Udostępnij za pośrednictwem


Ustawienia zgodności urządzeń dla systemu Android Enterprise w Intune

W tym artykule wymieniono i opisano różne ustawienia zgodności, które można skonfigurować na urządzeniach z systemem Android Enterprise w Intune. W ramach rozwiązania do zarządzania urządzeniami przenośnymi (MDM) użyj tych ustawień, aby oznaczyć urządzenia odblokowane jako niezgodne, ustawić dozwolony poziom zagrożenia, włączyć funkcję Google Play Protect i nie tylko.

Ta funkcja ma zastosowanie do:

  • Android Enterprise

Jako administrator Intune użyj tych ustawień zgodności, aby chronić zasoby organizacji. Aby dowiedzieć się więcej na temat zasad zgodności i ich działania, zobacz Wprowadzenie do zgodności urządzeń.

Ważna

Ważne jest, aby kierować zasady zgodności dla dedykowanych urządzeń w grupach urządzeń, a nie na użytkowników. Zasady zgodności zostaną ocenione względem urządzenia i odpowiednio odzwierciedlą stan zgodności w Intune. Aby umożliwić użytkownikom na dedykowanych urządzeniach logowanie się do zasobów chronionych przez zasady dostępu warunkowego, rozważ użycie dedykowanych urządzeń z systemem Android Enterprise z Microsoft Entra trybie urządzenia udostępnionego. W scenariuszach z w pełni zarządzanymi urządzeniami lub profilami służbowymi należącymi do firmy można kierować zasady zgodności do grup użytkowników lub urządzeń.

Użytkownicy urządzeń dedykowanych zarejestrowanych bez Microsoft Entra trybu urządzenia udostępnionego nie mogą logować się do zasobów chronionych przez zasady dostępu warunkowego, nawet jeśli urządzenie jest zgodne w Intune. Aby dowiedzieć się więcej na temat trybu urządzenia udostępnionego, zobacz Omówienie trybu urządzenia udostępnionego w dokumentacji Microsoft Entra.

Przed rozpoczęciem

Utwórz zasady zgodności urządzeń, aby uzyskać dostęp do dostępnych ustawień. W obszarze Platforma wybierz pozycję Android Enterprise.

W pełni zarządzany, dedykowany i należący do firmy profil służbowy

W tej sekcji opisano ustawienia profilu zgodności dostępne dla w pełni zarządzanych urządzeń, dedykowanych urządzeń i urządzeń należących do firmy z profilami służbowymi. Kategorie ustawień obejmują:

  • Ochrona punktu końcowego w usłudze Microsoft Defender
  • Kondycja urządzenia
  • Właściwości urządzenia
  • Zabezpieczenia systemu

Ochrona punktu końcowego w usłudze Microsoft Defender

  • Wymagaj, aby urządzenie było na poziomie lub poniżej oceny ryzyka maszyny

    Wybierz maksymalną dozwoloną ocenę ryzyka maszyny dla urządzeń ocenianych przez Ochrona punktu końcowego w usłudze Microsoft Defender. Urządzenia, które przekraczają ten wynik, są oznaczone jako niezgodne.

    • Nie skonfigurowano (wartość domyślna)
    • Jasny
    • Niski
    • Średnie
    • High (Wysoki)

Uwaga

Ochrona punktu końcowego w usłudze Microsoft Defender mogą nie być obsługiwane we wszystkich typach rejestracji systemu Android Enterprise. Dowiedz się więcej o obsługiwanych scenariuszach.

Kondycja urządzenia

  • Wymagaj, aby urządzenie było na poziomie zagrożenia urządzenia lub na jego poziomie
    Wybierz maksymalny dozwolony poziom zagrożenia urządzenia oceniany przez usługę ochrony przed zagrożeniami mobilnymi. Urządzenia, które przekraczają ten poziom zagrożenia, są oznaczone jako niezgodne. Aby użyć tego ustawienia, wybierz dozwolony poziom zagrożenia:

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Zabezpieczone — ta opcja jest najbezpieczniejsza i oznacza, że urządzenie nie może mieć żadnych zagrożeń. Jeśli urządzenie zostanie wykryte z dowolnym poziomem zagrożeń, zostanie ocenione jako niezgodne.
    • Niski: — urządzenie jest oceniane jako zgodne, jeśli występują tylko zagrożenia niskiego poziomu. Jakiekolwiek zagrożenia wyższego poziomu spowodują, że urządzenie będzie miało status urządzenia niezgodnego.
    • Średni — urządzenie jest oceniane jako zgodne, jeśli zagrożenia występujące na urządzeniu są na niskim lub średnim poziomie. Jeśli wykryto, że urządzenie ma zagrożenia wysokiego poziomu, zostanie ono uznane za niezgodne.
    • Wysoki — ta opcja jest najmniej bezpieczna, ponieważ zezwala na wszystkie poziomy zagrożeń. Może to być przydatne, jeśli używasz tego rozwiązania tylko do celów raportowania.

