为了支持Microsoft零信任安全模型,本文提供了与 Microsoft Intune 配合使用的示例配置,以便为 Android Enterprise 个人拥有的移动用户配置设备符合性策略和设备限制策略。 这些示例包括符合零信任原则的设备安全配置级别。
使用这些示例时,请与安全团队协作,评估威胁环境、风险偏好,以及不同级别和配置对可用性的影响。 查看并调整示例以满足组织的需求后,实施环部署方法进行初始测试,然后进行生产使用。
有关每个策略设置的详细信息,请参阅:
注意
由于个人拥有的工作配置文件设备可以使用设置,因此没有基本安全 (级别 1) 产品/服务。 可用的设置不能说明级别 1 与级别 2 之间的差异。
以下部分中的表仅列出了这些示例中包含的设置。 未配置表中未列出的设置。
个人拥有的工作配置文件增强安全(2 级)
对于用户访问工作或学校数据的个人设备,建议的最低安全配置是级别 2。 此配置可应用于大多数移动用户。 某些控件可能会影响用户体验。
设备符合性 (级别 2)
| 节 | 设置 | 值 | 备注 |
|---|---|---|---|
| 设备运行状况 | 取得 root 权限的设备 | 阻止 | |
| 设备运行状况 | 配置 Google Play Services | 需要 | |
| 设备运行状况 | 最新的安全提供程序 | 需要 | |
| 设备运行状况 | 播放完整性判决 | 检查基本完整性 & 设备完整性 | 要求设备传递 Play 的基本完整性检查和设备完整性检查。 |
| 设备运行状况 | 使用硬件支持的安全功能检查强完整性 | 检查强完整性 | 要求设备传递 Play 的强完整性检查。 并非所有设备都支持这种类型的检查。 Intune 将此类设备标记为不符合。 |
| 设备属性 | 最低操作系统版本 | 格式:Major.Minor 示例:9.0 |
Microsoft 建议配置最低 Android 主要版本,以与 Microsoft 应用支持的 Android 版本匹配。 遵循 Android Enterprise 建议的要求的 OEM 和设备必须支持当前交付版本以及一字母升级版。 当前,Android 建议对知识工作者使用 Android 9.0 及更高版本。 有关 Android 的最新建议,请参阅 Android Enterprise 建议的要求。 |
| 系统安全 | 要求对设备上的数据存储进行加密 | 需要 | |
| 系统安全 | 阻止来自未知源的应用 | 阻止 | |
| 系统安全 | 公司门户应用运行时完整性 | 需要 | |
| 系统安全 | 在设备上阻止进行 USB 调试 | 阻止 | 虽然此设置阻止使用 USB 设备进行调试,但它也会禁用收集日志的功能,这对于故障排除非常有用。 |
| 系统安全 | 最低安全修补程序级别 | 未配置 | Android 设备可以接收每月安全修补程序,但发布取决于 OEM 和/或运营商。 组织应确保已部署的 Android 设备在实现此设置之前确实收到了安全更新程序。 有关最新的修补程序发布,请参阅 Android 安全公告。 |
| 系统安全 | 需要密码才可解锁移动设备 | 需要 | |
| 系统安全 | 所需密码类型 | 数字复杂度 | 组织可能需要更新此设置以匹配其密码策略。 |
| 系统安全 | 最短密码长度 | 6 | 组织可能需要更新此设置以匹配其密码策略。 |
| 系统安全 | 最长经过多少分钟的非活动状态后需要提供密码 | 5 | 组织可能需要更新此设置以匹配其密码策略。 |
| 针对不合规内容的操作 | 将设备标记为不符合 | 立即 | 默认情况下,此策略配置为将设备标记为不符合。 还可以执行其他操作。 有关详细信息,请参阅在 Intune 中为不符合要求的设备配置操作。 |
(级别 2) 的设备限制
| 节 | 设置 | 值 | 备注 |
|---|---|---|---|
