Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W celu obsługi modelu zabezpieczeń Zero Trust firmy Microsoft ten artykuł zawiera przykładowe konfiguracje do użycia z usługą Microsoft Intune w celu skonfigurowania zasad zgodności urządzeń i zasad ograniczeń urządzeń dla w pełni zarządzanych użytkowników urządzeń przenośnych z systemem Android Enterprise. Te przykłady obejmują poziomy konfiguracji zabezpieczeń urządzeń, które są zgodne z zasadami Zero Trust.
Korzystając z tych przykładów, skontaktuj się z zespołem ds. zabezpieczeń, aby ocenić środowisko zagrożeń, apetyt na ryzyko oraz wpływ różnych poziomów i konfiguracji na użyteczność. Po przejrzeniu i dostosowaniu przykładów w celu spełnienia potrzeb organizacji zaimplementuj podejście do wdrażania pierścienia na potrzeby wstępnego testowania, po którym następuje użycie produkcyjne.
Aby uzyskać więcej informacji na temat każdego ustawienia zasad, zobacz:
- Ustawienia systemu Android Enterprise umożliwiające oznaczenie urządzeń jako zgodnych lub niezgodnych przy użyciu usługi Intune
- Ustawienia urządzenia z systemem Android Enterprise umożliwiające lub ograniczające funkcje na urządzeniach osobistych przy użyciu usługi Intune
W pełni zarządzane podstawowe zabezpieczenia (poziom 1)
Poziom 1 to zalecana minimalna konfiguracja zabezpieczeń dla urządzeń przenośnych należących do organizacji.
Zasady na poziomie 1 wymuszają rozsądny poziom dostępu do danych przy jednoczesnym zminimalizowaniu wpływu na użytkowników przez:
- Wymuszanie zasad haseł
- Wymaganie minimalnej wersji systemu operacyjnego
- Wyłączanie niektórych funkcji urządzenia (takich jak transfery plików USB)
Tabele w poniższych sekcjach zawierają tylko ustawienia uwzględnione w tych przykładach. Ustawienia, które nie są wymienione w tabelach, nie są skonfigurowane.
Zgodność urządzeń (poziom 1)
| Sekcja | Ustawienie | Value | Uwagi |
|---|---|---|---|
| Kondycja urządzenia | Werdykt integralności odtwarzania | Sprawdzanie podstawowej integralności | To ustawienie wymaga, aby urządzenia przeszły podstawowe sprawdzanie integralności interfejsu API integralności Google Play. Sprawdza, czy urządzenie jest w rozsądnym stanie bezpieczeństwa, co oznacza, że nie jest ono zakorzenione ani nie uruchamia niestandardowego romu. |
| Właściwości urządzenia | Minimalna wersja systemu operacyjnego | Format: Major.Minor Przykład: 9.0 |
Firma Microsoft zaleca skonfigurowanie minimalnej wersji głównej systemu Android zgodnej z obsługiwanymi wersjami systemu Android dla aplikacji firmy Microsoft. Oprogramowanie OEM i urządzenia zgodne z wymaganiami zalecanymi dla systemu Android Enterprise muszą obsługiwać bieżącą wersję wysyłkową i uaktualnienie jednoliterowe. Obecnie firma Android zaleca korzystanie z systemu Android 9.0 i nowszych wersji w przypadku pracowników intelektualnych. Najnowsze zalecenia dotyczące systemu Android można znaleźć w temacie Android Enterprise Recommended requirements (Zalecane wymagania dotyczące systemu Android Enterprise). |
| Właściwości urządzenia | Minimalny poziom poprawek zabezpieczeń | Nie skonfigurowano | Urządzenia z systemem Android mogą otrzymywać miesięczne poprawki zabezpieczeń, ale wersja jest zależna od OEM i/lub operatorów. Organizacje powinny upewnić się, że wdrożone urządzenia z systemem Android otrzymują aktualizacje zabezpieczeń przed zaimplementowaniem tego ustawienia. Aby uzyskać najnowsze wersje poprawek, zobacz Biuletyny zabezpieczeń systemu Android. |
| Zabezpieczenia systemu | Wymagaj hasła do odblokowania urządzeń przenośnych | Wymagać | |
| Zabezpieczenia systemu | Wymagany typ hasła | Kompleks liczbowy | Organizacje mogą wymagać zaktualizowania tego ustawienia w celu dopasowania ich zasad haseł. |
| Zabezpieczenia systemu | Minimalna długość hasła | 6 | Organizacje mogą wymagać zaktualizowania tego ustawienia w celu dopasowania ich zasad haseł. |
