Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В рамках поддержки модели безопасности "Никому не доверяй" в этой статье приведены примеры конфигураций для использования с Microsoft Intune для настройки политики соответствия устройств и политики ограничения устройств для личных мобильных пользователей Android Enterprise. Эти примеры включают уровни конфигурации безопасности устройств, которые соответствуют принципам "Никому не доверяй".
При использовании этих примеров обратитесь к группе безопасности, чтобы оценить среду угроз, аппетит к риску и влияние различных уровней и конфигураций на удобство использования. Изучив и настроив примеры в соответствии с потребностями организации, реализуйте подход к кольцевому развертыванию для первоначального тестирования, за которым следует использование в рабочей среде.
Дополнительные сведения о каждом параметре политики см. в разделе:
- Параметры Android Enterprise для пометки устройств как совместимых или несовместимых с помощью Intune
- Параметры устройства Android Enterprise для разрешения или ограничения функций с помощью Intune> Личная собственность
Примечание.
Из-за параметров, доступных для устройств с личным рабочим профилем, базовый уровень безопасности (уровень 1) не предоставляется. Доступные параметры не оправдывают различие между уровнями 1 и 2.
В таблицах в следующих разделах перечислены только параметры, включенные в эти примеры. Параметры, не перечисленные в таблицах, не настроены.
Усиленный уровень безопасности личного рабочего профиля (уровень 2)
Уровень 2 является минимальным рекомендуемым уровнем конфигурации безопасности для личных устройств, с помощью которых пользователи обращаются к рабочим или учебным данным. Эта конфигурация может применяться к большинству мобильных пользователей. Некоторые элементы управления могут повлиять на взаимодействие с пользователем.
Соответствие устройств (уровень 2)
| Section | Параметр | Значение | Заметки |
|---|---|---|---|
| Работоспособность устройств | Устройства с административным доступом | Блокировка | |
| Работоспособность устройств | Сервисы Google Play настроены | Обязательность | |
| Работоспособность устройств | Обновленный поставщик безопасности | Обязательность | |
| Работоспособность устройств | Вердикт о честности игры | Проверка базовой целостности & целостности устройства | Требовать, чтобы устройства передавали базовые проверка целостности Play и проверка целостности устройств. |
| Работоспособность устройств | Проверка надежной целостности с помощью функций безопасности с аппаратной поддержкой | Проверка строгой целостности | Требовать, чтобы устройства передавали проверка строгой целостности Play. Не все устройства поддерживают этот тип проверка. Intune помечает такие устройства как несоответствующие. |
| Свойства устройства | Минимальная версия ОС | Формат: Major.Minor Пример: 9.0 |
Корпорация Майкрософт рекомендует настроить минимальный основной номер версии Android в соответствии с поддерживаемыми версиями Android для приложений Майкрософт. Изготовители оборудования и устройства, соответствующие рекомендуемым требованиям Android Enterprise, должны поддерживать текущий поставляемый выпуск и обновление. В настоящее время специалистам в сфере анализа и обработки информации рекомендуется использовать Android 9.0 и более поздние версии. Последние рекомендации по Android см. в статье Рекомендуемые требования Android Enterprise. |
| Безопасность системы | Требование шифрования хранилища данных на устройстве | Обязательность | |
| Безопасность системы | Блокировать приложения из неизвестных источников | Блокировка | |
| Безопасность системы | Целостность выполнения приложения корпоративного портала | Обязательность | |
| Безопасность системы | Блокировать отладку по USB на устройстве | Блокировка | Хотя этот параметр блокирует отладку с помощью USB-устройства, он также отключает возможность сбора журналов, что может быть полезно для устранения неполадок. |
| Безопасность системы | Минимальный уровень обновления для системы безопасности | Не настроено | Устройства Android могут получить ежемесячные исправления безопасности, но их выпуск зависит от OEM-изготовителей и операторов связи. Организации должны убедиться, что развернутые устройства Android действительно получают обновления безопасности, и только после этого применять этот параметр. С последними выпусками исправлений можно ознакомиться в бюллетенях безопасности для Android. |
| Безопасность системы | Требовать пароль для разблокировки мобильных устройств | Обязательность | |
| Безопасность системы | Требуемый тип пароля | Числовой комплекс | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Безопасность системы | Минимальная длина пароля | 6 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Безопасность системы | Максимальное время бездействия (в минутах), по истечении которого запрашивается пароль | 5 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Действия в случае несоответствия требованиям | Отметить устройство как несоответствующее политике | Сразу | По умолчанию политика настроена таким образом, что устройство помечается как несоответствующее. Доступны дополнительные действия. Дополнительные сведения см. в статье Настройка действий для несоответствующих устройств в Intune. |
