Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведены примеры конфигураций для использования с Microsoft Intune для настройки политики соответствия устройств и политики ограничения устройств для полностью управляемых мобильных пользователей Android Enterprise. Эти примеры включают уровни конфигурации безопасности устройств, которые соответствуют принципам "Никому не доверяй".
При использовании этих примеров обратитесь к группе безопасности, чтобы оценить среду угроз, аппетит к риску и влияние различных уровней и конфигураций на удобство использования. Изучив и настроив примеры в соответствии с потребностями организации, реализуйте подход к кольцевому развертыванию для первоначального тестирования, за которым следует использование в рабочей среде.
Дополнительные сведения о каждом параметре политики см. в разделе:
- Параметры Android Enterprise для пометки устройств как совместимых или несовместимых с помощью Intune
- Параметры устройства Android Enterprise для разрешения или ограничения функций на личных устройствах с помощью Intune
Полностью управляемая базовая безопасность (уровень 1).
Уровень 1 является рекомендуемым уровнем конфигурации безопасности для мобильных устройств, принадлежащих организации.
Политики на уровне 1 предоставляют умеренный уровень доступа к данным с минимальным воздействием на пользователей:
- Применение политик паролей
- Требование минимальной версии системы ОС
- Отключение некоторых функций устройства (например, передача файлов ЧЕРЕЗ USB)
В таблицах в следующих разделах перечислены только параметры, включенные в эти примеры. Параметры, не перечисленные в таблицах, не настроены.
Соответствие устройств (уровень 1)
| Section | Параметр | Значение | Заметки |
|---|---|---|---|
| Работоспособность устройств | Вердикт о честности игры | Проверка базовой целостности | Этот параметр требует, чтобы устройства передавали базовую проверка целостности API google Play Integrity. Он проверяет, находится ли устройство в достаточно безопасном состоянии, что означает, что оно не рутируется или не работает пользовательское ПЗУ. |
| Свойства устройства | Минимальная версия ОС | Формат: Major.Minor Пример: 9.0 |
Корпорация Майкрософт рекомендует настроить минимальный основной номер версии Android в соответствии с поддерживаемыми версиями Android для приложений Майкрософт. Изготовители оборудования и устройства, соответствующие рекомендуемым требованиям Android Enterprise, должны поддерживать текущий поставляемый выпуск и обновление. В настоящее время специалистам в сфере анализа и обработки информации рекомендуется использовать Android 9.0 и более поздние версии. Последние рекомендации по Android см. в статье Рекомендуемые требования Android Enterprise. |
| Свойства устройства | Минимальный уровень обновления для системы безопасности | Не настроено | Устройства Android могут получить ежемесячные исправления безопасности, но их выпуск зависит от OEM-изготовителей и операторов связи. Организации должны убедиться, что развернутые устройства Android действительно получают обновления безопасности, и только после этого применять этот параметр. С последними выпусками исправлений можно ознакомиться в бюллетенях безопасности для Android. |
| Безопасность системы | Требовать пароль для разблокировки мобильных устройств | Обязательность | |
| Безопасность системы | Требуемый тип пароля | Числовой комплекс | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Безопасность системы | Минимальная длина пароля | 6 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Безопасность системы | Максимальное время бездействия (в минутах), по истечении которого запрашивается пароль | 5 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Безопасность системы | Требование шифрования хранилища данных на устройстве | Обязательность | |
| Безопасность системы | Целостность среды выполнения приложения Intune | Обязательность | |
| Действия в случае несоответствия требованиям | Отметить устройство как несоответствующее политике | Сразу | По умолчанию политика настроена таким образом, что устройство помечается как несоответствующее. Доступны дополнительные действия. Дополнительные сведения см. в статье Настройка действий для несоответствующих устройств в Intune. |
Ограничения устройств (уровень 1)
| Section | Параметр | Значение | Заметки |
|---|---|---|---|
| Общие указания | Политика разрешений по умолчанию (уровень рабочего профиля) | По умолчанию для устройства | |
| Общие указания | Передача файлов по USB | Блокировка | |
| Общие указания | Внешний носитель | Блокировка | |
| Общие указания | Сброс параметров к заводским значениям | Блокировка | |
| Общие указания | Совместное использование данных между рабочим и личным профилем | По умолчанию для устройства | |
| Безопасность системы | Проверка угроз в приложениях | Обязательность | |
| Взаимодействие с устройствами | Тип профиля регистрации | Полностью управляемое | |
| Взаимодействие с устройствами | Тип взаимодействия с устройством | Не настроено | Организации могут реализовать Microsoft Launcher, чтобы обеспечить согласованное взаимодействие с начальным экраном на полностью управляемых устройствах. Дополнительные сведения см. в статье Настройка Microsoft Launcher на полностью управляемых устройствах Android Enterprise с помощью Intune. |
