Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
A supporto del modello di sicurezza di Microsoft Zero Trust, questo articolo fornisce configurazioni di esempio da usare con Microsoft Intune per configurare sia i criteri di conformità dei dispositivi che i criteri di restrizione dei dispositivi per gli utenti di dispositivi mobili android enterprise completamente gestiti. Questi esempi includono livelli di configurazione della sicurezza dei dispositivi allineati ai principi di Zero Trust.
Quando si usano questi esempi, collaborare con il team di sicurezza per valutare l'ambiente delle minacce, la propensione al rischio e l'effetto che i diversi livelli e configurazioni possono avere sull'usabilità. Dopo aver esaminato e modificato gli esempi per soddisfare le esigenze dell'organizzazione, implementare un approccio di distribuzione ad anello per i test iniziali seguito dall'uso in produzione.
Per altre informazioni su ogni impostazione di criterio, vedere:
- Impostazioni di Android Enterprise per contrassegnare i dispositivi come conformi o non conformi usando Intune
- Impostazioni dei dispositivi Android Enterprise per consentire o limitare le funzionalità nei dispositivi di proprietà personale usando Intune
Sicurezza di base completamente gestita (livello 1)
Il livello 1 è la configurazione di sicurezza minima consigliata per i dispositivi mobili di proprietà dell'organizzazione.
I criteri nel livello 1 applicano un livello di accesso ai dati ragionevole riducendo al minimo l'impatto sugli utenti:
- Applicazione dei criteri password
- Richiesta di una versione minima del sistema operativo
- Disabilitazione di determinate funzioni del dispositivo (ad esempio trasferimenti di file USB)
Le tabelle nelle sezioni seguenti elencano solo le impostazioni incluse in questi esempi. Le impostazioni non elencate nelle tabelle non sono configurate.
Conformità del dispositivo (livello 1)
| Sezione | Impostazione | Valore | Note |
|---|---|---|---|
| Integrità del dispositivo | Play Integrity Verdict | Controllare l'integrità di base | Questa impostazione richiede che i dispositivi superino il controllo di integrità di base dell'API Play Integrity di Google. Verifica che il dispositivo si trova in uno stato ragionevolmente sicuro, il che significa che non è rooted o esegue una ROM personalizzata. |
| Proprietà dispositivo | Versione minima del sistema operativo | Formato: Major.Minor Esempio: 9.0 |
Microsoft consiglia di configurare la versione principale minima di Android in modo che corrisponda alle versioni di Android supportate per le app Microsoft. Gli OEM e i dispositivi che rispettano i requisiti consigliati per Android Enterprise devono supportare la versione corrente con l'aggiornamento di una sola lettera. Attualmente Android consiglia Android 9.0 e versioni successive per i knowledge worker. Per le raccomandazioni più recenti di Android, vedere Requisiti consigliati per Android Enterprise. |
| Proprietà dispositivo | Livello minimo di patch di sicurezza | Non configurata | I dispositivi Android possono ricevere patch di sicurezza mensili, ma la versione dipende dagli OEM e/o dagli operatori. Le organizzazioni devono assicurarsi che i dispositivi Android distribuiti ricevano gli aggiornamenti della sicurezza prima di implementare questa impostazione. Per le versioni più recenti delle patch, vedere i bollettini sulla sicurezza di Android. |
| Sicurezza del sistema | Richiedere una password per sbloccare i dispositivi mobili | Richiedere | |
| Sicurezza del sistema | Tipo di password richiesto | Complesso numerico | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Sicurezza del sistema | Lunghezza minima password | 6 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Sicurezza del sistema | Numero massimo di minuti di inattività prima che sia necessaria la password | 5 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Sicurezza del sistema | Richiedere la crittografia dell'archiviazione dati nel dispositivo | Richiedere | |
| Sicurezza del sistema | Intune l'integrità del runtime dell'app | Richiedere | |
| Azioni per la non conformità | Contrassegnare il dispositivo non conforme | Immediatamente. | Per impostazione predefinita, il criterio è configurato per contrassegnare il dispositivo come non conforme. Sono disponibili azioni aggiuntive. Per altre informazioni, vedere Configurare le azioni per i dispositivi non conformi in Intune. |
Restrizioni del dispositivo (livello 1)
| Sezione | Impostazione | Valore | Note |
|---|---|---|---|
| Generale | Criteri di autorizzazione predefiniti (a livello di profilo di lavoro) | Impostazione predefinita del dispositivo | |
| Generale | Trasferimento di file USB | Blocca | |
| Generale | Supporti esterni | Blocca | |
| Generale | Ripristinare i dati di fabbrica | Blocca | |
| Generale | Condivisione dei dati tra profili aziendali e personali | Impostazione predefinita del dispositivo | |
| Protezione del sistema | Analisi delle minacce nelle app | Richiedere | |
| Esperienza del dispositivo | Tipo di profilo di registrazione | Completamente gestito | |
| Esperienza del dispositivo | Tipo di esperienza del dispositivo | Non configurata | Le organizzazioni possono scegliere di implementare Microsoft Launcher per garantire un'esperienza coerente nella schermata iniziale nei dispositivi completamente gestiti. Per altre informazioni, vedere Come configurare Microsoft Launcher in dispositivi Android Enterprise completamente gestiti con Intune. |