Uwaga

Wszyscy dostawcy usługi Mobile Threat Defense (MTD) są obsługiwani we wdrożeniach w pełni zarządzanych, dedykowanych i Corporate-Owned profilu służbowego systemu Android Enterprise przy użyciu konfiguracji aplikacji. Skontaktuj się z dostawcą usługi MTD, aby uzyskać dokładną konfigurację potrzebną do obsługi platform w pełni zarządzanych, dedykowanych i Corporate-Owned profilu służbowego systemu Android Enterprise w Intune.

Google Play Protect

Ważna

Usługa Google Play Protect działa w lokalizacjach, w których są dostępne usługi Google Mobile Services. Urządzenia działające w regionach lub krajach, w których usługi Google Mobile Services nie są dostępne, nie będą oceny ustawień zasad zgodności usługi Google Play Protect. Aby uzyskać więcej informacji, zobacz Zarządzanie urządzeniami z systemem Android, na których usługi Google Mobile Services nie są dostępne.

  • Werdykt integralności odtwarzania
    Wybierz typ sprawdzania integralności, który urządzenia muszą przejść, aby zachować zgodność. Intune ocenia werdykt dotyczący integralności gry w celu określenia zgodności. Dostępne opcje:

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Sprawdź podstawową integralność: wymagaj od urządzeń przekazania podstawowego sprawdzania integralności usługi Play.
    • Sprawdź podstawową integralność & integralności urządzenia: wymagaj od urządzeń przekazania podstawowego sprawdzania integralności i sprawdzania integralności urządzeń w usłudze Play.
  • Sprawdzanie silnej integralności przy użyciu funkcji zabezpieczeń opartych na sprzęcie
    Opcjonalnie możesz wymagać od urządzeń sprawdzenia silnej integralności. To ustawienie jest dostępne tylko wtedy, gdy wymagane są podstawowe kontrole integralności lub sprawdzanie integralności urządzenia. Dostępne opcje:

    • Nie skonfigurowano (wartość domyślna) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności. Intune domyślnie ocenia werdykt z podstawowej kontroli integralności.
    • Sprawdzanie silnej integralności — wymagaj, aby urządzenia przeszły test silnej integralności odtwarzania. Nie wszystkie urządzenia obsługują tego typu sprawdzanie. Intune oznacza takie urządzenia jako niezgodne.

    Aby uzyskać więcej informacji na temat usług integralności sklepu Google Play, zobacz następujące dokumenty dla deweloperów systemu Android:

Właściwości urządzenia

Wersja systemu operacyjnego

  • Minimalna wersja systemu operacyjnego
    Jeśli urządzenie nie spełnia wymagań dotyczących minimalnej wersji systemu operacyjnego, jest zgłaszane jako niezgodne. Użytkownicy urządzeń widzą link z informacjami o sposobie uaktualniania systemu operacyjnego. Mogą uaktualnić swoje urządzenie, a następnie uzyskać dostęp do zasobów organizacji.

    Domyślnie żadna wersja nie jest skonfigurowana.

  • Maksymalna wersja systemu operacyjnego
    Gdy urządzenie korzysta z wersji systemu operacyjnego nowszej niż wersja w regule, dostęp do zasobów organizacji jest blokowany. Użytkownik jest proszony o kontakt z administratorem IT. Dopóki reguła nie zostanie zmieniona w celu zezwolenia na wersję systemu operacyjnego, to urządzenie nie może uzyskać dostępu do zasobów organizacji.

    Domyślnie żadna wersja nie jest skonfigurowana.

  • Minimalny poziom poprawek zabezpieczeń
    Wybierz najstarszy poziom poprawki zabezpieczeń, jaki może mieć urządzenie. Urządzenia, które nie są co najmniej na tym poziomie poprawki, są niezgodne. Datę należy wprowadzić w formacie RRRR-MM-DD.

    Domyślnie nie skonfigurowano daty.

Zabezpieczenia systemu

  • Wymagaj hasła do odblokowania urządzeń przenośnych

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — użytkownicy muszą wprowadzić hasło, aby mogli uzyskać dostęp do swojego urządzenia.
  • Wymagany typ hasła
    Określ, czy hasło powinno zawierać tylko znaki liczbowe lub kombinację cyfr i innych znaków. Dostępne opcje:

    • Domyślne urządzenie — aby ocenić zgodność haseł, wybierz siłę hasła inną niż Domyślna wartość urządzenia. System operacyjny może domyślnie nie wymagać hasła urządzenia, dlatego lepiej wybrać inny typ hasła, aby zapewnić większą kontrolę i spójność na wszystkich urządzeniach.
    • Wymagane hasło, bez ograniczeń
    • Słabe dane biometryczne — aby uzyskać więcej informacji na temat tego typu hasła, zobacz silne i słabe dane biometryczne (otwiera blog deweloperów systemu Android).
    • Numeryczne (domyślne) — hasło musi być tylko liczbami, takimi jak 123456789.
    • Złożona liczba — powtarzające się lub kolejne cyfry, takie jak 1111 lub 1234, są niedozwolone.
    • Alfabetyczne — litery w alfabecie są wymagane. Liczby i symbole nie są wymagane.
    • Alfanumeryczne — zawiera wielkie litery, małe litery i znaki liczbowe.
    • Alfanumeryczne z symbolami — zawiera wielkie litery, małe litery, znaki liczbowe, znaki interpunkcyjne i symbole.

    Inne ustawienia różnią się w zależności od typu hasła. W stosownych przypadkach zostaną wyświetlone następujące ustawienia:

    • Minimalna długość hasła
      Wprowadź minimalną długość hasła z zakresu od 4 do 16 znaków.

    • Wymagana liczba znaków
      Wprowadź liczbę znaków, które musi zawierać hasło, od 0 do 16 znaków.

    • Wymagana liczba małych liter
      Wprowadź liczbę małych liter, które musi zawierać hasło, od 0 do 16 znaków.

    • Wymagana liczba wielkich liter
      Wprowadź liczbę wielkich liter, które musi zawierać hasło, od 0 do 16 znaków.

    • Wymagana liczba znaków innych niż litery
      Wprowadź liczbę liter innych niż litery w alfabecie, które musi zawierać hasło z zakresu od 0 do 16 znaków.

    • Wymagana liczba znaków liczbowych
      Wprowadź liczbę znaków liczbowych (1, 2, 3i tak dalej) hasło musi zawierać od 0 do 16 znaków.

    • Wymagana liczba znaków symboli
      Wprowadź liczbę znaków symboli (&, #, %i tak dalej) hasło musi zawierać od 0 do 16 znaków.

    • Maksymalna liczba minut braku aktywności przed wymaganiem hasła
      Wprowadź czas bezczynności, zanim użytkownik będzie musiał ponownie wprowadzić hasło. Opcje obejmują wartość domyślną Nieskonfigurowane i od 1 minuty do 8 godzin.

    • Liczba dni do wygaśnięcia hasła
      Wprowadź liczbę dni od 1 do 365 do momentu zmiany hasła urządzenia. Aby na przykład wymagać zmiany hasła po 60 dniach, wprowadź wartość 60. Gdy hasło wygaśnie, użytkownicy będą monitować o utworzenie nowego hasła.

      Domyślnie żadna wartość nie jest skonfigurowana.

    • Liczba haseł wymaganych przed ponownym użyciem hasła przez użytkownika
      Wprowadź liczbę ostatnio używanych haseł, których nie można użyć ponownie z zakresu od 1 do 24. Użyj tego ustawienia, aby ograniczyć użytkownikowi możliwość tworzenia wcześniej używanych haseł.

      Domyślnie żadna wersja nie jest skonfigurowana.

Szyfrowanie

  • Wymagaj szyfrowania magazynu danych na urządzeniu

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — szyfrowanie magazynu danych na urządzeniach.

    Nie musisz konfigurować tego ustawienia, ponieważ urządzenia z systemem Android Enterprise wymuszają szyfrowanie.

Zabezpieczenia urządzenia

  • integralność środowiska uruchomieniowego aplikacji Intune
    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — szyfrowanie magazynu danych na urządzeniach.

Profil służbowy należący do użytkownika

W tej sekcji opisano ustawienia profilu zgodności dostępne dla urządzeń osobistych zarejestrowanych w profilach służbowych. Kategorie ustawień obejmują:

  • Ochrona punktu końcowego w usłudze Microsoft Defender
  • Kondycja urządzenia
  • Właściwości urządzenia
  • Zabezpieczenia systemu

Ochrona punktu końcowego w usłudze Microsoft Defender — dla profilu służbowego należącego do użytkownika

  • Wymagaj, aby urządzenie było na poziomie lub poniżej oceny ryzyka maszyny
    Wybierz maksymalną dozwoloną ocenę ryzyka maszyny dla urządzeń ocenianych przez Ochrona punktu końcowego w usłudze Microsoft Defender. Urządzenia, które przekraczają ten wynik, są oznaczone jako niezgodne.
    • Nie skonfigurowano (wartość domyślna)
    • Jasny
    • Niski
    • Średnie
    • High (Wysoki)

Kondycja urządzenia — dla profilu służbowego należącego do użytkownika

  • Urządzenia z odblokowanym dostępem

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Blokuj — oznacz urządzenia z odblokowanym dostępem jako niezgodne.
  • Wymagaj, aby urządzenie było na poziomie zagrożenia urządzenia lub na jego poziomie
    Wybierz maksymalny dozwolony poziom zagrożenia urządzenia oceniany przez usługę ochrony przed zagrożeniami mobilnymi. Urządzenia, które przekraczają ten poziom zagrożenia, są oznaczone jako niezgodne. Aby użyć tego ustawienia, wybierz dozwolony poziom zagrożenia:

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Zabezpieczone — ta opcja jest najbezpieczniejsza i oznacza, że urządzenie nie może mieć żadnych zagrożeń. Jeśli urządzenie zostanie wykryte z dowolnym poziomem zagrożeń, zostanie ocenione jako niezgodne.
    • Niski — urządzenie jest oceniane jako zgodne, jeśli występują tylko zagrożenia niskiego poziomu. Jakiekolwiek zagrożenia wyższego poziomu spowodują, że urządzenie będzie miało status urządzenia niezgodnego.
    • Średni — urządzenie jest oceniane jako zgodne, jeśli zagrożenia występujące na urządzeniu są na niskim lub średnim poziomie. Jeśli wykryto, że urządzenie ma zagrożenia wysokiego poziomu, zostanie ono uznane za niezgodne.
    • Wysoki — ta opcja jest najmniej bezpieczna, ponieważ zezwala na wszystkie poziomy zagrożeń. Może to być przydatne, jeśli używasz tego rozwiązania tylko do celów raportowania.

Google Play Protect — dla profilu służbowego należącego do użytkownika

Ważna

Usługa Google Play Protect działa w lokalizacjach, w których są dostępne usługi Google Mobile Services. Urządzenia działające w regionach lub krajach, w których usługi Google Mobile Services nie są dostępne, nie będą oceny ustawień zasad zgodności usługi Google Play Protect. Aby uzyskać więcej informacji, zobacz Zarządzanie urządzeniami z systemem Android, na których usługi Google Mobile Services nie są dostępne.

  • Usługi Google Play są skonfigurowane

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — wymagaj zainstalowania i włączenia aplikacji usług Google Play. Aplikacja usług Google Play umożliwia aktualizacje zabezpieczeń i jest zależnością na poziomie podstawowym dla wielu funkcji zabezpieczeń na urządzeniach z certyfikatem Google.
  • Aktualny dostawca zabezpieczeń

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — wymagaj, aby aktualny dostawca zabezpieczeń mógł chronić urządzenie przed znanymi lukami w zabezpieczeniach.
  • Werdykt integralności odtwarzania
    Wybierz typ sprawdzania integralności, który urządzenia muszą przejść, aby zachować zgodność. Intune ocenia werdykt dotyczący integralności gry w celu określenia zgodności. Dostępne opcje:

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Sprawdź podstawową integralność: wymagaj od urządzeń przekazania podstawowego sprawdzania integralności usługi Play.
    • Sprawdź podstawową integralność & integralności urządzenia: wymagaj od urządzeń przekazania podstawowego sprawdzania integralności i sprawdzania integralności urządzeń w usłudze Play.
  • Sprawdzanie silnej integralności przy użyciu funkcji zabezpieczeń opartych na sprzęcie
    Opcjonalnie możesz wymagać od urządzeń sprawdzenia silnej integralności. To ustawienie jest dostępne tylko wtedy, gdy wymagane są podstawowe kontrole integralności lub sprawdzanie integralności urządzenia. Dostępne opcje:

    • Nie skonfigurowano (wartość domyślna) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności. Intune domyślnie ocenia podstawowe sprawdzanie integralności.
    • Sprawdzanie silnej integralności — wymagaj, aby urządzenia przeszły test silnej integralności odtwarzania. Nie wszystkie urządzenia obsługują tego typu sprawdzanie. Intune oznacza takie urządzenia jako niezgodne.

    Aby uzyskać więcej informacji na temat usług integralności sklepu Google Play, zobacz następujące dokumenty dla deweloperów systemu Android:

Porada

Intune ma również zasady, które wymagają funkcji Play Protect do skanowania zainstalowanych aplikacji pod kątem zagrożeń. To ustawienie można skonfigurować w zasadach konfiguracji urządzeń z systemem Android Enterprise w obszarze Ograniczenia> urządzeńZabezpieczenia systemu. Aby uzyskać więcej informacji, zobacz Ustawienia ograniczeń urządzeń z systemem Android Enterprise.

Właściwości urządzenia — dla profilu służbowego należącego do użytkownika

Wersja systemu operacyjnego — dla profilu służbowego należącego do użytkownika

  • Minimalna wersja systemu operacyjnego
    Jeśli urządzenie nie spełnia wymagań dotyczących minimalnej wersji systemu operacyjnego, jest zgłaszane jako niezgodne. Użytkownicy urządzeń widzą link z informacjami o sposobie uaktualniania systemu operacyjnego. Mogą uaktualnić swoje urządzenie, a następnie uzyskać dostęp do zasobów organizacji.