| Zabezpieczenia systemu | Maksymalna liczba minut braku aktywności przed wymaganiem hasła | 5 | Organizacje mogą wymagać zaktualizowania tego ustawienia w celu dopasowania ich zasad haseł. |
| Zabezpieczenia systemu | Wymagaj szyfrowania magazynu danych na urządzeniu | Wymagać | |
| Zabezpieczenia systemu | Integralność środowiska uruchomieniowego aplikacji usługi Intune | Wymagać | |
| Akcje dotyczące niezgodności | Oznaczanie niezgodnego urządzenia | Natychmiast | Domyślnie zasady są skonfigurowane tak, aby oznaczyć urządzenie jako niezgodne. Dostępne są dodatkowe akcje. Aby uzyskać więcej informacji, zobacz Konfigurowanie akcji dla niezgodnych urządzeń w usłudze Intune. |
Ograniczenia dotyczące urządzeń (poziom 1)
| Sekcja | Ustawienie | Value | Uwagi |
|---|---|---|---|
| Ogólne | Domyślne zasady uprawnień (na poziomie profilu służbowego) | Domyślne urządzenie | |
| Ogólne | Transfer plików USB | Blokuj | |
| Ogólne | Nośniki zewnętrzne | Blokuj | |
| Ogólne | Fabrycznych | Blokuj | |
| Ogólne | Udostępnianie danych między profilami służbowymi i osobistymi | Domyślne urządzenie | |
| Zabezpieczenia systemu | Skanowanie zagrożeń w aplikacjach | Wymagać | |
| Środowisko urządzenia | Typ profilu rejestracji | W pełni zarządzane | |
| Środowisko urządzenia | Typ środowiska urządzenia | Nie skonfigurowano | Organizacje mogą zaimplementować program Microsoft Launcher, aby zapewnić spójne środowisko ekranu głównego na w pełni zarządzanych urządzeniach. Aby uzyskać więcej informacji, zobacz How to Setup Microsoft Launcher on Android Enterprise Fully Managed Devices with Intune (Jak skonfigurować program Microsoft Launcher na w pełni zarządzanych urządzeniach z systemem Android Enterprise w usłudze Intune). |
| Hasło urządzenia | Wymagany typ hasła | Zespoloną liczbą | |
| Hasło urządzenia | Minimalna długość hasła | 6 | |
| Hasło urządzenia | Liczba błędów logowania przed wyczyszczeniem urządzenia | 10 | |
| Ustawienia zasilania | Czas blokady ekranu (na poziomie profilu służbowego) | 5 min | |
| Użytkownicy i konta | Użytkownik może skonfigurować poświadczenia (na poziomie profilu służbowego) | Blokuj | |
| Aplikacje | Automatyczne aktualizacje aplikacji (na poziomie profilu służbowego) | tylko Wi-Fi | Organizacje powinny dostosować to ustawienie w razie potrzeby, gdy opłaty za plan danych mogą wystąpić, jeśli aktualizacje aplikacji będą występować za pośrednictwem sieci komórkowej. |
| Aplikacje | Zezwalaj na dostęp do wszystkich aplikacji w sklepie Google Play | Nie skonfigurowano | Domyślnie użytkownicy nie mogą instalować aplikacji osobistych ze Sklepu Google Play na w pełni zarządzanych urządzeniach. Jeśli organizacje chcą zezwolić na używanie w pełni zarządzanych urządzeń do użytku osobistego, rozważ zmianę tego ustawienia. |
| Hasło profilu służbowego | Wymagany typ hasła | Zespoloną liczbą | Organizacje mogą wymagać zaktualizowania tego ustawienia w celu dopasowania ich zasad haseł. |
| Hasło profilu służbowego | Minimalna długość hasła | 6 | Organizacje mogą wymagać zaktualizowania tego ustawienia w celu dopasowania ich zasad haseł. |
| Hasło profilu służbowego | Liczba błędów logowania przed wyczyszczeniem urządzenia | 10 | Organizacje mogą wymagać zaktualizowania tego ustawienia w celu dopasowania ich zasad haseł. |
W pełni zarządzane rozszerzone zabezpieczenia (poziom 2)
Poziom 2 to zalecana konfiguracja dla urządzeń należących do firmy, na których użytkownicy uzyskują dostęp do bardziej poufnych informacji. Urządzenia te są obecnie naturalnym celem w przedsiębiorstwach. Te ustawienia nie zakładają dużego personelu wysoko wykwalifikowanego personelu ds. zabezpieczeń. W związku z tym powinny być dostępne dla większości organizacji korporacyjnych. Ta konfiguracja rozszerza konfigurację na poziomie 1, wprowadzając silniejsze zasady haseł i wyłączając możliwości użytkownika/konta.
