Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Zur Unterstützung des Microsoft Zero Trust-Sicherheitsmodells enthält dieser Artikel Beispielkonfigurationen, die mit Microsoft Intune verwendet werden können, um sowohl die Gerätekonformitätsrichtlinie als auch die Geräteeinschränkungsrichtlinie für vollständig verwaltete mobile Android Enterprise-Benutzer zu konfigurieren. Diese Beispiele umfassen Ebenen der Gerätesicherheitskonfiguration, die Zero Trust Prinzipien entsprechen.
Wenn Sie diese Beispiele verwenden, arbeiten Sie mit Ihrem Sicherheitsteam zusammen, um die Bedrohungsumgebung, die Risikobereitschaft und die Auswirkungen der verschiedenen Ebenen und Konfigurationen auf die Benutzerfreundlichkeit zu bewerten. Nachdem Sie die Beispiele überprüft und an die Anforderungen Ihrer organization angepasst haben, implementieren Sie einen Ringbereitstellungsansatz für anfängliche Tests, gefolgt von der Verwendung in der Produktion.
Weitere Informationen zu den einzelnen Richtlinieneinstellungen finden Sie unter:
- Android Enterprise-Einstellungen zum Markieren von Geräten als konform oder nicht konform mithilfe von Intune
- Android Enterprise-Geräteeinstellungen zum Zulassen oder Einschränken von Features auf persönlichen Geräten mit Intune
Vollständig verwaltete Standardsicherheit (Stufe 1)
Stufe 1 ist die empfohlene Mindestsicherheitskonfiguration für organisationseigene mobile Geräte.
Die Richtlinien der Stufe 1 erzwingen einen angemessenen Zugriff auf Datenebene bei gleichzeitiger Minimierung der Auswirkungen auf Benutzer durch:
- Erzwingen von Kennwortrichtlinien
- Anfordern einer Mindestversion des Betriebssystems
- Deaktivieren bestimmter Gerätefunktionen (z. B. USB-Dateiübertragungen)
Die Tabellen in den folgenden Abschnitten enthalten nur die Einstellungen, die in diesen Beispielen enthalten sind. Einstellungen, die nicht in den Tabellen aufgeführt sind, sind nicht konfiguriert.
Gerätekonformität (Ebene 1)
| Abschnitt | Einstellung | Wert | Anmerkungen |
|---|---|---|---|
| Geräteintegrität | Integritätsbewertung wiedergeben | Überprüfen der grundlegenden Integrität | Diese Einstellung erfordert, dass Geräte die grundlegende Integritätsprüfung der Play-Integritäts-API von Google bestehen. Es wird überprüft, ob sich das Gerät in einem relativ sicheren Zustand befindet, was bedeutet, dass es nicht rootet oder ein benutzerdefiniertes ROM ausführt. |
| Geräteeigenschaften | Minimale Version des Betriebssystems | Format: Major.Minor Beispiel: 9.0 |
Microsoft empfiehlt, die Mindesthauptversion für das Android-Betriebssystem so festzulegen, dass übereinstimmende unterstützte Android-Versionen von Microsoft-Apps verwendet werden können. OEMs und Geräte, die den Anforderungen für "Android Enterprise Recommended" entsprechen, müssen die aktuelle Versandversion und ein Upgrade auf die nächste Version unterstützen. Aktuell empfiehlt Android für Wissensarbeiter Android 9.0 und höher. Unter Anforderungen für "Android Enterprise Recommended" finden Sie die aktuellen Empfehlungen von Android. |
| Geräteeigenschaften | Mindestens erforderliche Sicherheitspatchebene | Nicht konfiguriert | Android-Geräte können monatliche Sicherheitsupdates erhalten, aber das Release hängt von den OEMs und/oder Netzbetreibern ab. Unternehmen sollten dafür sorgen, dass bereitgestellte Android-Geräte Sicherheitsupdates erhalten, bevor diese Einstellung implementiert wird. Unter Android-Sicherheitsbulletins finden Sie die aktuellen Patchreleases. |
| Systemsicherheit | Erfordern eines Kennworts zum Entsperren von Mobilgeräten | Erforderlich | |
| Systemsicherheit | Geforderter Kennworttyp | Numerisch, komplex | Organisationen müssen diese Einstellung möglicherweise entsprechend ihrer Kennwortrichtlinie aktualisieren. |
| Systemsicherheit | Minimale Kennwortlänge | 6 | Organisationen müssen diese Einstellung möglicherweise entsprechend ihrer Kennwortrichtlinie aktualisieren. |