| Password del dispositivo | Tipo di password richiesto | Complesso numerico | |
| Password del dispositivo | Lunghezza minima password | 6 | |
| Password del dispositivo | Numero di errori di accesso prima della cancellazione del dispositivo | 10 | |
| Impostazioni risparmio energia | Tempo per il blocco della schermata (a livello di profilo di lavoro) | 5 minuti | |
| Utenti e account | L'utente può configurare le credenziali (a livello di profilo di lavoro) | Blocca | |
| Applicazioni | Aggiornamenti automatici dell'app (a livello di profilo di lavoro) | solo Wi-Fi | Le organizzazioni devono modificare questa impostazione in base alle esigenze in quanto potrebbero verificarsi addebiti per il piano dati se gli aggiornamenti delle app si verificano sulla rete cellulare. |
| Applicazioni | Consenti l'accesso a tutte le app in Google Play Store | Non configurata | Per impostazione predefinita, gli utenti non possono installare app personali da Google Play Store su dispositivi completamente gestiti. Se le organizzazioni vogliono consentire l'uso di dispositivi completamente gestiti per uso personale, provare a modificare questa impostazione. |
| Password del profilo di lavoro | Tipo di password richiesto | Complesso numerico | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password del profilo di lavoro | Lunghezza minima password | 6 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password del profilo di lavoro | Numero di errori di accesso prima della cancellazione del dispositivo | 10 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
Sicurezza avanzata completamente gestita (livello 2)
Il livello 2 è la configurazione consigliata per i dispositivi di proprietà dell'azienda in cui gli utenti accedono a informazioni più sensibili. Questi dispositivi sono oggi un obiettivo naturale nelle aziende. Queste impostazioni non presuppongono un numero elevato di personale di sicurezza altamente qualificato. Pertanto, devono essere accessibili alla maggior parte delle organizzazioni aziendali. Questa configurazione si espande in base alla configurazione nel livello 1 applicando criteri password più efficaci e disabilitando le funzionalità utente/account.
Le impostazioni di livello 2 includono tutte le impostazioni dei criteri consigliate per il livello 1. Tuttavia, le impostazioni elencate nelle sezioni seguenti includono solo quelle aggiunte o modificate. Queste impostazioni possono avere un impatto leggermente maggiore sugli utenti o sulle applicazioni. Applicano un livello di sicurezza più appropriato per i rischi per gli utenti con accesso alle informazioni sensibili nei dispositivi mobili.
Conformità del dispositivo (livello 2)
| Sezione | Impostazione | Valore | Note |
|---|---|---|---|
| Sicurezza del sistema | Numero di giorni fino alla scadenza della password | 365 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Sicurezza del sistema | Numero di password necessarie prima che l'utente possa riutilizzare una password | 5 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Integrità del dispositivo | Play Integrity Verdict | Controllare l'integrità di base & l'integrità del dispositivo | Richiedere ai dispositivi di superare il controllo di integrità di base di Play e il controllo dell'integrità del dispositivo. |
| Integrità del dispositivo | Controllare l'integrità avanzata usando le funzionalità di sicurezza supportate dall'hardware | Controllare l'integrità avanzata | Richiedere ai dispositivi di superare il controllo dell'integrità avanzata di Play. Non tutti i dispositivi supportano questo tipo di controllo. Intune contrassegna tali dispositivi come non conformi. |
Restrizioni del dispositivo (livello 2)
| Sezione | Impostazione | Valore | Note |
|---|---|---|---|
| Generale | Messaggi di posta elettronica di protezione per il ripristino delle impostazioni predefinite | Indirizzi di posta elettronica dell'account Google | |
| Generale | Elenco di indirizzi di posta elettronica (solo l'opzione Indirizzi di posta elettronica dell'account Google) | [email protected] | Aggiornare manualmente questo criterio per specificare gli indirizzi di posta elettronica google degli amministratori di dispositivi che possono sbloccare i dispositivi dopo la cancellazione. |
| Password del dispositivo | Numero di giorni fino alla scadenza della password | 365 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password del dispositivo | Numero di password necessarie prima che l'utente possa riutilizzare una password | 5 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password del dispositivo | Numero di errori di accesso prima della cancellazione del dispositivo | 5 | |
| Utenti e account | Aggiungere nuovi utenti | Blocca | |
| Utenti e account | Rimozione dell'utente | Blocca | |
| Utenti e account | Account Google personali | Blocca | |
| Password del profilo di lavoro | Numero di password necessarie prima che l'utente possa riutilizzare una password | 5 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
Sicurezza elevata completamente gestita (livello 3)
Il livello 3 è la configurazione consigliata per entrambi:
- Organizzazioni con organizzazioni di sicurezza di grandi dimensioni e sofisticate.
