Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Ter ondersteuning van het Microsoft Zero Trust-beveiligingsmodel bevat dit artikel voorbeelden van configuraties die kunnen worden gebruikt met Microsoft Intune om zowel apparaatnalevingsbeleid als apparaatbeperkingsbeleid te configureren voor mobiele android-gebruikers in persoonlijk eigendom. Deze voorbeelden omvatten niveaus van apparaatbeveiligingsconfiguratie die zijn afgestemd op Zero Trust principes.
Wanneer u deze voorbeelden gebruikt, moet u samenwerken met uw beveiligingsteam om de bedreigingsomgeving, risicobereidheid en het effect van de verschillende niveaus en configuraties op de bruikbaarheid te evalueren. Nadat u de voorbeelden hebt bekeken en aangepast aan de behoeften van uw organisatie, implementeert u een ringimplementatiemethode voor de eerste test, gevolgd door productiegebruik.
Zie voor meer informatie over elke beleidsinstelling:
- Android Enterprise-instellingen om apparaten te markeren als compatibel of niet-compatibel met behulp van Intune
- Android Enterprise-apparaatinstellingen om functies toe te staan of te beperken met behulp van Intune> Persoonlijk eigendom
Opmerking
Vanwege de instellingen die beschikbaar zijn voor apparaten met een werkprofiel in persoonlijk eigendom, is er geen basisbeveiligingsaanbod (niveau 1). De beschikbare instellingen rechtvaardigen geen verschil tussen niveau 1 en niveau 2.
Tabellen in de volgende secties bevatten alleen de instellingen die in deze voorbeelden zijn opgenomen. Instellingen die niet in de tabellen worden vermeld, zijn niet geconfigureerd.
Verbeterde beveiliging van werkprofielen in persoonlijk eigendom (niveau 2)
Niveau 2 is de aanbevolen minimale beveiligingsconfiguratie voor persoonlijke apparaten waarop gebruikers toegang hebben tot werk- of schoolgegevens. Deze configuratie kan van toepassing zijn op de meeste mobiele gebruikers. Sommige besturingselementen kunnen van invloed zijn op de gebruikerservaring.
Apparaatcompatibiliteit (niveau 2)
| Sectie | Instelling | Waarde | Opmerkingen |
|---|---|---|---|
| Apparaatstatus | Geroote apparaten | Blokkeren | |
| Apparaatstatus | Google Play Services is geconfigureerd | Vereisen | |
| Apparaatstatus | Up-to-date beveiligingsprovider | Vereisen | |
| Apparaatstatus | Integriteitsbeoordeling afspelen | Basisintegriteit & apparaatintegriteit controleren | Vereisen dat apparaten de basisintegriteitscontrole en apparaatintegriteitscontrole van Play doorstaan. |
| Apparaatstatus | Sterke integriteit controleren met behulp van door hardware ondersteunde beveiligingsfuncties | Sterke integriteit controleren | Vereisen dat apparaten de sterke integriteitscontrole van Play doorstaan. Niet alle apparaten ondersteunen dit type controle. Intune markeert dergelijke apparaten als niet-compatibel. |
| Apparaateigenschappen | Minimale versie van het besturingssysteem | Indeling: Major.Minor Voorbeeld: 9.0 |
Microsoft raadt aan de minimale primaire Android-versie te configureren zodat deze overeenkomt met de ondersteunde Android-versies voor Microsoft-apps. OEM's en apparaten die voldoen aan de aanbevolen vereisten voor Android Enterprise, moeten ondersteuning bieden voor de huidige verzendrelease + upgrade van één letter. Momenteel raadt Android 9.0 en hoger aan voor kenniswerkers. Zie Aanbevolen vereisten voor Android Enterprise voor de meest recente aanbevelingen van Android. |
| Systeembeveiliging | Versleuteling van gegevensopslag op apparaat vereisen | Vereisen | |
| Systeembeveiliging | Apps van onbekende bronnen blokkeren | Blokkeren | |
| Systeembeveiliging | runtime-integriteit van Bedrijfsportal app | Vereisen | |