| Пароль устройства | Требуемый тип пароля | Числовой комплекс | |
| Пароль устройства | Минимальная длина пароля | 6 | |
| Пароль устройства | Число неудачных попыток входа перед очисткой устройства | 10 | |
| Параметры питания | Экран "Время до блокировки" (уровень рабочего профиля) | 5 минут | |
| Пользователи и учетные записи | Пользователь может настроить учетные данные (на уровне рабочего профиля) | Блокировка | |
| Приложения | Автоматическое обновление приложений (на уровне рабочего профиля) | Только Wi-Fi | Организациям следует настроить этот параметр по мере необходимости, так как плата за план передачи данных может возникнуть, если обновления приложений происходят через сотовую сеть. |
| Приложения | Разрешить доступ ко всем приложениям в магазине Google Play | Не настроено | По умолчанию пользователи не могут устанавливать личные приложения из Google Play Store на полностью управляемых устройствах. Если организации хотят разрешить использование полностью управляемых устройств в личных целях, измените этот параметр. |
| Пароль рабочего профиля | Требуемый тип пароля | Числовой комплекс | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Пароль рабочего профиля | Минимальная длина пароля | 6 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Пароль рабочего профиля | Число неудачных попыток входа перед очисткой устройства | 10 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
Полностью управляемая расширенная безопасность (уровень 2).
Уровень 2 является рекомендуемой конфигурацией защиты данных для устройств, принадлежащих организации, с которых пользователи получают доступ к более конфиденциальной информации. Сегодня эти устройства являются в организациях естественной мишенью. Для использования этих параметров не нужен большой штат высококвалифицированных специалистов по вопросам безопасности. Поэтому они должны быть доступны большинству корпоративных организаций. Эта конфигурация расширяет возможности конфигурации уровня 1 за счет применения надежных политик паролей и отключения возможностей пользователей и учетных записей.
Параметры безопасности уровня 2 включают все параметры политики, рекомендуемые для уровня 1. Однако параметры, перечисленные в следующих разделах, включают только те параметры, которые добавлены или изменены. Эти параметры могут оказать несколько большее влияние на пользователей или приложения. Они обеспечивают более подходящий уровень безопасности для рисков, с которыми сталкиваются пользователи, имеющие доступ к конфиденциальной информации на мобильных устройствах.
Соответствие устройств (уровень 2)
| Section | Параметр | Значение | Заметки |
|---|---|---|---|
| Безопасность системы | Число дней до обязательной смены пароля | 365 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Безопасность системы | Требуемое число уникальных паролей до возможности использования предыдущего | 5 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Работоспособность устройств | Вердикт о честности игры | Проверка базовой целостности & целостности устройства | Требовать, чтобы устройства передавали базовые проверка целостности Play и проверка целостности устройств. |
| Работоспособность устройств | Проверка надежной целостности с помощью функций безопасности с аппаратной поддержкой | Проверка строгой целостности | Требовать, чтобы устройства передавали проверка строгой целостности Play. Не все устройства поддерживают этот тип проверка. Intune помечает такие устройства как несоответствующие. |
Ограничения устройств (уровень 2)
| Section | Параметр | Значение | Заметки |
|---|---|---|---|
| Общие указания | Адреса электронной почты для защиты от сброса к заводским настройкам | Адреса электронной почты учетных записей Google | |
| Общие указания | Список адресов электронной почты (только адреса электронной почты учетных записей Google) | [email protected] | Обновите эту политику вручную, чтобы указать адреса электронной почты Google администраторов устройств, которые могут разблокировать устройства после очистки. |
| Пароль устройства | Число дней до обязательной смены пароля | 365 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Пароль устройства | Требуемое число уникальных паролей до возможности использования предыдущего | 5 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Пароль устройства | Число неудачных попыток входа перед очисткой устройства | 5 | |
| Пользователи и учетные записи | Добавление новых пользователей | Блокировка | |
| Пользователи и учетные записи | Удаление пользователей | Блокировка | |
| Пользователи и учетные записи | Личные учетные записи Google | Блокировка | |
| Пароль рабочего профиля | Требуемое число уникальных паролей до возможности использования предыдущего | 5 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
Полностью управляемая высокая безопасность (уровень 3)
Уровень 3 является рекомендуемой конфигурацией для:
- Организации с крупными и сложными системами безопасности.