Ограничения устройств (уровень 2)
| Section | Параметр | Значение | Заметки |
|---|---|---|---|
| Параметры рабочего профиля | Копирование и вставка между рабочим и личным профилями | Блокировка | |
| Параметры рабочего профиля | Совместное использование данных между рабочим и личным профилем | Приложения из рабочего профиля могут обрабатывать запрос на общий доступ из личного профиля | |
| Параметры рабочего профиля | Уведомления для рабочего профиля, когда устройство заблокировано | Не настроено | Блокировка этого параметра гарантирует, что конфиденциальные данные не будут предоставляться в уведомлениях рабочего профиля, что может повлиять на удобство использования. |
| Параметры рабочего профиля | Разрешения приложения по умолчанию | По умолчанию для устройства | Администраторам необходимо проверить и настроить разрешения, предоставляемые приложениями, которые они развертывают. |
| Параметры рабочего профиля | Добавление и удаление учетных записей | Блокировка | |
| Параметры рабочего профиля | Обмен контактами по Bluetooth | Включение | По умолчанию доступ к рабочим контактам недоступен на других устройствах, таких как автомобили, через интеграцию Bluetooth. Включение этого параметра повышает удобство работы пользователей. Однако устройство Bluetooth может кэшировать контакты при первом подключении. При реализации этого параметра организациям следует сбалансировать сценарии использования с задачами защиты данных. |
| Параметры рабочего профиля | Снимок экрана | Блокировка | |
| Параметры рабочего профиля | Поиск рабочих контактов из личного профиля | Не настроено | Блокировка доступа пользователей к рабочим контактам из личного профиля может повлиять на некоторые сценарии удобства использования, такие как обмен текстовыми сообщениями и взаимодействие с абонентом в личном профиле. При реализации этого параметра организациям следует сбалансировать сценарии использования с задачами защиты данных. |
| Параметры рабочего профиля | Разрешить мини-приложения из приложений рабочего профиля | Включение | |
| Параметры рабочего профиля | Требовать пароль рабочего профиля | Обязательность | |
| Параметры рабочего профиля | Минимальная длина пароля | 6 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Параметры рабочего профиля | Максимальное время бездействия в минутах, по истечении которого рабочий профиль блокируется | 5 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Параметры рабочего профиля | Количество неудачных попыток входа, при превышении которого рабочий профиль будет удален | 10 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Параметры рабочего профиля | Срок действия пароля (дней) | Не настроено | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Параметры рабочего профиля | Требуемый тип пароля | Числовой комплекс | |
| Параметры рабочего профиля | Запретить использование предыдущих паролей | Не настроено | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Пароль устройства | Минимальная длина пароля | 6 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Пароль устройства | Максимальное время бездействия (в минутах), по истечении которого экран блокируется | 5 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Пароль устройства | Число неудачных попыток входа перед очисткой устройства | 10 | Этот параметр запускает очистку рабочего профиля без очистки устройства. |
| Пароль устройства | Срок действия пароля (дней) | Не настроено | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Пароль устройства | Требуемый тип пароля | Числовой комплекс | |
| Пароль устройства | Запретить использование предыдущих паролей | Не настроено | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Безопасность системы | Проверка угроз в приложениях | Обязательность | Этот параметр гарантирует, что проверка приложений Google включена для устройств конечных пользователей. Если это настроено, доступ к конечному пользователю будет запрещен до тех пор, пока он не включит сканирование приложений Google на своем устройстве Android. |
| Безопасность системы | Запретить установки приложений из неизвестных источников в личном профиле | Блокировка |
Примечание.
Если включен личный рабочий профиль, параметр One Lock по умолчанию настраивается для объединения секретных кодов устройства и рабочего профиля. При необходимости можно отключить одну блокировку для разделения рабочего профиля и секретных кодов устройства в разделе параметров рабочего профиля. Дополнительные сведения см. в параметре Одна блокировка для устройства и рабочего профиля в разделе Пароль рабочего профиля на личных устройствах Android Enterprise.
Высокий уровень безопасности личного рабочего профиля (уровень 3)
Уровень 3 является рекомендуемой конфигурацией для устройств, используемых пользователями или группами с исключительно высоким уровнем риска. Например, пользователями, работающими с особо секретными данными, несанкционированное раскрытие которых приведет к значительному материальному ущербу организации. Организация, вероятно, будет мишенью хорошо финансируемых и изощренных злоумышленников, заслуживает дополнительных ограничений.
