Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
A supporto del modello di sicurezza di Microsoft Zero Trust, questo articolo fornisce configurazioni di esempio da usare con Microsoft Intune per configurare sia i criteri di conformità dei dispositivi che i criteri di restrizione dei dispositivi per gli utenti di dispositivi mobili di proprietà personale di Android Enterprise. Questi esempi includono livelli di configurazione della sicurezza dei dispositivi allineati ai principi di Zero Trust.
Quando si usano questi esempi, collaborare con il team di sicurezza per valutare l'ambiente delle minacce, la propensione al rischio e l'effetto che i diversi livelli e configurazioni possono avere sull'usabilità. Dopo aver esaminato e modificato gli esempi per soddisfare le esigenze dell'organizzazione, implementare un approccio di distribuzione ad anello per i test iniziali seguito dall'uso in produzione.
Per altre informazioni su ogni impostazione di criterio, vedere:
- Impostazioni di Android Enterprise per contrassegnare i dispositivi come conformi o non conformi usando Intune
- Impostazioni dei dispositivi Android Enterprise per consentire o limitare le funzionalità nei dispositivi di proprietà personale usando Intune
Nota
A causa delle impostazioni disponibili per i dispositivi del profilo di lavoro di proprietà personale, non esiste alcuna offerta di sicurezza di base (livello 1). Le impostazioni disponibili non giustificano una differenza tra il livello 1 e il livello 2.
Le tabelle nelle sezioni seguenti elencano solo le impostazioni incluse in questi esempi. Le impostazioni non elencate nelle tabelle non sono configurate.
Sicurezza avanzata del profilo di lavoro di proprietà personale (livello 2)
Il livello 2 è la configurazione di sicurezza minima consigliata per i dispositivi personali in cui gli utenti accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione può essere applicata alla maggior parte degli utenti di dispositivi mobili. Alcuni controlli potrebbero influire sull'esperienza utente.
Conformità del dispositivo (livello 2)
| Sezione | Impostazione | Valore | Note |
|---|---|---|---|
| Integrità del dispositivo | Dispositivi rooted | Blocca | |
| Integrità del dispositivo | Google Play Services è configurato | Richiedere | |
| Integrità del dispositivo | Provider di sicurezza aggiornato | Richiedere | |
| Integrità del dispositivo | Play Integrity Verdict | Controllare l'integrità di base & l'integrità del dispositivo | Richiedere ai dispositivi di superare il controllo di integrità di base di Play e il controllo dell'integrità del dispositivo. |
| Integrità del dispositivo | Controllare l'integrità avanzata usando le funzionalità di sicurezza supportate dall'hardware | Controllare l'integrità avanzata | Richiedere ai dispositivi di superare il controllo dell'integrità avanzata di Play. Non tutti i dispositivi supportano questo tipo di controllo. Intune contrassegna tali dispositivi come non conformi. |
| Proprietà dispositivo | Versione minima del sistema operativo | Formato: Major.Minor Esempio: 9.0 |
Microsoft consiglia di configurare la versione principale minima di Android in modo che corrisponda alle versioni di Android supportate per le app Microsoft. Gli OEM e i dispositivi che rispettano i requisiti consigliati per Android Enterprise devono supportare la versione corrente con l'aggiornamento di una sola lettera. Attualmente Android consiglia Android 9.0 e versioni successive per i knowledge worker. Per le raccomandazioni più recenti di Android, vedere Requisiti consigliati per Android Enterprise. |
| Sicurezza del sistema | Richiedere la crittografia dell'archiviazione dati nel dispositivo | Richiedere | |
| Sicurezza del sistema | Bloccare le app da origini sconosciute | Blocca | |
| Sicurezza del sistema | Portale aziendale l'integrità del runtime dell'app | Richiedere | |
| Sicurezza del sistema | Bloccare il debug USB nel dispositivo | Blocca | Anche se questa impostazione blocca il debug tramite un dispositivo USB, disabilita anche la possibilità di raccogliere log che possono essere utili ai fini della risoluzione dei problemi. |
| Sicurezza del sistema | Livello minimo di patch di sicurezza | Non configurata | I dispositivi Android possono ricevere patch di sicurezza mensili, ma la versione dipende dagli OEM e/o dagli operatori. Le organizzazioni devono assicurarsi che i dispositivi Android distribuiti ricevano gli aggiornamenti della sicurezza prima di implementare questa impostazione. Per le versioni più recenti delle patch, vedere i bollettini sulla sicurezza di Android. |
| Sicurezza del sistema | Richiedere una password per sbloccare i dispositivi mobili | Richiedere | |
| Sicurezza del sistema | Tipo di password richiesto | Complesso numerico | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Sicurezza del sistema | Lunghezza minima password | 6 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Sicurezza del sistema | Numero massimo di minuti di inattività prima che sia necessaria la password | 5 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Azioni per la non conformità | Contrassegnare il dispositivo non conforme | Immediatamente. | Per impostazione predefinita, il criterio è configurato per contrassegnare il dispositivo come non conforme. Sono disponibili azioni aggiuntive. Per altre informazioni, vedere Configurare le azioni per i dispositivi non conformi in Intune. |
Restrizioni del dispositivo (livello 2)
| Sezione | Impostazione | Valore | Note |
