Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Ter ondersteuning van het Microsoft Zero Trust-beveiligingsmodel bevat dit artikel voorbeelden van configuraties die kunnen worden gebruikt met Microsoft Intune om zowel apparaatnalevingsbeleid als apparaatbeperkingsbeleid te configureren voor volledig beheerde mobiele Android Enterprise-gebruikers. Deze voorbeelden omvatten niveaus van apparaatbeveiligingsconfiguratie die zijn afgestemd op Zero Trust principes.
Wanneer u deze voorbeelden gebruikt, moet u samenwerken met uw beveiligingsteam om de bedreigingsomgeving, risicobereidheid en het effect van de verschillende niveaus en configuraties op de bruikbaarheid te evalueren. Nadat u de voorbeelden hebt bekeken en aangepast aan de behoeften van uw organisatie, implementeert u een ringimplementatiemethode voor de eerste test, gevolgd door productiegebruik.
Zie voor meer informatie over elke beleidsinstelling:
- Android Enterprise-instellingen om apparaten te markeren als compatibel of niet-compatibel met behulp van Intune
- Android Enterprise-apparaatinstellingen voor het toestaan of beperken van functies op apparaten in persoonlijk eigendom met behulp van Intune
Volledig beheerde basisbeveiliging (niveau 1)
Niveau 1 is de aanbevolen minimale beveiligingsconfiguratie voor mobiele apparaten die eigendom zijn van de organisatie.
Het beleid in niveau 1 dwingt een redelijk gegevenstoegangsniveau af, terwijl de impact op gebruikers wordt geminimaliseerd door:
- Wachtwoordbeleid afdwingen
- Een minimale systeemversie van het besturingssysteem vereisen
- Bepaalde apparaatfuncties uitschakelen (zoals USB-bestandsoverdrachten)
Tabellen in de volgende secties bevatten alleen de instellingen die in deze voorbeelden zijn opgenomen. Instellingen die niet in de tabellen worden vermeld, zijn niet geconfigureerd.
Apparaatcompatibiliteit (niveau 1)
| Sectie | Instelling | Waarde | Opmerkingen |
|---|---|---|---|
| Apparaatstatus | Integriteitsbeoordeling afspelen | Basisintegriteit controleren | Deze instelling vereist dat apparaten de basisintegriteitscontrole van de Play Integrity-API van Google doorstaan. Er wordt gecontroleerd of het apparaat zich in een redelijk veilige status bevindt, wat betekent dat het niet is geroot of een aangepaste ROM uitvoert. |
| Apparaateigenschappen | Minimale versie van het besturingssysteem | Indeling: Major.Minor Voorbeeld: 9.0 |
Microsoft raadt aan de minimale primaire Android-versie te configureren zodat deze overeenkomt met de ondersteunde Android-versies voor Microsoft-apps. OEM's en apparaten die voldoen aan de aanbevolen vereisten voor Android Enterprise, moeten ondersteuning bieden voor de huidige verzendrelease + upgrade van één letter. Momenteel raadt Android 9.0 en hoger aan voor kenniswerkers. Zie Aanbevolen vereisten voor Android Enterprise voor de meest recente aanbevelingen van Android. |
| Apparaateigenschappen | Minimumniveau van beveiligingspatch | Niet geconfigureerd | Android-apparaten kunnen maandelijkse beveiligingspatches ontvangen, maar de release is afhankelijk van OEM's en/of providers. Organisaties moeten ervoor zorgen dat geïmplementeerde Android-apparaten beveiligingsupdates ontvangen voordat ze deze instelling implementeren. Zie Android-beveiligingsbulletins voor de nieuwste patchversies. |
| Systeembeveiliging | Een wachtwoord vereisen om mobiele apparaten te ontgrendelen | Vereisen | |
| Systeembeveiliging | Vereist wachtwoordtype | Numeriek complex | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Systeembeveiliging | Minimale wachtwoordlengte | 6 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Systeembeveiliging | Maximum aantal minuten van inactiviteit voordat een wachtwoord is vereist | 5 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Systeembeveiliging | Versleuteling van gegevensopslag op apparaat vereisen | Vereisen | |
| Systeembeveiliging | runtime-integriteit van Intune app | Vereisen | |
| Acties voor niet-naleving | Apparaat markeren als niet-compatibel | Onmiddellijk | Het beleid is standaard geconfigureerd om het apparaat te markeren als niet-compatibel. Er zijn aanvullende acties beschikbaar. Zie Acties configureren voor niet-compatibele apparaten in Intune voor meer informatie. |
Apparaatbeperkingen (niveau 1)
| Sectie | Instelling | Waarde | Opmerkingen |
|---|---|---|---|
| Algemeen | Standaardmachtigingsbeleid (werkprofielniveau) | Standaardwaarde apparaat | |
| Algemeen | USB-bestandsoverdracht | Blokkeren | |
| Algemeen | Externe media | Blokkeren | |
| Algemeen | Fabrieksinstellingen terugzetten | Blokkeren | |
| Algemeen | Gegevens delen tussen werk- en persoonlijke profielen | Standaardwaarde apparaat | |
| Systeembeveiliging | Bedreigingsscan voor apps | Vereisen | |
| Apparaatervaring | Type inschrijvingsprofiel | Volledig beheerd | |
| Apparaatervaring | Type apparaatervaring | Niet geconfigureerd | Organisaties kunnen ervoor kiezen om Microsoft Launcher te implementeren om een consistente ervaring met het startscherm op volledig beheerde apparaten te garanderen. Zie Microsoft Launcher instellen op volledig beheerde Android Enterprise-apparaten met Intune voor meer informatie. |