Ustawienia poziomu 2 obejmują wszystkie ustawienia zasad zalecane dla poziomu 1. Jednak ustawienia wymienione w poniższych sekcjach obejmują tylko te ustawienia, które zostały dodane lub zmienione. Te ustawienia mogą mieć nieco większy wpływ na użytkowników lub aplikacje. Wymuszają one poziom zabezpieczeń bardziej odpowiedni dla zagrożeń dla użytkowników mających dostęp do poufnych informacji na urządzeniach przenośnych.
Zgodność urządzeń (poziom 2)
| Sekcja | Ustawienie | Value | Uwagi |
|---|---|---|---|
| Zabezpieczenia systemu | Liczba dni do wygaśnięcia hasła | 365 | Organizacje mogą wymagać zaktualizowania tego ustawienia w celu dopasowania ich zasad haseł. |
| Zabezpieczenia systemu | Liczba haseł wymaganych przed ponownym użyciem hasła przez użytkownika | 5 | Organizacje mogą wymagać zaktualizowania tego ustawienia w celu dopasowania ich zasad haseł. |
| Kondycja urządzenia | Werdykt integralności odtwarzania | Sprawdzanie integralności podstawowej & integralności urządzenia | Wymagaj od urządzeń przekazania podstawowego sprawdzania integralności i sprawdzania integralności urządzeń w usłudze Play. |
| Kondycja urządzenia | Sprawdzanie silnej integralności przy użyciu funkcji zabezpieczeń opartych na sprzęcie | Sprawdzanie silnej integralności | Wymagaj, aby urządzenia przeszły test silnej integralności usługi Play. Nie wszystkie urządzenia obsługują tego typu sprawdzanie. Usługa Intune oznacza takie urządzenia jako niezgodne. |
Ograniczenia dotyczące urządzeń (poziom 2)
| Sekcja | Ustawienie | Value | Uwagi |
|---|---|---|---|
| Ogólne | Wiadomości e-mail dotyczące ochrony przed resetowaniem do ustawień fabryczn | Adresy e-mail konta Google | |
| Ogólne | Lista adresów e-mail (tylko opcja adresów e-mail konta Google) | example@gmail.com | Ręcznie zaktualizuj te zasady, aby określić adresy e-mail google administratorów urządzeń, którzy mogą odblokować urządzenia po ich wyczyszczoniu. |
| Hasło urządzenia | Liczba dni do wygaśnięcia hasła | 365 | Organizacje mogą wymagać zaktualizowania tego ustawienia w celu dopasowania ich zasad haseł. |
| Hasło urządzenia | Liczba haseł wymaganych przed ponownym użyciem hasła przez użytkownika | 5 | Organizacje mogą wymagać zaktualizowania tego ustawienia w celu dopasowania ich zasad haseł. |
| Hasło urządzenia | Liczba błędów logowania przed wyczyszczeniem urządzenia | 5 | |
| Użytkownicy i konta | Dodawanie nowych użytkowników. | Blokuj | |
| Użytkownicy i konta | Usuwanie użytkownika | Blokuj | |
| Użytkownicy i konta | Osobiste konta Google | Blokuj | |
| Hasło profilu służbowego | Liczba haseł wymaganych przed ponownym użyciem hasła przez użytkownika | 5 | Organizacje mogą wymagać zaktualizowania tego ustawienia w celu dopasowania ich zasad haseł. |
W pełni zarządzane wysokie zabezpieczenia (poziom 3)
Poziom 3 to zalecana konfiguracja dla obu tych elementów:
- Organizacje z dużymi i zaawansowanymi organizacjami zabezpieczeń.
- Konkretni użytkownicy i grupy, którzy są unikatowo celem ataków.
Takie organizacje są zazwyczaj celem dobrze finansowanych i zaawansowanych przeciwników.
Ta konfiguracja jest rozszerzana na poziomie 2 o:
- Zapewnienie zgodności urządzenia przez wymuszanie najbezpieczniejszego poziomu Ochrona punktu końcowego w usłudze Microsoft Defender lub ochrony przed zagrożeniami mobilnymi.
- Zwiększenie minimalnej wersji systemu operacyjnego.