| 工作配置文件设置 | 在工作配置文件和个人配置文件之间进行复制和粘贴 | 阻止 | |
| 工作配置文件设置 | 工作配置文件和个人配置文件之间的数据共享 | 工作配置文件中的应用可处理来自个人配置文件的共享请求 | |
| 工作配置文件设置 | 设备锁定时显示的工作配置文件通知 | 未配置 | 阻止此设置可确保敏感数据不会在工作配置文件通知中公开,这可能会影响可用性。 |
| 工作配置文件设置 | 默认应用权限 | 设备默认值 | 管理员需要查看和调整他们正在部署的应用授予的权限。 |
| 工作配置文件设置 | 添加和删除帐户 | 阻止 | |
| 工作配置文件设置 | 通过蓝牙共享联系人 | 启用 | 默认情况下,其他设备(如通过蓝牙集成汽车)上无法访问工作联系人。 启用此设置可改进免手动用户体验。 但是,蓝牙设备可能会在第一次连接时缓存联系人。 在实现此设置时,组织应考虑平衡可用性方案和数据保护问题。 |
| 工作配置文件设置 | 屏幕捕获 | 阻止 | |
| 工作配置文件设置 | 从个人配置文件中搜索工作联系人 | 未配置 | 阻止用户从个人个人资料访问工作联系人可能会影响某些可用性方案,例如个人配置文件中的短信和拨号器体验。 在实现此设置时,组织应考虑平衡可用性方案和数据保护问题。 |
| 工作配置文件设置 | 允许来自工作配置文件应用的小组件 | 启用 | |
| 工作配置文件设置 | 需要工作配置文件密码 | 需要 | |
| 工作配置文件设置 | 最短密码长度 | 6 | 组织可能需要更新此设置以匹配其密码策略。 |
| 工作配置文件设置 | 最长经过多少分钟的非活动状态后锁定工作配置文件 | 5 | 组织可能需要更新此设置以匹配其密码策略。 |
| 工作配置文件设置 | 登录失败多少次后擦除工作配置文件 | 10 | 组织可能需要更新此设置以匹配其密码策略。 |
| 工作配置文件设置 | 密码过期(天数) | 未配置 | 组织可能需要更新此设置以匹配其密码策略。 |
| 工作配置文件设置 | 所需密码类型 | 数字复杂度 | |
| 工作配置文件设置 | 防止重用以前的密码 | 未配置 | 组织可能需要更新此设置以匹配其密码策略。 |
| 设备密码 | 最短密码长度 | 6 | 组织可能需要更新此设置以匹配其密码策略。 |
| 设备密码 | 最长经过多少分钟的非活动状态后锁定屏幕 | 5 | 组织可能需要更新此设置以匹配其密码策略。 |
| 设备密码 | 登录失败多少次后擦除设备 | 10 | 此设置触发的是工作配置文件擦除,而不是设备擦除。 |
| 设备密码 | 密码过期(天数) | 未配置 | 组织可能需要更新此设置以匹配其密码策略。 |
| 设备密码 | 所需密码类型 | 数字复杂度 | |
| 设备密码 | 防止重用以前的密码 | 未配置 | 组织可能需要更新此设置以匹配其密码策略。 |
| 系统安全 | 对应用进行威胁扫描 | 需要 | 此设置确保为最终用户设备启用 Google 的“验证应用”扫描。 如果已配置,则会阻止最终用户访问,直到他们在 Android 设备上打开 Google 的应用扫描。 |
| 系统安全 | 防止在个人配置文件中安装来自未知源的应用 | 阻止 |
注意
启用个人拥有的工作配置文件后,默认情况下会将“一个锁”配置为组合设备和工作配置文件密码。 如有必要,可以在工作配置文件设置下禁用一个锁来分隔工作配置文件和设备密码。 有关详细信息,请查看 Android Enterprise 个人拥有设备的“工作配置文件密码”部分中的“设备和工作配置文件的一个锁”设置。
个人拥有的工作配置文件高安全性(级别 3)
对于风险特别高的用户或组使用的设备,建议的配置是级别 3。 例如,处理高度敏感数据的用户未经授权披露这些数据会造成相当大的物质损失。 一个组织可能成为资金雄厚的老练对手的目标,值得额外的约束。
此配置通过以下方式扩展了级别 2 中的配置:
- 实现移动威胁防御或Microsoft Defender for Endpoint。