| Systeembeveiliging | USB-foutopsporing op apparaat blokkeren | Blokkeren | Hoewel deze instelling foutopsporing blokkeert met behulp van een USB-apparaat, wordt ook de mogelijkheid om logboeken te verzamelen uitgeschakeld die nuttig kunnen zijn bij het oplossen van problemen. |
| Systeembeveiliging | Minimumniveau van beveiligingspatch | Niet geconfigureerd | Android-apparaten kunnen maandelijkse beveiligingspatches ontvangen, maar de release is afhankelijk van OEM's en/of providers. Organisaties moeten ervoor zorgen dat geïmplementeerde Android-apparaten beveiligingsupdates ontvangen voordat ze deze instelling implementeren. Zie Android-beveiligingsbulletins voor de nieuwste patchversies. |
| Systeembeveiliging | Een wachtwoord vereisen om mobiele apparaten te ontgrendelen | Vereisen | |
| Systeembeveiliging | Vereist wachtwoordtype | Numeriek complex | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Systeembeveiliging | Minimale wachtwoordlengte | 6 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Systeembeveiliging | Maximum aantal minuten van inactiviteit voordat een wachtwoord is vereist | 5 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Acties voor niet-naleving | Apparaat markeren als niet-compatibel | Onmiddellijk | Het beleid is standaard geconfigureerd om het apparaat te markeren als niet-compatibel. Er zijn aanvullende acties beschikbaar. Zie Acties configureren voor niet-compatibele apparaten in Intune voor meer informatie. |
Apparaatbeperkingen (niveau 2)
| Sectie | Instelling | Waarde | Opmerkingen |
|---|---|---|---|
| Instellingen voor werkprofielen | Kopiëren en plakken tussen werk- en persoonlijke profielen | Blokkeren | |
| Instellingen voor werkprofielen | Gegevens delen tussen werk- en persoonlijke profielen | Apps in werkprofiel kunnen aanvragen voor delen van een persoonlijk profiel verwerken | |
| Instellingen voor werkprofielen | Meldingen van werkprofielen terwijl het apparaat is vergrendeld | Niet geconfigureerd | Als u deze instelling blokkeert, zorgt u ervoor dat gevoelige gegevens niet worden weergegeven in werkprofielmeldingen, wat de bruikbaarheid kan beïnvloeden. |
| Instellingen voor werkprofielen | Standaard-app-machtigingen | Standaardwaarde apparaat | Beheerders moeten de machtigingen controleren en aanpassen die zijn verleend door apps die ze implementeren. |
| Instellingen voor werkprofielen | Accounts toevoegen en verwijderen | Blokkeren | |
| Instellingen voor werkprofielen | Contact delen via Bluetooth | Inschakelen | Toegang tot werkcontactpersonen is standaard niet beschikbaar op andere apparaten, zoals auto's via Bluetooth-integratie. Als u deze instelling inschakelt, verbetert u handsfree gebruikerservaringen. Het Bluetooth-apparaat kan de contactpersonen echter in de cache opslaan bij de eerste verbinding. Organisaties moeten overwegen om bij het implementeren van deze instelling een evenwicht te vinden tussen de scenario's voor bruikbaarheid en gegevensbescherming. |
| Instellingen voor werkprofielen | Schermopname | Blokkeren | |
| Instellingen voor werkprofielen | Werkcontactpersonen zoeken vanuit persoonlijk profiel | Niet geconfigureerd | Als u blokkeert dat gebruikers toegang hebben tot werkcontactpersonen vanuit het persoonlijke profiel, kan dit van invloed zijn op bepaalde bruikbaarheidsscenario's, zoals sms-berichten en kiezerervaringen binnen het persoonlijke profiel. Organisaties moeten overwegen om bij het implementeren van deze instelling een evenwicht te vinden tussen de scenario's voor bruikbaarheid en gegevensbescherming. |
| Instellingen voor werkprofielen | Widgets uit apps voor werkprofielen toestaan | Inschakelen | |
| Instellingen voor werkprofielen | Wachtwoord voor werkprofiel vereisen | Vereisen | |