- Wymuszanie dodatkowych ograniczeń dotyczących urządzeń (takich jak wyłączanie niezredagowanych powiadomień na ekranie blokady).
- Wymaganie, aby aplikacje były zawsze aktualne.
Ustawienia poziomu 3 obejmują wszystkie ustawienia zasad zalecane dla poziomu 2. Jednak ustawienia wymienione w poniższych sekcjach obejmują tylko te ustawienia, które zostały dodane lub zmienione. Te ustawienia mogą mieć znaczący wpływ na użytkowników lub aplikacje. Wymuszają one poziom zabezpieczeń bardziej odpowiedni dla zagrożeń, przed którymi stoją organizacje docelowe.
Zgodność urządzeń (poziom 3)
| Sekcja | Ustawienie | Value | Uwagi |
|---|---|---|---|
| Ochrona punktu końcowego w usłudze Microsoft Defender | Wymagaj, aby urządzenie było na poziomie lub poniżej oceny ryzyka maszyny | Jasny | To ustawienie wymaga Ochrona punktu końcowego w usłudze Microsoft Defender. Aby uzyskać więcej informacji, zobacz Wymuszanie zgodności dla Ochrona punktu końcowego w usłudze Microsoft Defender z dostępem warunkowym w usłudze Intune. Klienci powinni rozważyć zaimplementowanie Ochrona punktu końcowego w usłudze Microsoft Defender lub rozwiązania do ochrony przed zagrożeniami mobilnymi. Wdrożenie obu tych elementów nie jest konieczne. |
| Kondycja urządzenia | Wymagaj, aby urządzenie było na poziomie zagrożenia urządzenia lub na jego poziomie | Zabezpieczone | To ustawienie wymaga produktu mobile threat defense. Aby uzyskać więcej informacji, zobacz Mobile Threat Defense for enrolled devices (Usługa Mobile Threat Defense dla zarejestrowanych urządzeń). Klienci powinni rozważyć zaimplementowanie Ochrona punktu końcowego w usłudze Microsoft Defender lub rozwiązania do ochrony przed zagrożeniami mobilnymi. Wdrożenie obu tych elementów nie jest konieczne. |
| Właściwości urządzenia | Minimalna wersja systemu operacyjnego | Format: Major.Minor Przykład: 11.0 |
Firma Microsoft zaleca skonfigurowanie minimalnej wersji głównej systemu Android zgodnej z obsługiwanymi wersjami systemu Android dla aplikacji firmy Microsoft. Oprogramowanie OEM i urządzenia zgodne z wymaganiami zalecanymi dla systemu Android Enterprise muszą obsługiwać bieżącą wersję wysyłkową i uaktualnienie jednoliterowe. Obecnie firma Android zaleca korzystanie z systemu Android 9.0 i nowszych wersji w przypadku pracowników intelektualnych. Najnowsze zalecenia dotyczące systemu Android można znaleźć w temacie Android Enterprise Recommended requirements (Zalecane wymagania dotyczące systemu Android Enterprise). |
Ograniczenia dotyczące urządzeń (poziom 3)
| Sekcja | Ustawienie | Value | Uwagi |
|---|---|---|---|
| Ogólne | Zmiany daty i godziny | Blokuj | |
| Ogólne | Uwięzi i dostęp do hotspotów | Blokuj | |
| Ogólne | Przesyłanie danych za pomocą funkcji NFC (poziom profilu służbowego) | Blokuj | |
| Ogólne | Wyszukaj kontakty służbowe i wyświetl identyfikator osoby dzwoniącej do kontaktu służbowego w profilu osobistym | Blokuj | |
| Hasło urządzenia | Wyłączone funkcje ekranu blokady | — Niezredagowane powiadomienia - Agenci zaufania (na poziomie profilu służbowego) |
|
| Aplikacje | Automatyczne aktualizacje aplikacji (na poziomie profilu służbowego) | Zawsze | Organizacje powinny dostosować to ustawienie w razie potrzeby, gdy opłaty za plan danych mogą wystąpić, jeśli aktualizacje aplikacji będą występować za pośrednictwem sieci komórkowej. |
| Hasło profilu służbowego | Liczba błędów logowania przed wyczyszczeniem urządzenia | 5 | Organizacje mogą wymagać zaktualizowania tego ustawienia w celu dopasowania ich zasad haseł. |
Artykuły pokrewne
Konfigurowanie ustawień zabezpieczeń dla urządzeń należących do użytkownika