- Конкретные пользователи и группы, которые являются уникальными объектами злоумышленников.
Как правило, такие организации становятся мишенью для хорошо финансируемых и подготовленных нарушителей безопасности.
Эта конфигурация расширяет возможности конфигурации уровня 2:
- Обеспечение соответствия устройства путем применения наиболее безопасного Microsoft Defender для конечной точки или уровня защиты мобильных устройств от угроз.
- увеличивая минимальную версию операционной системы;
- Применение дополнительных ограничений устройств (например, отключение неотредактированных уведомлений на экране блокировки).
- Требовать, чтобы приложения всегда были актуальными.
Параметры уровня 3 включают все параметры политики, рекомендуемые для уровня 2. Однако параметры, перечисленные в следующих разделах, включают только те параметры, которые добавлены или изменены. Эти параметры могут оказать значительное влияние на пользователей или приложения. Они обеспечивают более подходящий уровень безопасности для рисков, с которыми сталкиваются организации.
Соответствие устройств (уровень 3)
| Section | Параметр | Значение | Заметки |
|---|---|---|---|
| Microsoft Defender для конечной точки | Требовать уровень угрозы на устройстве не выше уровня компьютера | Очистка | Для этого параметра требуется Microsoft Defender для конечной точки. Дополнительные сведения см. в статье Обеспечение соответствия требованиям Microsoft Defender для конечной точки с помощью условного доступа в Intune. Клиентам следует рассмотреть возможность внедрения Microsoft Defender для конечной точки или решения для защиты мобильных устройств от угроз. Развертывать оба варианта не требуется. |
| Работоспособность устройств | Требовать уровень угрозы на устройстве не больше указанного | Защищенная | Для этого параметра требуется наличие продукта для защиты мобильных устройств от угроз. Дополнительные сведения приведены в статье Защита от угроз на мобильных устройствах для зарегистрированных устройств. Клиентам следует рассмотреть возможность внедрения Microsoft Defender для конечной точки или решения для защиты мобильных устройств от угроз. Развертывать оба варианта не требуется. |
| Свойства устройства | Минимальная версия ОС | Формат: Major.Minor Пример: 11.0 |
Корпорация Майкрософт рекомендует настроить минимальный основной номер версии Android в соответствии с поддерживаемыми версиями Android для приложений Майкрософт. Изготовители оборудования и устройства, соответствующие рекомендуемым требованиям Android Enterprise, должны поддерживать текущий поставляемый выпуск и обновление. В настоящее время специалистам в сфере анализа и обработки информации рекомендуется использовать Android 9.0 и более поздние версии. Последние рекомендации по Android см. в статье Рекомендуемые требования Android Enterprise. |
Ограничения устройств (уровень 3)
| Section | Параметр | Значение | Заметки |
|---|---|---|---|
| Общие указания | Изменения даты и времени | Блокировка | |
| Общие указания | Модем и доступ к хот-спотам | Блокировка | |
| Общие указания | Передача данных с помощью NFC (уровень рабочего профиля) | Блокировка | |
| Общие указания | Поиск рабочих контактов и отображение идентификатора звонящего рабочего контакта в личном профиле | Блокировка | |
| Пароль устройства | Отключенные функции экрана блокировки | — Неотредактированные уведомления — Агенты доверия (уровень рабочего профиля) |
|
| Приложения | Автоматическое обновление приложений (на уровне рабочего профиля) | Всегда | Организациям следует настроить этот параметр по мере необходимости, так как плата за план передачи данных может возникнуть, если обновления приложений происходят через сотовую сеть. |
| Пароль рабочего профиля | Число неудачных попыток входа перед очисткой устройства | 5 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |