Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Till stöd för Microsoft Nolltillit säkerhetsmodell innehåller den här artikeln exempelkonfigurationer som kan användas med Microsoft Intune för att konfigurera både enhetsefterlevnadsprincip och enhetsbegränsningsprincip för fullständigt hanterade Android Enterprise-mobilanvändare. De här exemplen omfattar nivåer av enhetssäkerhetskonfiguration som överensstämmer med Nolltillit principer.
När du använder de här exemplen kan du samarbeta med ditt säkerhetsteam för att utvärdera hotmiljön, riskaptiten och den effekt som de olika nivåerna och konfigurationerna kan ha på användbarheten. När du har granskat och justerat exemplen för att uppfylla organisationens behov implementerar du en ringdistributionsmetod för inledande testning följt av produktionsanvändning.
Mer information om varje principinställning finns i:
- Android Enterprise-inställningar för att markera enheter som kompatibla eller inkompatibla med hjälp av Intune
- Inställningar för Android Enterprise-enheter för att tillåta eller begränsa funktioner på personligt ägda enheter med hjälp av Intune
Fullständigt hanterad grundläggande säkerhet (nivå 1)
Nivå 1 är den rekommenderade lägsta säkerhetskonfigurationen för mobila enheter som ägs av organisationen.
Principerna på nivå 1 tillämpar en rimlig dataåtkomstnivå samtidigt som påverkan på användarna minimeras genom att:
- Framtvinga lösenordsprinciper
- Krav på en lägsta operativsystemversion
- Inaktivera vissa enhetsfunktioner (som USB-filöverföringar)
Tabeller i följande avsnitt visar endast de inställningar som ingår i de här exemplen. Inställningarna som inte visas i tabellerna är inte konfigurerade.
Enhetsefterlevnad (nivå 1)
| Avsnitt | Inställning | Värde | Kommentar |
|---|---|---|---|
| Enhetshälsotillstånd | Bedömning av spelintegritet | Kontrollera grundläggande integritet | Den här inställningen kräver att enheter klarar Googles API för uppspelningsintegritets grundläggande integritetskontroll. Den verifierar att enheten är i ett rimligt säkert tillstånd, vilket innebär att den inte är rotad eller kör en anpassad ROM. |
| Enhetsegenskaper | Lägsta operativsystemversion | Format: Major.Minor Exempel: 9.0 |
Microsoft rekommenderar att du konfigurerar den lägsta Android-huvudversionen så att den matchar de Android-versioner som stöds för Microsoft-appar. OEM-tillverkare och enheter som följer rekommenderade krav för Android Enterprise måste ha stöd för den aktuella leveransversionen plus en bokstavsuppgradering. För närvarande rekommenderar Android 9.0 och senare för kunskapsarbetare. De senaste rekommendationerna för Android finns i Rekommenderade krav för Android Enterprise. |
| Enhetsegenskaper | Lägsta säkerhetskorrigeringsnivå | Inte konfigurerad | Android-enheter kan få månatliga säkerhetskorrigeringar, men versionen är beroende av OEM-tillverkare och/eller operatörer. Organisationer bör se till att distribuerade Android-enheter får säkerhetsuppdateringar innan de implementerar den här inställningen. De senaste korrigeringsversionerna finns i Säkerhetsbulletiner för Android. |
| Systemsäkerhet | Kräv lösenord för att låsa upp mobila enheter | Kräver | |
| Systemsäkerhet | Lösenordstyp som krävs | Numeriskt komplext | Organisationer kan behöva uppdatera den här inställningen för att matcha sin lösenordsprincip. |
| Systemsäkerhet | Minsta längd på lösenord | 6 | Organisationer kan behöva uppdatera den här inställningen för att matcha sin lösenordsprincip. |
| Systemsäkerhet | Maximalt antal minuter av inaktivitet innan lösenord krävs | 5 | Organisationer kan behöva uppdatera den här inställningen för att matcha sin lösenordsprincip. |
| Systemsäkerhet | Kräv kryptering av datalagring på enheten | Kräver | |
| Systemsäkerhet | Intune appkörningsintegritet | Kräver | |
| Åtgärder för inkompatibilitet | Markera enheten som inkompatibel | Omedelbart | Som standard är principen konfigurerad för att markera enheten som inkompatibel. Ytterligare åtgärder är tillgängliga. Mer information finns i Konfigurera åtgärder för inkompatibla enheter i Intune. |
Enhetsbegränsningar (nivå 1)
| Avsnitt | Inställning | Värde | Kommentar |
|---|---|---|---|
| Allmän | Standardbehörighetsprincip (arbetsprofilnivå) | Standard för enhet | |
| Allmän | USB-filöverföring | Blockera | |
| Allmän | Externa medier | Blockera | |
| Allmän | Fabriksåterställning | Blockera | |
| Allmän | Datadelning mellan arbetsprofiler och personliga profiler | Standard för enhet | |
| Systemsäkerhet | Hotgenomsökning i appar | Kräver | |
| Enhetsupplevelse | Registreringsprofiltyp | Fullständigt hanterad | |
| Enhetsupplevelse | Typ av enhetsupplevelse | Inte konfigurerad | Organisationer kan välja att implementera Microsoft Launcher för att säkerställa en konsekvent startskärmsupplevelse på fullständigt hanterade enheter. Mer information finns i Konfigurera Microsoft Launcher på fullständigt hanterade Android Enterprise-enheter med Intune. |