    Domyślnie żadna wersja nie jest skonfigurowana.

  • Maksymalna wersja systemu operacyjnego
    Gdy urządzenie korzysta z wersji systemu operacyjnego nowszej niż wersja w regule, dostęp do zasobów organizacji jest blokowany. Użytkownik jest proszony o kontakt z administratorem IT. Dopóki reguła nie zostanie zmieniona w celu zezwolenia na wersję systemu operacyjnego, to urządzenie nie może uzyskać dostępu do zasobów organizacji.

    Domyślnie żadna wersja nie jest skonfigurowana.

Zabezpieczenia systemu — dla profilu służbowego należącego do użytkownika

Szyfrowanie — dla profilu służbowego należącego do użytkownika

  • Wymagaj szyfrowania magazynu danych na urządzeniu

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — szyfrowanie magazynu danych na urządzeniach.

    Nie musisz konfigurować tego ustawienia, ponieważ urządzenia z systemem Android Enterprise wymuszają szyfrowanie.

Zabezpieczenia urządzeń — dla profilu służbowego należącego do użytkownika

  • Blokowanie aplikacji z nieznanych źródeł

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Blokuj — blokuj urządzenia z włączonymi źródłaminieznanych źródełzabezpieczeń> (obsługiwanymi w systemie Android 4.0 za pośrednictwem systemu Android 7.x. Nieobsługiwane przez system Android 8.0 i nowsze).

    Aby aplikacje były ładowane po stronie, nieznane źródła muszą być dozwolone. Jeśli nie ładujesz aplikacji systemu Android po stronie, ustaw tę funkcję na Wartość Blokuj , aby włączyć te zasady zgodności.

    Ważna

    Aplikacje ładujące side-loading wymagają włączenia ustawienia Blokuj aplikacje z nieznanych źródeł . Wymuś te zasady zgodności tylko wtedy, gdy aplikacje systemu Android nie są ładowane bezpośrednio na urządzeniach.

    Nie musisz konfigurować tego ustawienia, ponieważ urządzenia z systemem Android Enterprise zawsze ograniczają instalację z nieznanych źródeł.

  • integralność środowiska uruchomieniowego aplikacji Portal firmy

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — wybierz pozycję Wymagaj, aby potwierdzić, że aplikacja Portal firmy spełnia wszystkie następujące wymagania:
      • Ma zainstalowane domyślne środowisko uruchomieniowe
      • Jest prawidłowo podpisany
      • Nie jest w trybie debugowania
      • Jest instalowany ze znanego źródła
  • Blokuj debugowanie USB na urządzeniu

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Blokuj — uniemożliwia urządzeniom korzystanie z funkcji debugowania USB.

    Nie musisz konfigurować tego ustawienia, ponieważ debugowanie USB jest już wyłączone na urządzeniach z systemem Android Enterprise.

  • Minimalny poziom poprawek zabezpieczeń
    Wybierz najstarszy poziom poprawki zabezpieczeń, jaki może mieć urządzenie. Urządzenia, które nie są co najmniej na tym poziomie poprawki, są niezgodne. Datę należy wprowadzić w formacie RRRR-MM-DD.

    Domyślnie nie skonfigurowano daty.

  • Wymagaj hasła do odblokowania urządzeń przenośnych

    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — użytkownicy muszą wprowadzić hasło, aby mogli uzyskać dostęp do swojego urządzenia.

    To ustawienie ma zastosowanie na poziomie urządzenia. Jeśli potrzebujesz tylko hasła na poziomie profilu służbowego, użyj zasad konfiguracji. Aby uzyskać więcej informacji, zobacz Ustawienia konfiguracji urządzeń z systemem Android Enterprise.

Ważna

Po włączeniu profilu służbowego należącego do użytkownika kody dostępu urządzenia i profilu służbowego są domyślnie łączone, dzięki czemu ten sam kod dostępu jest używany w obu miejscach. Intune wymusza wyższy poziom złożoności tych dwóch elementów. Użytkownik urządzenia może użyć dwóch oddzielnych kodów dostępu, jeśli przejdzie do ustawień profilu służbowego i odznaczy opcję Użyj jednej blokady. Aby upewnić się, że użytkownicy urządzeń używają dwóch oddzielnych kodów dostępu podczas rejestracji, utwórz profil konfiguracji urządzenia, który ogranicza użytkownikom urządzeń możliwość korzystania z jednej blokady.