| Apparaatwachtwoord | Vereist wachtwoordtype | Numeriek complex | |
| Apparaatwachtwoord | Minimale wachtwoordlengte | 6 | |
| Apparaatwachtwoord | Aantal mislukte aanmeldingen voordat het apparaat wordt schoongevegen | 10 | |
| Energie-instellingen | Tijd om scherm te vergrendelen (werkprofielniveau) | 5 minuten | |
| Gebruikers en accounts | Gebruiker kan referenties configureren (werkprofielniveau) | Blokkeren | |
| Toepassingen | Automatische updates van apps (werkprofielniveau) | alleen Wi-Fi | Organisaties moeten deze instelling zo nodig aanpassen, omdat er kosten voor data-abonnementen kunnen optreden als app-updates worden uitgevoerd via het mobiele netwerk. |
| Toepassingen | Toegang tot alle apps in Google Play Store toestaan | Niet geconfigureerd | Standaard kunnen gebruikers geen persoonlijke apps uit de Google Play Store installeren op volledig beheerde apparaten. Als organisaties willen toestaan dat volledig beheerde apparaten worden gebruikt voor persoonlijk gebruik, kunt u overwegen deze instelling te wijzigen. |
| Wachtwoord voor werkprofiel | Vereist wachtwoordtype | Numeriek complex | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Wachtwoord voor werkprofiel | Minimale wachtwoordlengte | 6 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Wachtwoord voor werkprofiel | Aantal mislukte aanmeldingen voordat het apparaat wordt schoongevegen | 10 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
Volledig beheerde verbeterde beveiliging (niveau 2)
Niveau 2 is de aanbevolen configuratie voor apparaten in bedrijfseigendom waar gebruikers toegang hebben tot meer gevoelige informatie. Deze apparaten zijn tegenwoordig een natuurlijk doel in ondernemingen. Bij deze instellingen wordt niet uitgegaan van een groot aantal hoogopgeleide beveiligingsmedewerkers. Daarom moeten ze toegankelijk zijn voor de meeste ondernemingsorganisaties. Deze configuratie breidt de configuratie in niveau 1 uit door sterker wachtwoordbeleid uit te voeren en gebruikers-/accountmogelijkheden uit te schakelen.
De instellingen van niveau 2 bevatten alle beleidsinstellingen die worden aanbevolen voor niveau 1. De instellingen die in de volgende secties worden vermeld, bevatten echter alleen de instellingen die zijn toegevoegd of gewijzigd. Deze instellingen kunnen een iets grotere impact hebben op gebruikers of toepassingen. Ze dwingen een beveiligingsniveau af dat geschikter is voor risico's van gebruikers met toegang tot gevoelige informatie op mobiele apparaten.
Apparaatcompatibiliteit (niveau 2)
| Sectie | Instelling | Waarde | Opmerkingen |
|---|---|---|---|
| Systeembeveiliging | Aantal dagen totdat het wachtwoord verloopt | 365 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Systeembeveiliging | Het aantal wachtwoorden dat is vereist voordat de gebruiker een wachtwoord opnieuw kan gebruiken | 5 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Apparaatstatus | Integriteitsbeoordeling afspelen | Basisintegriteit & apparaatintegriteit controleren | Vereisen dat apparaten de basisintegriteitscontrole en apparaatintegriteitscontrole van Play doorstaan. |
| Apparaatstatus | Sterke integriteit controleren met behulp van door hardware ondersteunde beveiligingsfuncties | Sterke integriteit controleren | Vereisen dat apparaten de sterke integriteitscontrole van Play doorstaan. Niet alle apparaten ondersteunen dit type controle. Intune markeert dergelijke apparaten als niet-compatibel. |
Apparaatbeperkingen (niveau 2)
| Sectie | Instelling | Waarde | Opmerkingen |
|---|---|---|---|
| Algemeen | E-mailberichten over fabrieksinstellingen | E-mailadressen van Google-account | |
| Algemeen | Lijst met e-mailadressen (alleen optie voor e-mailadressen van Google-accounts) | example@gmail.com | Werk dit beleid handmatig bij om de Google-e-mailadressen van apparaatbeheerders op te geven die de apparaten kunnen ontgrendelen nadat ze zijn gewist. |
| Apparaatwachtwoord | Aantal dagen totdat het wachtwoord verloopt | 365 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Apparaatwachtwoord | Het aantal wachtwoorden dat is vereist voordat de gebruiker een wachtwoord opnieuw kan gebruiken | 5 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Apparaatwachtwoord | Aantal mislukte aanmeldingen voordat het apparaat wordt schoongevegen | 5 | |
| Gebruikers en accounts | Nieuwe gebruikers toevoegen | Blokkeren | |
| Gebruikers en accounts | Gebruiker verwijderen | Blokkeren | |
| Gebruikers en accounts | Persoonlijke Google-accounts | Blokkeren | |
| Wachtwoord voor werkprofiel | Het aantal wachtwoorden dat is vereist voordat de gebruiker een wachtwoord opnieuw kan gebruiken | 5 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
Volledig beheerde hoge beveiliging (niveau 3)
Niveau 3 is de aanbevolen configuratie voor beide:
- Organisaties met grote en geavanceerde beveiligingsorganisaties.