| Instellingen voor werkprofielen | Minimale wachtwoordlengte | 6 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Instellingen voor werkprofielen | Maximum aantal minuten van inactiviteit totdat het werkprofiel is vergrendeld | 5 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Instellingen voor werkprofielen | Aantal mislukte aanmeldingen voordat het werkprofiel wordt verwijderd | 10 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Instellingen voor werkprofielen | Wachtwoord verlopen (dagen) | Niet geconfigureerd | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Instellingen voor werkprofielen | Vereist wachtwoordtype | Numeriek complex | |
| Instellingen voor werkprofielen | Hergebruik van eerdere wachtwoorden voorkomen | Niet geconfigureerd | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Apparaatwachtwoord | Minimale wachtwoordlengte | 6 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Apparaatwachtwoord | Maximum aantal minuten van inactiviteit totdat het scherm wordt vergrendeld | 5 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Apparaatwachtwoord | Aantal mislukte aanmeldingen voordat het apparaat wordt schoongevegen | 10 | Met deze instelling wordt het wissen van het werkprofiel geactiveerd en niet het apparaat gewist. |
| Apparaatwachtwoord | Wachtwoord verlopen (dagen) | Niet geconfigureerd | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Apparaatwachtwoord | Vereist wachtwoordtype | Numeriek complex | |
| Apparaatwachtwoord | Hergebruik van eerdere wachtwoorden voorkomen | Niet geconfigureerd | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Systeembeveiliging | Bedreigingsscan voor apps | Vereisen | Met deze instelling zorgt u ervoor dat de scan van Google Apps verifiëren is ingeschakeld voor apparaten van eindgebruikers. Als deze is geconfigureerd, wordt de toegang van de eindgebruiker geblokkeerd totdat deze het scannen van apps van Google op hun Android-apparaat inschakelt. |
| Systeembeveiliging | App-installaties van onbekende bronnen in het persoonlijke profiel voorkomen | Blokkeren |
Opmerking
Wanneer een werkprofiel in persoonlijk eigendom is ingeschakeld, wordt 'One Lock' standaard geconfigureerd om wachtwoordcodes voor apparaten en werkprofielen te combineren. Eén vergrendeling kan indien nodig worden uitgeschakeld om werkprofiel- en apparaatwachtwoordcodes te scheiden, onder werkprofielinstellingen. Raadpleeg voor meer informatie de instelling Eén vergrendeling voor apparaat- en werkprofiel in de sectie Werkprofielwachtwoord van in Android Enterprise-apparaten in persoonlijk eigendom.
Hoge beveiliging voor werkprofiel in persoonlijk eigendom (niveau 3)
Niveau 3 is de aanbevolen configuratie voor apparaten die worden gebruikt door gebruikers of groepen met een uniek hoog risico. Bijvoorbeeld gebruikers die zeer gevoelige gegevens verwerken waarbij onbevoegde openbaarmaking aanzienlijke materiële verliezen veroorzaakt. Een organisatie die waarschijnlijk het doelwit is van goed gefinancierde en geavanceerde aanvallers, verdient extra beperkingen.
Deze configuratie breidt de configuratie in niveau 2 uit door:
- Mobile Threat Defense of Microsoft Defender voor Eindpunt implementeren.
- Scenario's voor werkprofielgegevens in persoonlijk eigendom beperken.
- Sterker wachtwoordbeleid instellen.
De instellingen van niveau 3 bevatten alle beleidsinstellingen die worden aanbevolen voor niveau 2. De instellingen die in de volgende secties worden vermeld, bevatten echter alleen de instellingen die zijn toegevoegd of gewijzigd. Deze instellingen kunnen aanzienlijke gevolgen hebben voor gebruikers of toepassingen. Ze dwingen een beveiligingsniveau af dat geschikter is voor risico's van gerichte organisaties.