| Systemsicherheit | Maximaler Zeitraum der Inaktivität (in Minuten) bis zur Anforderung eines Kennworts | 5 | Organisationen müssen diese Einstellung möglicherweise entsprechend ihrer Kennwortrichtlinie aktualisieren. |
| Systemsicherheit | Verschlüsselung des Datenspeichers auf dem Gerät erforderlich | Erforderlich | |
| Systemsicherheit | Laufzeitintegrität der Intune-App | Erforderlich | |
| Aktionen bei Nichteinhaltung | Gerät als nicht konform markieren | Sofort | Standardmäßig ist die Richtlinie so konfiguriert, dass das Gerät als nicht konform markiert wird. Weitere Aktionen sind verfügbar. Weitere Informationen finden Sie unter Konfigurieren von Aktionen für nicht konforme Geräte in Intune. |
Geräteeinschränkungen (Ebene 1)
| Abschnitt | Einstellung | Wert | Anmerkungen |
|---|---|---|---|
| Allgemein | Standardberechtigungsrichtlinie (Arbeitsprofilebene) | Gerätestandard | |
| Allgemein | USB-Dateiübertragung | Blockieren | |
| Allgemein | Externe Medien | Blockieren | |
| Allgemein | Wiederherstellung der Herstellerstandards | Blockieren | |
| Allgemein | Datenaustausch zwischen Arbeitsprofilen und persönlichen Profilen | Gerätestandard | |
| Systemsicherheit | Bedrohungsüberprüfung für Apps | Erforderlich | |
| Benutzeroberfläche des Geräts | Registrierungsprofiltyp | Vollständig verwaltet | |
| Benutzeroberfläche des Geräts | Geräteerfahrungstyp | Nicht konfiguriert | Organisationen können Microsoft Launcher implementieren, um eine konsistente Startseite auf vollständig verwalteten Geräten zu gewährleisten. Weitere Informationen finden Sie unter Einrichten von Microsoft Launcher auf vollständig verwalteten Android Enterprise-Geräten mit Intune. |
| Gerätekennwort | Geforderter Kennworttyp | Numerisch, komplex | |
| Gerätekennwort | Minimale Kennwortlänge | 6 | |
| Gerätekennwort | Anzahl von fehlgeschlagenen Anmeldungen, bevor das Gerät zurückgesetzt wird | 10 | |
| Energieeinstellungen | Zeit bis zum Sperrbildschirm (Arbeitsprofilebene) | 5 Minuten | |
| Benutzer und Konten | Benutzer kann Anmeldeinformationen konfigurieren (Arbeitsprofilebene) | Blockieren | |
| Anwendungen | Automatische App-Updates (Arbeitsprofilebene) | Nur WLAN | Organisationen sollten diese Einstellung bei Bedarf anpassen, da Datentarifgebühren auftreten können, wenn App-Updates über das Mobilfunknetz erfolgen. |
| Anwendungen | Zugriff auf alle Apps im Google Play Store zulassen | Nicht konfiguriert | Standardmäßig können Benutzer keine persönlichen Apps aus dem Google Play Store auf vollständig verwalteten Geräten installieren. Wenn Organisationen die Nutzung vollständig verwalteter Geräte für persönliche Zwecke zulassen möchten, erwägen Sie die Änderung dieser Einstellung. |
| Arbeitsprofilkennwort | Geforderter Kennworttyp | Numerisch, komplex | Organisationen müssen diese Einstellung möglicherweise entsprechend ihrer Kennwortrichtlinie aktualisieren. |
| Arbeitsprofilkennwort | Minimale Kennwortlänge | 6 | Organisationen müssen diese Einstellung möglicherweise entsprechend ihrer Kennwortrichtlinie aktualisieren. |
| Arbeitsprofilkennwort | Anzahl von fehlgeschlagenen Anmeldungen, bevor das Gerät zurückgesetzt wird | 10 | Organisationen müssen diese Einstellung möglicherweise entsprechend ihrer Kennwortrichtlinie aktualisieren. |
Vollständig verwaltete erhöhte Sicherheit (Stufe 2)
Stufe 2 ist die empfohlene Konfiguration für unternehmenseigene Geräte, auf denen Benutzer auf sensiblere Informationen zugreifen. Heutzutage sind diese Geräte in Unternehmen oftmals Angriffen ausgesetzt. Diese Einstellungen setzen keinen großen Stab hochqualifizierter Sicherheitsfachleute voraus. Daher sollten sie für die meisten Unternehmensorganisationen zugänglich sein. Diese Konfiguration baut auf der Konfiguration der Stufe 1 dahingehend auf, dass strengere Kennwortrichtlinien gelten und Funktionen für Benutzer/Konten deaktiviert werden.