- Specifieke gebruikers en groepen die het unieke doelwit zijn van kwaadwillende personen.
Dergelijke organisaties zijn doorgaans het doelwit van goed gefinancierde en geavanceerde tegenstanders.
Deze configuratie wordt uitgebreid naar niveau 2 door:
- Ervoor zorgen dat een apparaat compatibel is door het veiligste Microsoft Defender voor Eindpunt- of mobile threat defense-niveau af te dwingen.
- De minimale versie van het besturingssysteem verhogen.
- Aanvullende apparaatbeperkingen afdwingen (zoals het uitschakelen van niet-bewerkte meldingen op het vergrendelingsscherm).
- Vereisen dat apps altijd up-to-date zijn.
De instellingen van niveau 3 bevatten alle beleidsinstellingen die worden aanbevolen voor niveau 2. De instellingen die in de volgende secties worden vermeld, bevatten echter alleen de instellingen die zijn toegevoegd of gewijzigd. Deze instellingen kunnen aanzienlijke gevolgen hebben voor gebruikers of toepassingen. Ze dwingen een beveiligingsniveau af dat geschikter is voor risico's van gerichte organisaties.
Apparaatcompatibiliteit (niveau 3)
| Sectie | Instelling | Waarde | Opmerkingen |
|---|---|---|---|
| Microsoft Defender voor Eindpunt | Vereisen dat het apparaat de risicoscore van de machine heeft of niet | Duidelijk | Voor deze instelling is Microsoft Defender voor Eindpunt vereist. Zie Naleving afdwingen voor Microsoft Defender voor Eindpunt met voorwaardelijke toegang in Intune voor meer informatie. Klanten moeten overwegen om Microsoft Defender voor Eindpunt of een mobile threat defense-oplossing te implementeren. Het is niet nodig om beide te implementeren. |
| Apparaatstatus | Vereisen dat het apparaat zich op of onder het bedreigingsniveau van het apparaat bevindt | Beveiligd | Voor deze instelling is een Mobile Threat Defense-product vereist. Zie Mobile Threat Defense voor ingeschreven apparaten voor meer informatie. Klanten moeten overwegen om Microsoft Defender voor Eindpunt of een mobile threat defense-oplossing te implementeren. Het is niet nodig om beide te implementeren. |
| Apparaateigenschappen | Minimale versie van het besturingssysteem | Indeling: Major.Minor Voorbeeld: 11.0 |
Microsoft raadt aan de minimale primaire Android-versie te configureren zodat deze overeenkomt met de ondersteunde Android-versies voor Microsoft-apps. OEM's en apparaten die voldoen aan de aanbevolen vereisten voor Android Enterprise, moeten ondersteuning bieden voor de huidige verzendrelease + upgrade van één letter. Momenteel raadt Android 9.0 en hoger aan voor kenniswerkers. Zie Aanbevolen vereisten voor Android Enterprise voor de meest recente aanbevelingen van Android. |
Apparaatbeperkingen (niveau 3)
| Sectie | Instelling | Waarde | Opmerkingen |
|---|---|---|---|
| Algemeen | Datum- en tijdwijzigingen | Blokkeren | |
| Algemeen | Tethering en toegang tot hotspots | Blokkeren | |
| Algemeen | Gegevens kopiëren met NFC (werkprofielniveau) | Blokkeren | |
| Algemeen | Werkcontactpersonen zoeken en nummerweergave van werkcontactpersoon weergeven in persoonlijk profiel | Blokkeren | |
| Apparaatwachtwoord | Functies voor uitgeschakeld vergrendelingsscherm | - Niet-verwerkte meldingen - Vertrouwensagenten (werkprofielniveau) |
|
| Toepassingen | Automatische updates van apps (werkprofielniveau) | Altijd | Organisaties moeten deze instelling zo nodig aanpassen, omdat er kosten voor data-abonnementen kunnen optreden als app-updates worden uitgevoerd via het mobiele netwerk. |
| Wachtwoord voor werkprofiel | Aantal mislukte aanmeldingen voordat het apparaat wordt schoongevegen | 5 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
Verwante artikelen
Beveiligingsinstellingen configureren voor apparaten in persoonlijk eigendom