| Enhetslösenord | Lösenordstyp som krävs | Numeriskt komplext | |
| Enhetslösenord | Minsta längd på lösenord | 6 | |
| Enhetslösenord | Antal inloggningsfel innan enheten rensas | 10 | |
| Energiinställningar | Tid att låsa skärmen (arbetsprofilnivå) | 5 minuter | |
| Användare och konton | Användaren kan konfigurera autentiseringsuppgifter (arbetsprofilnivå) | Blockera | |
| Program | Automatiska uppdateringar av appar (arbetsprofilnivå) | endast Wi-Fi | Organisationer bör justera den här inställningen efter behov eftersom dataplansavgifter kan uppstå om appuppdateringar sker via mobilnätet. |
| Program | Tillåt åtkomst till alla appar i Google Play Store | Inte konfigurerad | Som standard kan användarna inte installera personliga appar från Google Play Store på fullständigt hanterade enheter. Om organisationer vill tillåta att fullständigt hanterade enheter används för personligt bruk bör du överväga att ändra den här inställningen. |
| Lösenord för arbetsprofil | Lösenordstyp som krävs | Numeriskt komplext | Organisationer kan behöva uppdatera den här inställningen för att matcha sin lösenordsprincip. |
| Lösenord för arbetsprofil | Minsta längd på lösenord | 6 | Organisationer kan behöva uppdatera den här inställningen för att matcha sin lösenordsprincip. |
| Lösenord för arbetsprofil | Antal inloggningsfel innan enheten rensas | 10 | Organisationer kan behöva uppdatera den här inställningen för att matcha sin lösenordsprincip. |
Fullständigt hanterad förbättrad säkerhet (nivå 2)
Nivå 2 är den rekommenderade konfigurationen för företagsägda enheter där användarna får åtkomst till mer känslig information. Dessa enheter är ett naturligt mål i företag idag. De här inställningarna förutsätter inte en stor personal med högkvalificerad säkerhetspersonal. Därför bör de vara tillgängliga för de flesta företagsorganisationer. Den här konfigurationen utökar konfigurationen på nivå 1 genom att införa starkare lösenordsprinciper och inaktivera användar-/kontofunktioner.
Inställningarna på nivå 2 innehåller alla principinställningar som rekommenderas för nivå 1. Inställningarna som anges i följande avsnitt innehåller dock endast de inställningar som läggs till eller ändras. De här inställningarna kan ha en något högre inverkan på användare eller program. De tillämpar en säkerhetsnivå som är lämpligare för risker för användare med åtkomst till känslig information på mobila enheter.
Enhetsefterlevnad (nivå 2)
| Avsnitt | Inställning | Värde | Kommentar |
|---|---|---|---|
| Systemsäkerhet | Antal dagar tills lösenordet upphör att gälla | 365 | Organisationer kan behöva uppdatera den här inställningen för att matcha sin lösenordsprincip. |
| Systemsäkerhet | Antal lösenord som krävs innan användaren kan återanvända ett lösenord | 5 | Organisationer kan behöva uppdatera den här inställningen för att matcha sin lösenordsprincip. |
| Enhetshälsotillstånd | Bedömning av spelintegritet | Kontrollera grundläggande integritet & enhetens integritet | Kräv att enheter klarar Play grundläggande integritetskontroll och enhetsintegritetskontroll. |
| Enhetshälsotillstånd | Kontrollera stark integritet med hjälp av maskinvarubaserade säkerhetsfunktioner | Kontrollera stark integritet | Kräv att enheter klarar Play-enhetens starka integritetskontroll. Alla enheter stöder inte den här typen av kontroll. Intune markerar enheter som inkompatibla. |
Enhetsbegränsningar (nivå 2)
| Avsnitt | Inställning | Värde | Kommentar |
|---|---|---|---|
| Allmän | E-post för skydd mot fabriksåterställning | E-postadresser för Google-konto | |
| Allmän | Lista över e-postadresser (endast e-postadresser för Google-konto) | example@gmail.com | Uppdatera den här principen manuellt för att ange Google-e-postadresserna för enhetsadministratörer som kan låsa upp enheterna när de har rensats. |
| Enhetslösenord | Antal dagar tills lösenordet upphör att gälla | 365 | Organisationer kan behöva uppdatera den här inställningen för att matcha sin lösenordsprincip. |
| Enhetslösenord | Antal lösenord som krävs innan användaren kan återanvända ett lösenord | 5 | Organisationer kan behöva uppdatera den här inställningen för att matcha sin lösenordsprincip. |
| Enhetslösenord | Antal inloggningsfel innan enheten rensas | 5 | |
| Användare och konton | Lägga till nya användare | Blockera | |
| Användare och konton | Borttagning av användare | Blockera | |
| Användare och konton | Personliga Google-konton | Blockera | |
| Lösenord för arbetsprofil | Antal lösenord som krävs innan användaren kan återanvända ett lösenord | 5 | Organisationer kan behöva uppdatera den här inställningen för att matcha sin lösenordsprincip. |
Fullständigt hanterad hög säkerhet (nivå 3)
Nivå 3 är den rekommenderade konfigurationen för båda:
- Organisationer med stora och sofistikerade säkerhetsorganisationer.