|---|---|---|---|
| Impostazioni del profilo di lavoro | Copiare e incollare tra profili di lavoro e personali | Blocca | |
| Impostazioni del profilo di lavoro | Condivisione dei dati tra profili aziendali e personali | Le app nel profilo di lavoro possono gestire la richiesta di condivisione dal profilo personale | |
| Impostazioni del profilo di lavoro | Notifiche del profilo di lavoro durante il blocco del dispositivo | Non configurata | Il blocco di questa impostazione garantisce che i dati sensibili non vengano esposti nelle notifiche del profilo di lavoro, il che può influire sull'usabilità. |
| Impostazioni del profilo di lavoro | Autorizzazioni app predefinite | Impostazione predefinita del dispositivo | Gli amministratori devono esaminare e modificare le autorizzazioni concesse dalle app che stanno distribuendo. |
| Impostazioni del profilo di lavoro | Aggiungere e rimuovere account | Blocca | |
| Impostazioni del profilo di lavoro | Condivisione dei contatti tramite Bluetooth | Attivazione | Per impostazione predefinita, l'accesso ai contatti di lavoro non è disponibile in altri dispositivi, ad esempio le automobili tramite l'integrazione Bluetooth. L'abilitazione di questa impostazione migliora l'esperienza utente vivavoce. Tuttavia, il dispositivo Bluetooth potrebbe memorizzare nella cache i contatti alla prima connessione. Le organizzazioni devono valutare la possibilità di bilanciare gli scenari di usabilità con i problemi di protezione dei dati durante l'implementazione di questa impostazione. |
| Impostazioni del profilo di lavoro | Acquisizione dello schermo | Blocca | |
| Impostazioni del profilo di lavoro | Cerca contatti di lavoro dal profilo personale | Non configurata | Impedire agli utenti di accedere ai contatti di lavoro dal profilo personale potrebbe influire su determinati scenari di usabilità, ad esempio la messaggistica di testo e le esperienze dialer all'interno del profilo personale. Le organizzazioni devono valutare la possibilità di bilanciare gli scenari di usabilità con i problemi di protezione dei dati durante l'implementazione di questa impostazione. |
| Impostazioni del profilo di lavoro | Consenti widget dalle app del profilo di lavoro | Attivazione | |
| Impostazioni del profilo di lavoro | Richiedi password profilo di lavoro | Richiedere | |
| Impostazioni del profilo di lavoro | Lunghezza minima password | 6 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Impostazioni del profilo di lavoro | Numero massimo di minuti di inattività fino al blocco del profilo di lavoro | 5 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Impostazioni del profilo di lavoro | Numero di errori di accesso prima della cancellazione del profilo di lavoro | 10 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Impostazioni del profilo di lavoro | Scadenza password (giorni) | Non configurata | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Impostazioni del profilo di lavoro | Tipo di password richiesto | Complesso numerico | |
| Impostazioni del profilo di lavoro | Impedire il riutilizzo delle password precedenti | Non configurata | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password del dispositivo | Lunghezza minima password | 6 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password del dispositivo | Numero massimo di minuti di inattività fino al blocco dello schermo | 5 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password del dispositivo | Numero di errori di accesso prima della cancellazione del dispositivo | 10 | Questa impostazione attiva una cancellazione del profilo di lavoro e non una cancellazione del dispositivo. |
| Password del dispositivo | Scadenza password (giorni) | Non configurata | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password del dispositivo | Tipo di password richiesto | Complesso numerico | |
| Password del dispositivo | Impedire il riutilizzo delle password precedenti | Non configurata | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Sicurezza del sistema | Analisi delle minacce nelle app | Richiedere | Questa impostazione garantisce che l'analisi verifica app di Google sia attivata per i dispositivi degli utenti finali. Se configurato, all'utente finale viene impedito l'accesso fino a quando non attiva l'analisi delle app di Google nel dispositivo Android. |
| Sicurezza del sistema | Impedire installazioni di app da origini sconosciute nel profilo personale | Blocca |
Nota
Quando un profilo di lavoro di proprietà personale è abilitato, per impostazione predefinita viene configurato "One Lock" per combinare i passcode del dispositivo e del profilo di lavoro. Un blocco può essere disabilitato per separare i passcode del profilo di lavoro e del dispositivo, se necessario, nelle impostazioni del profilo di lavoro. Per altre informazioni, vedere l'impostazione Un blocco per il dispositivo e il profilo di lavoro nella sezione Password profilo di lavoro di nell'elenco delle impostazioni dei dispositivi Android Enterprise per consentire o limitare le funzionalità nei dispositivi di proprietà personale.
Sicurezza elevata del profilo di lavoro di proprietà personale (livello 3)
Il livello 3 è la configurazione consigliata per i dispositivi usati da utenti o gruppi a rischio univoco. Ad esempio, gli utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita di materiale. Un'organizzazione che probabilmente sarà presa di mira da avversari ben finanziati e sofisticati merita ulteriori vincoli.