  1. W centrum administracyjnym utwórz profil konfiguracji urządzenia.
  2. W polu Typ profilu wybierz pozycję Ograniczenia urządzenia.
  3. Rozwiń pozycję Ustawienia profilu służbowego i przejdź do pozycji Hasło profilu służbowego>Wszystkie urządzenia z systemem Android.
  4. Znajdź ograniczenie Jedna blokada dla urządzenia i profilu służbowego. Wybierz pozycję Blokuj.
Wszystkie urządzenia z systemem Android — zabezpieczenia urządzeń
  • Liczba dni do wygaśnięcia hasła
    Wprowadź liczbę dni od 1 do 365 do momentu zmiany hasła urządzenia. Aby na przykład wymagać zmiany hasła po 60 dniach, wprowadź wartość 60. Gdy hasło wygaśnie, użytkownicy będą monitować o utworzenie nowego hasła.

  • Liczba poprzednich haseł, aby zapobiec ponownemu użyciu
    Użyj tego ustawienia, aby ograniczyć użytkownikom możliwość ponownego używania starych haseł. Wprowadź liczbę haseł, które mają uniemożliwić ich ponowne użycie z zakresu od 1 do 24. Na przykład wprowadź 5 , aby użytkownicy nie mogli używać ponownie żadnego z ostatnich 5 haseł. Gdy wartość jest pusta, Intune nie zmienia ani nie aktualizuje tego ustawienia.

  • Maksymalna liczba minut braku aktywności przed wymaganiem hasła
    Wprowadź maksymalny dozwolony czas bezczynności z zakresu od 1 minuty do 8 godzin. Po upływie tego czasu użytkownik musi ponownie wprowadzić swoje hasło, aby wrócić do urządzenia. Po wybraniu pozycji Nieskonfigurowane (ustawienie domyślne ) to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.

Android 12 lub nowszy — zabezpieczenia urządzenia
  • Złożoność hasła
    Wybierz wymagania dotyczące złożoności haseł dla urządzeń z systemem Android 12 lub nowszym. Dostępne opcje:

    • Brak — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Niski — dozwolone są wzorce lub numery PIN z powtarzającym się (4444) lub uporządkowanymi sekwencjami (1234, 4321, 2468).
    • Średni — długość, długość alfabetyczna lub długość alfanumeryczna musi zawierać co najmniej 4 znaki. Numery PIN z powtarzaniem (4444) lub uporządkowanymi sekwencjami (1234, 4321, 2468) są blokowane.
    • Wysoka — długość musi wynosić co najmniej 8 znaków. Długość alfabetyczna lub alfanumeryczna musi zawierać co najmniej 6 znaków. Numery PIN z powtarzaniem (4444) lub uporządkowanymi sekwencjami (1234, 4321, 2468) są blokowane.

    To ustawienie ma wpływ na dwa hasła na urządzeniu:

    • Hasło urządzenia, które odblokowuje urządzenie.
    • Hasło profilu służbowego, które umożliwia użytkownikom dostęp do profilu służbowego.

    Jeśli złożoność hasła urządzenia jest zbyt niska, hasło urządzenia jest automatycznie zmieniane, aby wymagać wysokiego poziomu złożoności. Użytkownicy końcowi muszą zaktualizować hasło urządzenia, aby spełnić wymagania dotyczące złożoności. Następnie po zalogowaniu się do profilu służbowego zostanie wyświetlony monit o zaktualizowanie hasła profilu służbowego w celu dopasowania go do poziomu złożoności skonfigurowanego w obszarzeZłożoność hasła zabezpieczeń >profilu służbowego.

    Ważna

    Przed udostępnieniem ustawienia złożoności hasła użyto ustawień Wymagany typ hasła i Minimalna długość hasła . Te ustawienia są nadal dostępne, ale firma Google zdeprecjonowała je dla urządzeń osobistych z profilem służbowym.

    Oto, co musisz wiedzieć:

    • Jeśli ustawienie Wymagany typ hasła zostanie zmienione z wartości domyślnej Urządzenie w zasadach, wykonaj następujące czynności:

      • Nowo zarejestrowane urządzenia z systemem Android Enterprise 12+ będą automatycznie używać ustawienia Złożoność hasła z wysoką złożonością. Jeśli więc nie chcesz mieć wysokiej złożoności hasła, utwórz nowe zasady dla urządzeń z systemem Android Enterprise 12+ i skonfiguruj ustawienie Złożoność hasła .

      • Istniejące urządzenia z systemem Android Enterprise 12+ będą nadal używać ustawienia Wymagany typ hasła i skonfigurowanej istniejącej wartości.

        Jeśli zmienisz istniejące zasady z ustawieniem Wymagany typ hasła , które jest już skonfigurowane, urządzenia z systemem Android Enterprise 12+ będą automatycznie używać ustawienia Złożoność hasła z wysoką złożonością.

        W przypadku urządzeń z systemem Android Enterprise 12 lub nowszym zaleca się skonfigurowanie ustawienia Złożoność hasła .

    • Jeśli ustawienie Wymagany typ hasła nie zostanie zmienione z wartości domyślnej Urządzenie w zasadach, żadne zasady haseł nie zostaną automatycznie zastosowane do nowo zarejestrowanych urządzeń z systemem Android Enterprise 12 lub nowszym.