Apparaatcompatibiliteit (niveau 3)
| Sectie | Instelling | Waarde | Opmerkingen |
|---|---|---|---|
| Microsoft Defender voor Eindpunt | Vereisen dat het apparaat de risicoscore van de machine heeft of niet | Duidelijk | Voor deze instelling is Microsoft Defender voor Eindpunt vereist. Zie Naleving afdwingen voor Microsoft Defender voor Eindpunt met voorwaardelijke toegang in Intune voor meer informatie. Klanten moeten overwegen om Microsoft Defender voor Eindpunt of een mobile threat defense-oplossing te implementeren. Het is niet nodig om beide te implementeren. |
| Apparaatstatus | Vereisen dat het apparaat zich op of onder het bedreigingsniveau van het apparaat bevindt | Beveiligd | Voor deze instelling is een Mobile Threat Defense-product vereist. Zie Mobile Threat Defense voor ingeschreven apparaten voor meer informatie. Klanten moeten overwegen om Microsoft Defender voor Eindpunt of een mobile threat defense-oplossing te implementeren. Het is niet nodig om beide te implementeren. |
| Apparaateigenschappen | Minimale versie van het besturingssysteem | Indeling: Major.Minor Voorbeeld: 11.0 |
Microsoft raadt aan de minimale primaire Android-versie te configureren zodat deze overeenkomt met de ondersteunde Android-versies voor Microsoft-apps. OEM's en apparaten die voldoen aan de aanbevolen vereisten voor Android Enterprise, moeten ondersteuning bieden voor de huidige verzendrelease + upgrade van één letter. Momenteel raadt Android 9.0 en hoger aan voor kenniswerkers. Zie Aanbevolen vereisten voor Android Enterprise voor de meest recente aanbevelingen van Android. |
| Systeembeveiliging | Aantal dagen totdat het wachtwoord verloopt | 365 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Systeembeveiliging | Aantal vorige wachtwoorden om gebruik te voorkomen | 5 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
Apparaatbeperkingen (niveau 3)
| Sectie | Instelling | Waarde | Opmerkingen |
|---|---|---|---|
| Instellingen voor werkprofielen | Meldingen van werkprofielen terwijl het apparaat is vergrendeld | Blokkeren | Als u deze instelling blokkeert, zorgt u ervoor dat gevoelige gegevens niet worden weergegeven in werkprofielmeldingen, wat de bruikbaarheid kan beïnvloeden. |
| Instellingen voor werkprofielen | Contact delen via Bluetooth | Niet geconfigureerd | Toegang tot werkcontactpersonen is standaard niet beschikbaar op andere apparaten, zoals auto's via Bluetooth-integratie. Als u deze instelling inschakelt, verbetert u handsfree gebruikerservaringen. Het Bluetooth-apparaat kan de contactpersonen echter in de cache opslaan bij de eerste verbinding. Organisaties moeten overwegen om bij het implementeren van deze instelling een evenwicht te vinden tussen de scenario's voor bruikbaarheid en gegevensbescherming. |
| Instellingen voor werkprofielen | Werkcontactpersonen zoeken vanuit persoonlijk profiel | Blokkeren | Als u blokkeert dat gebruikers toegang hebben tot werkcontactpersonen vanuit het persoonlijke profiel, kan dit van invloed zijn op bepaalde bruikbaarheidsscenario's, zoals sms-berichten en kiezerervaringen binnen het persoonlijke profiel. Organisaties moeten overwegen om bij het implementeren van deze instelling een evenwicht te vinden tussen de scenario's voor bruikbaarheid en gegevensbescherming. |
| Instellingen voor werkprofielen | Widgets uit apps voor werkprofielen toestaan | Niet geconfigureerd | |
| Instellingen voor werkprofielen | Aantal mislukte aanmeldingen voordat het werkprofiel wordt verwijderd | 5 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Instellingen voor werkprofielen | Wachtwoord verlopen (dagen) | 365 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Instellingen voor werkprofielen | Hergebruik van eerdere wachtwoorden voorkomen | 5 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Instellingen voor werkprofielen | Smart Lock en andere vertrouwensagenten | Blokkeren | |
| Apparaatwachtwoord | Aantal mislukte aanmeldingen voordat het apparaat wordt schoongevegen | 5 | Deze instelling activeert het wissen van het werkprofiel en niet het wissen van het apparaat. |
| Apparaatwachtwoord | Wachtwoord verlopen (dagen) | 365 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
| Apparaatwachtwoord | Hergebruik van eerdere wachtwoorden voorkomen | 5 | Organisaties moeten deze instelling mogelijk bijwerken zodat deze overeenkomt met hun wachtwoordbeleid. |
Verwante artikelen
Beveiligingsinstellingen configureren voor volledig beheerde apparaten