Die Einstellung auf Stufe 2 umfassen alle für Stufe 1 empfohlenen Richtlinieneinstellungen. Die in den folgenden Abschnitten aufgeführten Einstellungen enthalten jedoch nur die Einstellungen, die hinzugefügt oder geändert werden. Diese Einstellungen können einen etwas höheren Einfluss auf Benutzer oder Anwendungen haben. Sie erzwingen ein Sicherheitsniveau, das besser den Risiken entspricht, denen Benutzer mit Zugriff auf sensible Daten auf mobilen Geräten ausgesetzt sind.
Gerätekonformität (Ebene 2)
| Abschnitt | Einstellung | Wert | Anmerkungen |
|---|---|---|---|
| Systemsicherheit | Anzahl von Tagen bis zum Kennwortablauf | 365 | Organisationen müssen diese Einstellung möglicherweise entsprechend ihrer Kennwortrichtlinie aktualisieren. |
| Systemsicherheit | Anzahl erforderlicher Kennwörter, bevor ein Benutzer ein Kennwort wiederverwenden kann | 5 | Organisationen müssen diese Einstellung möglicherweise entsprechend ihrer Kennwortrichtlinie aktualisieren. |
| Geräteintegrität | Integritätsbewertung wiedergeben | Überprüfen der grundlegenden Integrität & der Geräteintegrität | Geräte müssen die grundlegende Integritäts- und Geräteintegritätsprüfung von Play bestehen. |
| Geräteintegrität | Überprüfen einer starken Integrität mithilfe von hardwaregestützten Sicherheitsfeatures | Überprüfen der starken Integrität | Geräte müssen die strenge Integritätsprüfung von Play bestehen. Nicht alle Geräte unterstützen diese Art von Überprüfung. Intune markiert solche Geräte als nicht konform. |
Geräteeinschränkungen (Ebene 2)
| Abschnitt | Einstellung | Wert | Anmerkungen |
|---|---|---|---|
| Allgemein | E-Mail-Adressen für Schutz vor Zurücksetzung auf Werkseinstellungen | E-Mail-Adressen für Google-Konto | |
| Allgemein | Liste der E-Mail-Adressen (nur Option "E-Mail-Adressen für Google-Konto") | example@gmail.com | Aktualisieren Sie diese Richtlinie manuell, um die Google-E-Mail-Adressen von Geräteadministratoren anzugeben, die die Geräte nach dem Zurücksetzen entsperren können. |
| Gerätekennwort | Anzahl von Tagen bis zum Kennwortablauf | 365 | Organisationen müssen diese Einstellung möglicherweise entsprechend ihrer Kennwortrichtlinie aktualisieren. |
| Gerätekennwort | Anzahl erforderlicher Kennwörter, bevor ein Benutzer ein Kennwort wiederverwenden kann | 5 | Organisationen müssen diese Einstellung möglicherweise entsprechend ihrer Kennwortrichtlinie aktualisieren. |
| Gerätekennwort | Anzahl von fehlgeschlagenen Anmeldungen, bevor das Gerät zurückgesetzt wird | 5 | |
| Benutzer und Konten | Neue Benutzer hinzufügen | Blockieren | |
| Benutzer und Konten | Entfernen von Benutzern | Blockieren | |
| Benutzer und Konten | Persönliche Google-Konten | Blockieren | |
| Arbeitsprofilkennwort | Anzahl erforderlicher Kennwörter, bevor ein Benutzer ein Kennwort wiederverwenden kann | 5 | Organisationen müssen diese Einstellung möglicherweise entsprechend ihrer Kennwortrichtlinie aktualisieren. |
Vollständig verwaltete hohe Sicherheit (Stufe 3)
Stufe 3 ist die empfohlene Konfiguration für Folgendes:
- Organisationen mit großen und ausgereiften Sicherheitsabteilungen.
- Bestimmte Benutzer und Gruppen, die von Angreifern eindeutig ins Visier genommen werden.
Auf solche Organisationen wird oft von mit hohen finanziellen Mitteln und umfassenden Know-how ausgestatteten Angreifern abgezielt.