Android 11 i starsze — zabezpieczenia urządzenia

Ważna

Firma Google wycofała ustawienia Wymagany typ hasła i Minimalna długość hasła dla systemu Android 12 lub nowszego. Zamiast tych ustawień użyj ustawienia złożoności hasła w systemie Android 12 lub nowszym. Jeśli nadal będziesz używać przestarzałych ustawień bez konfigurowania ustawienia złożoności hasła, nowe urządzenia z systemem Android 12 lub nowszym będą domyślnie korzystać z dużej złożoności hasła. Aby uzyskać więcej informacji na temat tej zmiany i jej wpływu na hasła na nowych i istniejących urządzeniach, zobacz Android 12 i nowsze — zabezpieczenia urządzeń w tym artykule.

  • Wymagany typ hasła
    Określ, czy hasło powinno zawierać tylko znaki liczbowe lub kombinację cyfr i innych znaków. Dostępne opcje:

    • Ustawienie domyślne urządzenia: aby ocenić zgodność haseł, wybierz siłę hasła inną niż Domyślna wartość urządzenia. System operacyjny może domyślnie nie wymagać hasła urządzenia, dlatego lepiej wybrać inny typ hasła, aby zapewnić większą kontrolę i spójność na wszystkich urządzeniach.
    • Biometria niskiego poziomu zabezpieczeń: Aby uzyskać więcej informacji na temat tego typu hasła, zobacz silne i słabe dane biometryczne (otwiera blog deweloperów systemu Android).
    • Co najmniej numeryczne (wartość domyślna): wymagaj znaków liczbowych, takich jak 123456789.
    • Złożona liczba: powtarzające się lub kolejne cyfry, takie jak 1111 lub 1234, są niedozwolone. Wprowadź również:
    • Co najmniej alfabetyczne: wymagaj liter z alfabetu. Liczby i symbole nie są wymagane. Wprowadź również:
    • Co najmniej alfanumeryczne: wymagaj wielkich liter, małych liter i znaków liczbowych.
    • Co najmniej alfanumeryczne z symbolami: Wymagaj wielkich liter, małych liter, znaków liczbowych, znaków interpunkcyjnych i symboli.
  • Minimalna długość hasła
    To ustawienie jest wyświetlane dla niektórych typów haseł. Wprowadź minimalną wymaganą liczbę znaków z zakresu od 4 do 16 znaków.

Zabezpieczenia profilu służbowego — dla profilu służbowego należącego do użytkownika

Jeśli nie skonfigurujesz wymagań dotyczących haseł, użycie hasła profilu służbowego jest opcjonalne i pozostawiane użytkownikom do skonfigurowania.

  • Wymaganie hasła do odblokowania profilu służbowego
    Wymagaj od użytkowników urządzeń posiadania profilu służbowego chronionego hasłem. Dostępne opcje:
    • Nie skonfigurowano (ustawienie domyślne) — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Wymagaj — użytkownicy muszą wprowadzić hasło, aby uzyskać dostęp do swojego profilu służbowego.
Wszystkie urządzenia z systemem Android — zabezpieczenia profilu służbowego
  • Liczba dni do wygaśnięcia hasła
    Wprowadź liczbę dni od 1 do 365 do momentu zmiany hasła profilu służbowego. Aby na przykład wymagać zmiany hasła po 60 dniach, wprowadź wartość 60. Gdy hasło wygaśnie, użytkownicy będą monitować o utworzenie nowego hasła.

  • Liczba poprzednich haseł, aby zapobiec ponownemu użyciu
    Użyj tego ustawienia, aby ograniczyć użytkownikom możliwość ponownego używania starych haseł. Wprowadź liczbę haseł, które mają uniemożliwić ich ponowne użycie z zakresu od 1 do 24. Na przykład wprowadź wartość 5 , aby użytkownicy nie mogli używać ponownie żadnego z ostatnich 5 haseł. Gdy wartość jest pusta, Intune nie zmienia ani nie aktualizuje tego ustawienia.

  • Maksymalna liczba minut braku aktywności przed wymaganiem hasła
    Wprowadź maksymalny dozwolony czas bezczynności z zakresu od 1 minuty do 8 godzin. Po upływie tego czasu użytkownik musi ponownie wprowadzić swoje hasło, aby wrócić do swojego profilu służbowego. Po wybraniu pozycji Nieskonfigurowane (ustawienie domyślne ) to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.