Questa configurazione si espande in base alla configurazione nel livello 2:
- Implementazione di mobile threat defense o Microsoft Defender per endpoint.
- Limitazione degli scenari di dati del profilo di lavoro di proprietà personale.
- Applicazione di criteri password più forti.
Le impostazioni di livello 3 includono tutte le impostazioni dei criteri consigliate per il livello 2. Tuttavia, le impostazioni elencate nelle sezioni seguenti includono solo quelle aggiunte o modificate. Queste impostazioni possono avere un impatto significativo su utenti o applicazioni. Applicano un livello di sicurezza più appropriato per i rischi che le organizzazioni di destinazione devono affrontare.
Conformità del dispositivo (livello 3)
| Sezione | Impostazione | Valore | Note |
|---|---|---|---|
| Microsoft Defender per endpoint | Richiedere che il dispositivo sia al o sotto il punteggio di rischio del computer | Chiaro | Questa impostazione richiede Microsoft Defender per endpoint. Per altre informazioni, vedere Imporre la conformità per Microsoft Defender per endpoint con l'accesso condizionale in Intune. I clienti devono prendere in considerazione l'implementazione di Microsoft Defender per endpoint o di una soluzione di difesa dalle minacce per dispositivi mobili. Non è necessario distribuire entrambi. |
| Integrità del dispositivo | Richiedere che il dispositivo sia al livello o sotto il livello di minaccia del dispositivo | Protetto | Questa impostazione richiede un prodotto mobile threat defense. Per altre informazioni, vedere Mobile Threat Defense per i dispositivi registrati. I clienti devono prendere in considerazione l'implementazione di Microsoft Defender per endpoint o di una soluzione di difesa dalle minacce per dispositivi mobili. Non è necessario distribuire entrambi. |
| Proprietà dispositivo | Versione minima del sistema operativo | Formato: Major.Minor Esempio: 11.0 |
Microsoft consiglia di configurare la versione principale minima di Android in modo che corrisponda alle versioni di Android supportate per le app Microsoft. Gli OEM e i dispositivi che rispettano i requisiti consigliati per Android Enterprise devono supportare la versione corrente con l'aggiornamento di una sola lettera. Attualmente Android consiglia Android 9.0 e versioni successive per i knowledge worker. Per le raccomandazioni più recenti di Android, vedere Requisiti consigliati per Android Enterprise. |
| Sicurezza del sistema | Numero di giorni fino alla scadenza della password | 365 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Sicurezza del sistema | Numero di password precedenti per impedire l'uso | 5 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
Restrizioni del dispositivo (livello 3)
| Sezione | Impostazione | Valore | Note |
|---|---|---|---|
| Impostazioni del profilo di lavoro | Notifiche del profilo di lavoro durante il blocco del dispositivo | Blocca | Il blocco di questa impostazione garantisce che i dati sensibili non vengano esposti nelle notifiche del profilo di lavoro, il che può influire sull'usabilità. |
| Impostazioni del profilo di lavoro | Condivisione dei contatti tramite Bluetooth | Non configurata | Per impostazione predefinita, l'accesso ai contatti di lavoro non è disponibile in altri dispositivi, ad esempio le automobili tramite l'integrazione Bluetooth. L'abilitazione di questa impostazione migliora l'esperienza utente vivavoce. Tuttavia, il dispositivo Bluetooth potrebbe memorizzare nella cache i contatti alla prima connessione. Le organizzazioni devono valutare la possibilità di bilanciare gli scenari di usabilità con i problemi di protezione dei dati durante l'implementazione di questa impostazione. |
| Impostazioni del profilo di lavoro | Cerca contatti di lavoro dal profilo personale | Blocca | Impedire agli utenti di accedere ai contatti di lavoro dal profilo personale potrebbe influire su determinati scenari di usabilità, ad esempio la messaggistica di testo e le esperienze dialer all'interno del profilo personale. Le organizzazioni devono valutare la possibilità di bilanciare gli scenari di usabilità con i problemi di protezione dei dati durante l'implementazione di questa impostazione. |
| Impostazioni del profilo di lavoro | Consenti widget dalle app del profilo di lavoro | Non configurata | |
| Impostazioni del profilo di lavoro | Numero di errori di accesso prima della cancellazione del profilo di lavoro | 5 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Impostazioni del profilo di lavoro | Scadenza password (giorni) | 365 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Impostazioni del profilo di lavoro | Impedire il riutilizzo delle password precedenti | 5 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Impostazioni del profilo di lavoro | Smart Lock e altri agenti di trust | Blocca | |
| Password del dispositivo | Numero di errori di accesso prima della cancellazione del dispositivo | 5 | Questa impostazione attiva una cancellazione del profilo di lavoro e non una cancellazione del dispositivo. |
| Password del dispositivo | Scadenza password (giorni) | 365 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password del dispositivo | Impedire il riutilizzo delle password precedenti | 5 | Le organizzazioni potrebbero dover aggiornare questa impostazione in modo che corrisponda ai criteri password. |
Articoli correlati
Configurare le impostazioni di sicurezza per i dispositivi completamente gestiti