Эта конфигурация расширяет возможности конфигурации уровня 2 посредством:
- Реализация защиты от угроз на мобильных устройствах или Microsoft Defender для конечной точки.
- Ограничение сценариев данных личного рабочего профиля.
- используя надежные политики паролей.
Параметры уровня 3 включают все параметры политики, рекомендуемые для уровня 2. Однако параметры, перечисленные в следующих разделах, включают только те параметры, которые добавлены или изменены. Эти параметры могут оказать значительное влияние на пользователей или приложения. Они обеспечивают более подходящий уровень безопасности для рисков, с которыми сталкиваются организации.
Соответствие устройств (уровень 3)
| Section | Параметр | Значение | Заметки |
|---|---|---|---|
| Microsoft Defender для конечной точки | Требовать уровень угрозы на устройстве не выше уровня компьютера | Очистка | Для этого параметра требуется Microsoft Defender для конечной точки. Дополнительные сведения см. в статье Обеспечение соответствия требованиям Microsoft Defender для конечной точки с помощью условного доступа в Intune. Клиентам следует рассмотреть возможность внедрения Microsoft Defender для конечной точки или решения для защиты мобильных устройств от угроз. Развертывать оба варианта не требуется. |
| Работоспособность устройств | Требовать уровень угрозы на устройстве не больше указанного | Защищенная | Для этого параметра требуется наличие продукта для защиты мобильных устройств от угроз. Дополнительные сведения приведены в статье Защита от угроз на мобильных устройствах для зарегистрированных устройств. Клиентам следует рассмотреть возможность внедрения Microsoft Defender для конечной точки или решения для защиты мобильных устройств от угроз. Развертывать оба варианта не требуется. |
| Свойства устройства | Минимальная версия ОС | Формат: Major.Minor Пример: 11.0 |
Корпорация Майкрософт рекомендует настроить минимальный основной номер версии Android в соответствии с поддерживаемыми версиями Android для приложений Майкрософт. Изготовители оборудования и устройства, соответствующие рекомендуемым требованиям Android Enterprise, должны поддерживать текущий поставляемый выпуск и обновление. В настоящее время специалистам в сфере анализа и обработки информации рекомендуется использовать Android 9.0 и более поздние версии. Последние рекомендации по Android см. в статье Рекомендуемые требования Android Enterprise. |
| Безопасность системы | Число дней до обязательной смены пароля | 365 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Безопасность системы | Number of previous passwords to prevent use (Число предыдущих паролей для запрета использования) | 5 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
Ограничения устройств (уровень 3)
| Section | Параметр | Значение | Заметки |
|---|---|---|---|
| Параметры рабочего профиля | Уведомления для рабочего профиля, когда устройство заблокировано | Блокировка | Блокировка этого параметра гарантирует, что конфиденциальные данные не будут предоставляться в уведомлениях рабочего профиля, что может повлиять на удобство использования. |
| Параметры рабочего профиля | Обмен контактами по Bluetooth | Не настроено | По умолчанию доступ к рабочим контактам недоступен на других устройствах, таких как автомобили, через интеграцию Bluetooth. Включение этого параметра повышает удобство работы пользователей. Однако устройство Bluetooth может кэшировать контакты при первом подключении. При реализации этого параметра организациям следует сбалансировать сценарии использования с задачами защиты данных. |
| Параметры рабочего профиля | Поиск рабочих контактов из личного профиля | Блокировка | Блокировка доступа пользователей к рабочим контактам из личного профиля может повлиять на некоторые сценарии удобства использования, такие как обмен текстовыми сообщениями и взаимодействие с абонентом в личном профиле. При реализации этого параметра организациям следует сбалансировать сценарии использования с задачами защиты данных. |
| Параметры рабочего профиля | Разрешить мини-приложения из приложений рабочего профиля | Не настроено | |
| Параметры рабочего профиля | Количество неудачных попыток входа, при превышении которого рабочий профиль будет удален | 5 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Параметры рабочего профиля | Срок действия пароля (дней) | 365 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Параметры рабочего профиля | Запретить использование предыдущих паролей | 5 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Параметры рабочего профиля | Smart Lock и другие доверенные агенты | Блокировка | |
| Пароль устройства | Число неудачных попыток входа перед очисткой устройства | 5 | Этот параметр запускает очистку рабочего профиля без очистки устройства. |
| Пароль устройства | Срок действия пароля (дней) | 365 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
| Пароль устройства | Запретить использование предыдущих паролей | 5 | Организациям может потребоваться обновить этот параметр в соответствии с политикой паролей. |
Статьи по теме
Настройка параметров безопасности для полностью управляемых устройств