- Utenti e gruppi specifici assegnati in modo univoco dagli avversari.
Tali organizzazioni sono in genere mirate da avversari ben finanziati e sofisticati.
Questa configurazione si espande al livello 2:
- Garantire che un dispositivo sia conforme applicando il livello di protezione delle minacce più sicuro Microsoft Defender per endpoint o mobile.
- Aumento della versione minima del sistema operativo.
- Applicazione di restrizioni aggiuntive per i dispositivi, ad esempio la disabilitazione delle notifiche non applicate nella schermata di blocco.
- Richiedere che le app siano sempre aggiornate.
Le impostazioni di livello 3 includono tutte le impostazioni dei criteri consigliate per il livello 2. Tuttavia, le impostazioni elencate nelle sezioni seguenti includono solo quelle aggiunte o modificate. Queste impostazioni possono avere un impatto significativo su utenti o applicazioni. Applicano un livello di sicurezza più appropriato per i rischi che le organizzazioni di destinazione devono affrontare.
Conformità del dispositivo (livello 3)
| Sezione | Impostazione | Valore | Note |
|---|---|---|---|
| Microsoft Defender per endpoint | Richiedere che il dispositivo sia al o sotto il punteggio di rischio del computer | Chiaro | Questa impostazione richiede Microsoft Defender per endpoint. Per altre informazioni, vedere Imporre la conformità per Microsoft Defender per endpoint con l'accesso condizionale in Intune. I clienti devono prendere in considerazione l'implementazione di Microsoft Defender per endpoint o di una soluzione di difesa dalle minacce per dispositivi mobili. Non è necessario distribuire entrambi. |
| Integrità del dispositivo | Richiedere che il dispositivo sia al livello o sotto il livello di minaccia del dispositivo | Protetto | Questa impostazione richiede un prodotto mobile threat defense. Per altre informazioni, vedere Mobile Threat Defense per i dispositivi registrati. I clienti devono prendere in considerazione l'implementazione di Microsoft Defender per endpoint o di una soluzione di difesa dalle minacce per dispositivi mobili. Non è necessario distribuire entrambi. |
| Proprietà dispositivo | Versione minima del sistema operativo | Formato: Major.Minor Esempio: 11.0 |
Microsoft consiglia di configurare la versione principale minima di Android in modo che corrisponda alle versioni di Android supportate per le app Microsoft. Gli OEM e i dispositivi che rispettano i requisiti consigliati per Android Enterprise devono supportare la versione corrente con l'aggiornamento di una sola lettera. Attualmente Android consiglia Android 9.0 e versioni successive per i knowledge worker. Per le raccomandazioni più recenti di Android, vedere Requisiti consigliati per Android Enterprise. |
Restrizioni del dispositivo (livello 3)
| Sezione | Impostazione | Valore | Note |
|---|---|---|---|
| Generale | Modifiche di data e ora | Blocca | |
| Generale | Tethering e accesso agli hotspot | Blocca | |
| Generale | Trasmettere dati usando NFC (livello profilo di lavoro) | Blocca | |
| Generale | Cercare i contatti di lavoro e visualizzare l'ID chiamante del contatto di lavoro nel profilo personale | Blocca | |
| Password del dispositivo | Funzionalità della schermata di blocco disabilitate | - Notifiche non ricevute - Agenti di attendibilità (a livello di profilo di lavoro) |
|
| Applicazioni | Aggiornamenti automatici dell'app (a livello di profilo di lavoro) | Sempre | Le organizzazioni devono modificare questa impostazione in base alle esigenze in quanto potrebbero verificarsi addebiti per il piano dati se gli aggiornamenti delle app si verificano sulla rete cellulare. |
| Password del profilo di lavoro | Numero di errori di accesso prima della cancellazione del dispositivo | 5 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
Articoli correlati
Configurare le impostazioni di sicurezza per i dispositivi di proprietà personale