完整性 | 檢查強式完整性 | 需要裝置通過 Play 的強式完整性檢查。 並非所有裝置都支援這種類型的檢查。 Intune 將這類裝置標示為不符合規範。 |
裝置限制 (層級 2)
| 區段 | 設定 | 值 | 附註 |
|---|---|---|---|
| 一般 | 恢復出廠預設值保護電子郵件 | Google 帳戶電子郵件位址 | |
| 一般 | 僅限 google 帳戶電子郵件地址選項 (電子郵件地址清單) | example@gmail.com | 手動更新此原則,以指定可在抹除裝置之後解除鎖定裝置之裝置系統管理員的 Google 電子郵件位址。 |
| 裝置密碼 | 密碼到期前的天數 | 365 | 組織可能需要更新此設定,以符合其密碼原則。 |
| 裝置密碼 | 用戶可以重複使用密碼之前所需的密碼數目 | 5 | 組織可能需要更新此設定,以符合其密碼原則。 |
| 裝置密碼 | 抹除裝置之前登入失敗次數 | 5 | |
| 用戶和帳戶 | 新增使用者 | 封鎖 | |
| 用戶和帳戶 | 用戶移除 | 封鎖 | |
| 用戶和帳戶 | 個人Google帳戶 | 封鎖 | |
| 工作配置文件密碼 | 用戶可以重複使用密碼之前所需的密碼數目 | 5 | 組織可能需要更新此設定,以符合其密碼原則。 |
完全受控的高安全性 (層級 3)
層級 3 是兩者的建議組態:
- 具有大型和複雜安全性組織的組織。
- 被敵人唯一設為目標的特定使用者和群組。
這類組織通常會以資金高且複雜的敵人為目標。
此設定會在層級 2 展開,方法如下:
- 強制執行最安全的 適用於端點的 Microsoft Defender 或行動威脅防護層級,以確保裝置符合規範。
- 增加最低作系統版本。
- 強制執行其他裝置限制 (例如在鎖定畫面) 上停用未執行的通知。
- 要求應用程式一律為最新狀態。
層級 3 設定包含針對層級 2 建議的所有原則設定。 不過,下列各節所列的設定只包含新增或變更的設定。 這些設定可能會對使用者或應用程式造成重大影響。 它們會強制執行更適合目標組織所面臨風險的安全性層級。
裝置合規性 (層級 3)
| 區段 | 設定 | 值 | 附註 |
|---|---|---|---|
| 適用於端點的 Microsoft Defender | 要求裝置處於或低於計算機風險分數 | Clear | 此設定需要 適用於端點的 Microsoft Defender。 如需詳細資訊,請參閱在 Intune 中使用條件式存取強制 適用於端點的 Microsoft Defender 合規性。 客戶應該考慮實作 適用於端點的 Microsoft Defender 或行動威脅防護解決方案。 不需要同時部署這兩者。 |
| 裝置健全狀況 | 要求裝置處於或低於裝置威脅層級 | 安全的 | 此設定需要行動威脅防禦產品。 如需詳細資訊,請參閱 已註冊裝置的Mobile Threat Defense。 客戶應該考慮實作 適用於端點的 Microsoft Defender 或行動威脅防護解決方案。 不需要同時部署這兩者。 |
| 裝置屬性 | 最低作系統版本 | 格式:Major.Minor 範例:11.0 |
Microsoft建議設定最低 Android 主要版本,以符合Microsoft應用程式支援的 Android 版本。 符合 Android Enterprise 建議需求的 OEM 和裝置必須支援目前的出貨版本 + 一個字母升級。 目前,Android 針對知識工作者建議使用 Android 9.0 和更新版本。 如需 Android 的最新建議,請參閱 Android Enterprise 建議需求。 |
裝置限制 (層級 3)
| 區段 | 設定 | 值 | 附註 |
|---|---|---|---|
| 一般 | 日期和時間變更 | 封鎖 | |
| 一般 | 對熱點進行系結和存取 | 封鎖 | |
| 一般 | 使用 NFC (工作配置檔層級) 傳送到數據 | 封鎖 | |
| 一般 | 搜尋工作聯繫人,並在個人配置檔中顯示公司聯繫人來電者標識碼 | 封鎖 | |
| 裝置密碼 | 已停用鎖定畫面功能 | - 未處理的通知 - 信任代理程式 (工作配置檔層級) |
|
| 應用程式 | 應用程式自動更新 (工作配置檔層級) | 需要一直連線 | 組織應該視需要調整此設定,因為如果應用程式更新是透過行動數據網路進行,可能會產生數據計劃費用。 |
| 工作配置文件密碼 | 抹除裝置之前登入失敗次數 | 5 | 組織可能需要更新此設定,以符合其密碼原則。 |