- 限制个人拥有的工作配置文件数据方案。
- 制定更强的密码策略。
级别 3 设置包括建议用于级别 2 的所有策略设置。 但是,以下部分中列出的设置仅包括添加或更改的设置。 这些设置可能会对用户或应用程序产生重大影响。 它们执行更适合于目标组织所面临风险的安全性级别。
设备符合性 (级别 3)
| 节 | 设置 | 值 | 备注 |
|---|---|---|---|
| Microsoft Defender for Endpoint | 要求设备不超过计算机风险评分 | Clear | 此设置需要 Microsoft Defender for Endpoint。 有关详细信息,请参阅在 Intune 中使用条件访问强制执行 Microsoft Defender for Endpoint 的合规性。 客户应考虑实现 Microsoft Defender for Endpoint 或移动威胁防御解决方案。 不需要同时部署这两者。 |
| 设备运行状况 | 要求设备不高于设备威胁级别 | 安全 | 此设置需要移动威胁防御产品。 有关详细信息,请参阅适用于已注册设备的移动威胁防御。 客户应考虑实现 Microsoft Defender for Endpoint 或移动威胁防御解决方案。 不需要同时部署这两者。 |
| 设备属性 | 最低操作系统版本 | 格式:Major.Minor 示例:11.0 |
Microsoft 建议配置最低 Android 主要版本,以与 Microsoft 应用支持的 Android 版本匹配。 遵循 Android Enterprise 建议的要求的 OEM 和设备必须支持当前交付版本以及一字母升级版。 当前,Android 建议对知识工作者使用 Android 9.0 及更高版本。 有关 Android 的最新建议,请参阅 Android Enterprise 建议的要求。 |
| 系统安全 | 密码还剩多少天到期 | 365 | 组织可能需要更新此设置以匹配其密码策略。 |
| 系统安全 | 阻止使用的旧密码的数量 | 5 | 组织可能需要更新此设置以匹配其密码策略。 |
(级别 3) 的设备限制
| 节 | 设置 | 值 | 备注 |
|---|---|---|---|
| 工作配置文件设置 | 设备锁定时显示的工作配置文件通知 | 阻止 | 阻止此设置可确保敏感数据不会在工作配置文件通知中公开,这可能会影响可用性。 |
| 工作配置文件设置 | 通过蓝牙共享联系人 | 未配置 | 默认情况下,其他设备(如通过蓝牙集成汽车)上无法访问工作联系人。 启用此设置可改进免手动用户体验。 但是,蓝牙设备可能会在第一次连接时缓存联系人。 在实现此设置时,组织应考虑平衡可用性方案和数据保护问题。 |
| 工作配置文件设置 | 从个人配置文件中搜索工作联系人 | 阻止 | 阻止用户从个人个人资料访问工作联系人可能会影响某些可用性方案,例如个人配置文件中的短信和拨号器体验。 在实现此设置时,组织应考虑平衡可用性方案和数据保护问题。 |
| 工作配置文件设置 | 允许来自工作配置文件应用的小组件 | 未配置 | |
| 工作配置文件设置 | 登录失败多少次后擦除工作配置文件 | 5 | 组织可能需要更新此设置以匹配其密码策略。 |
| 工作配置文件设置 | 密码过期(天数) | 365 | 组织可能需要更新此设置以匹配其密码策略。 |
| 工作配置文件设置 | 防止重用以前的密码 | 5 | 组织可能需要更新此设置以匹配其密码策略。 |
| 工作配置文件设置 | Smart Lock 和其他信任代理 | 阻止 | |
| 设备密码 | 登录失败多少次后擦除设备 | 5 | 此设置触发的是工作配置文件擦除,而不是设备擦除。 |
| 设备密码 | 密码过期(天数) | 365 | 组织可能需要更新此设置以匹配其密码策略。 |
| 设备密码 | 防止重用以前的密码 | 5 | 组织可能需要更新此设置以匹配其密码策略。 |