Diese Konfiguration erweitert die Stufe 2 um Folgendes:
- Sicherstellen, dass ein Gerät konform ist, indem die sicherste Microsoft Defender for Endpoint- oder mobile Bedrohungsschutzebene erzwungen wird.
- Erhöhen der Mindestversion des Betriebssystems.
- Erzwingen zusätzlicher Geräteeinschränkungen (z. B. Deaktivieren von unrededacted notifications on lock screen).
- Apps müssen immer auf dem neuesten Stand sein.
Die Einstellungen der Ebene 3 enthalten alle Richtlinieneinstellungen, die für Ebene 2 empfohlen werden. Die in den folgenden Abschnitten aufgeführten Einstellungen enthalten jedoch nur die Einstellungen, die hinzugefügt oder geändert werden. Diese Einstellungen können erhebliche Auswirkungen auf Benutzer oder Anwendungen haben. Sie erzwingen ein Sicherheitsniveau, das eher den Risiken entspricht, denen die anvisierten Organisationen ausgesetzt sind.
Gerätekonformität (Ebene 3)
| Abschnitt | Einstellung | Wert | Anmerkungen |
|---|---|---|---|
| Microsoft Defender für Endpunkt | Erfordern, dass das Gerät höchstens das angegebene Computerrisiko aufweist | Deaktivieren | Diese Einstellung erfordert Microsoft Defender für Endpunkt. Weitere Informationen finden Sie unter Erzwingen der Konformität für Microsoft Defender für Endpunkt mit bedingtem Zugriff in Intune. Kunden sollten die Implementierung von Microsoft Defender für Endpunkt oder einer Mobile Threat Defense-Lösung in Betracht ziehen. Es ist nicht erforderlich, beide bereitzustellen. |
| Geräteintegrität | Anfordern, dass das Gerät höchstens der angegebenen Gerätebedrohungsstufe entspricht | Gesichert | Diese Einstellung erfordert ein Mobile Threat Defense-Produkt. Weitere Informationen finden Sie unter Mobile Threat Defense für registrierte Geräte. Kunden sollten die Implementierung von Microsoft Defender für Endpunkt oder einer Mobile Threat Defense-Lösung in Betracht ziehen. Es ist nicht erforderlich, beide bereitzustellen. |
| Geräteeigenschaften | Minimale Version des Betriebssystems | Format: Major.Minor Beispiel: 11.0 |
Microsoft empfiehlt, die Mindesthauptversion für das Android-Betriebssystem so festzulegen, dass übereinstimmende unterstützte Android-Versionen von Microsoft-Apps verwendet werden können. OEMs und Geräte, die den Anforderungen für "Android Enterprise Recommended" entsprechen, müssen die aktuelle Versandversion und ein Upgrade auf die nächste Version unterstützen. Aktuell empfiehlt Android für Wissensarbeiter Android 9.0 und höher. Unter Anforderungen für "Android Enterprise Recommended" finden Sie die aktuellen Empfehlungen von Android. |
Geräteeinschränkungen (Ebene 3)
| Abschnitt | Einstellung | Wert | Anmerkungen |
|---|---|---|---|
| Allgemein | Datums- und Uhrzeitänderungen | Blockieren | |
| Allgemein | Tethering und Zugriff auf Hotspots | Blockieren | |
| Allgemein | Übertragen von Daten mithilfe von NFC (Arbeitsprofilebene) | Blockieren | |
| Allgemein | Suchen nach Arbeitskontakten und Anzeigen der Anrufer-ID des Arbeitskontakts im persönlichen Profil | Blockieren | |
| Gerätekennwort | Deaktivierte Sperrbildschirmfeatures | – Unredacted notifications (Unredacted notifications) – Vertrauens-Agents (Arbeitsprofilebene) |
|
| Anwendungen | Automatische App-Updates (Arbeitsprofilebene) | Immer | Organisationen sollten diese Einstellung bei Bedarf anpassen, da Datentarifgebühren auftreten können, wenn App-Updates über das Mobilfunknetz erfolgen. |
| Arbeitsprofilkennwort | Anzahl von fehlgeschlagenen Anmeldungen, bevor das Gerät zurückgesetzt wird | 5 | Organisationen müssen diese Einstellung möglicherweise entsprechend ihrer Kennwortrichtlinie aktualisieren. |
Verwandte Artikel
Konfigurieren von Sicherheitseinstellungen für persönliche Geräte