- Specifika användare och grupper som är unikt mål för angripare.
Sådana organisationer är vanligtvis mål för välfinansierade och sofistikerade angripare.
Den här konfigurationen expanderar på nivå 2 genom att:
- Se till att en enhet är kompatibel genom att framtvinga den säkraste Microsoft Defender för Endpoint eller skyddsnivån för mobilhot.
- Öka den lägsta versionen av operativsystemet.
- Framtvinga ytterligare enhetsbegränsningar (som att inaktivera ogenomförda meddelanden på låsskärmen).
- Kräver att appar alltid är uppdaterade.
Inställningarna på nivå 3 innehåller alla principinställningar som rekommenderas för nivå 2. Inställningarna som anges i följande avsnitt innehåller dock endast de inställningar som läggs till eller ändras. De här inställningarna kan ha stor inverkan på användare eller program. De tillämpar en säkerhetsnivå som är lämpligare för risker som riktas mot organisationer.
Enhetsefterlevnad (nivå 3)
| Avsnitt | Inställning | Värde | Kommentar |
|---|---|---|---|
| Microsoft Defender för Endpoint | Kräv att enheten är vid eller under riskpoängen för datorn | Tydlig | Den här inställningen kräver Microsoft Defender för Endpoint. Mer information finns i Framtvinga efterlevnad för Microsoft Defender för Endpoint med villkorlig åtkomst i Intune. Kunder bör överväga att implementera Microsoft Defender för Endpoint eller en lösning för skydd mot mobilhot. Det är inte nödvändigt att distribuera båda. |
| Enhetshälsotillstånd | Kräv att enheten är på eller under hotnivån för enheten | Säkrade | Den här inställningen kräver en produkt för skydd mot mobilhot. Mer information finns i Mobile Threat Defense för registrerade enheter. Kunder bör överväga att implementera Microsoft Defender för Endpoint eller en lösning för skydd mot mobilhot. Det är inte nödvändigt att distribuera båda. |
| Enhetsegenskaper | Lägsta operativsystemversion | Format: Major.Minor Exempel: 11.0 |
Microsoft rekommenderar att du konfigurerar den lägsta Android-huvudversionen så att den matchar de Android-versioner som stöds för Microsoft-appar. OEM-tillverkare och enheter som följer rekommenderade krav för Android Enterprise måste ha stöd för den aktuella leveransversionen plus en bokstavsuppgradering. För närvarande rekommenderar Android 9.0 och senare för kunskapsarbetare. De senaste rekommendationerna för Android finns i Rekommenderade krav för Android Enterprise. |
Enhetsbegränsningar (nivå 3)
| Avsnitt | Inställning | Värde | Kommentar |
|---|---|---|---|
| Allmän | Datum- och tidsändringar | Blockera | |
| Allmän | Tjudring och åtkomst till hotspots | Blockera | |
| Allmän | Stråla data med NFC (arbetsprofilnivå) | Blockera | |
| Allmän | Sök efter arbetskontakter och visa nummerpresentation för arbetskontakter i personlig profil | Blockera | |
| Enhetslösenord | Inaktiverade låsskärmsfunktioner | – Oredigerade meddelanden – Betrodda agenter (arbetsprofilnivå) |
|
| Program | Automatiska uppdateringar av appar (arbetsprofilnivå) | Alltid | Organisationer bör justera den här inställningen efter behov eftersom dataplansavgifter kan uppstå om appuppdateringar sker via mobilnätet. |
| Lösenord för arbetsprofil | Antal inloggningsfel innan enheten rensas | 5 | Organisationer kan behöva uppdatera den här inställningen för att matcha sin lösenordsprincip. |
Relaterade artiklar
Konfigurera säkerhetsinställningar för personligt ägda enheter