Android 12 lub nowszy — zabezpieczenia profilu służbowego
  • Złożoność hasła
    Wybierz wymaganie dotyczące złożoności hasła dla profilów służbowych na urządzeniach z systemem Android 12 lub nowszym. Dostępne opcje:

    • Brak — to ustawienie nie jest oceniane pod kątem zgodności lub niezgodności.
    • Niski — dozwolony jest wzorzec lub numer PIN z powtarzającym się (4444) lub uporządkowanymi sekwencjami (1234, 4321, 2468).
    • Średni — długość, długość alfabetyczna lub długość alfanumeryczna musi zawierać co najmniej 4 znaki. Numery PIN z powtarzaniem (4444) lub uporządkowanymi sekwencjami (1234, 4321, 2468) są blokowane.
    • Wysoka — długość musi wynosić co najmniej 8 znaków. Długość alfabetyczna lub alfanumeryczna musi zawierać co najmniej 6 znaków. Numery PIN z powtarzaniem (4444) lub uporządkowanymi sekwencjami (1234, 4321, 2468) są blokowane.

    To ustawienie ma wpływ na dwa hasła na urządzeniu:

    • Hasło urządzenia, które odblokowuje urządzenie.
    • Hasło profilu służbowego, które umożliwia użytkownikom dostęp do profilu służbowego.

    Jeśli złożoność hasła urządzenia jest zbyt niska, hasło urządzenia jest automatycznie zmieniane, aby wymagać wysokiego poziomu złożoności. Użytkownicy końcowi muszą zaktualizować hasło urządzenia, aby spełnić wymagania dotyczące złożoności. Następnie po zalogowaniu się do profilu służbowego zostanie wyświetlony monit o zaktualizowanie hasła profilu służbowego w celu dopasowania go do złożoności skonfigurowanej w tym miejscu.

    Ważna

    Przed udostępnieniem ustawienia złożoności hasła użyto ustawień Wymagany typ hasła i Minimalna długość hasła . Te ustawienia są nadal dostępne, ale od tego czasu firma Google wycofała je dla urządzeń osobistych z profilem służbowym.

    Oto, co musisz wiedzieć:

    • Jeśli ustawienie Wymagany typ hasła zostanie zmienione z wartości domyślnej Urządzenie w zasadach, wykonaj następujące czynności:

      • Nowo zarejestrowane urządzenia z systemem Android Enterprise 12+ będą automatycznie używać ustawienia Złożoność hasła z wysoką złożonością. Jeśli więc nie chcesz mieć wysokiej złożoności hasła, utwórz nowe zasady dla urządzeń z systemem Android Enterprise 12+ i skonfiguruj ustawienie Złożoność hasła .

      • Istniejące urządzenia z systemem Android Enterprise 12+ będą nadal używać ustawienia Wymagany typ hasła i skonfigurowanej istniejącej wartości.

        Jeśli zmienisz istniejące zasady z ustawieniem Wymagany typ hasła , które jest już skonfigurowane, urządzenia z systemem Android Enterprise 12+ będą automatycznie używać ustawienia Złożoność hasła z wysoką złożonością.

        W przypadku urządzeń z systemem Android Enterprise 12 lub nowszym zaleca się skonfigurowanie ustawienia Złożoność hasła .

    • Jeśli ustawienie Wymagany typ hasła nie zostanie zmienione z wartości domyślnej Urządzenie w zasadach, żadne zasady haseł nie zostaną automatycznie zastosowane do nowo zarejestrowanych urządzeń z systemem Android Enterprise 12 lub nowszym.

Android 11 i starsze — zabezpieczenia profilu służbowego

Te ustawienia haseł dotyczą urządzeń z systemem Android 11 lub starszym.

Ważna

Firma Google wycofała ustawienia Wymagany typ hasła i Minimalna długość hasła dla systemu Android 12 lub nowszego. Zamiast tych ustawień użyj ustawienia złożoności hasła w systemie Android 12 lub nowszym. Jeśli nadal będziesz używać przestarzałych ustawień bez konfigurowania ustawienia złożoności hasła, nowe urządzenia z systemem Android 12 lub nowszym będą domyślnie korzystać z dużej złożoności hasła. Aby uzyskać więcej informacji na temat tej zmiany i jej wpływu na hasła profilu służbowego na nowych i istniejących urządzeniach, zobacz Zabezpieczenia profilu służbowego systemu Android 12 i nowszych w tym artykule.

  • Wymagany typ hasła
    Wymagaj od użytkowników używania określonego typu hasła. Dostępne opcje:
    • Domyślne urządzenie — aby ocenić zgodność haseł, wybierz siłę hasła inną niż Domyślna wartość urządzenia. System operacyjny może domyślnie nie wymagać hasła profilu służbowego, dlatego lepiej wybrać inny typ hasła, aby zapewnić większą kontrolę i spójność na wszystkich urządzeniach.
    • Biometria niskiego poziomu zabezpieczeń: Aby uzyskać więcej informacji na temat tego typu hasła, zobacz silne i słabe dane biometryczne (otwiera blog deweloperów systemu Android).
    • Co najmniej numeryczne (wartość domyślna): wymagaj znaków liczbowych, takich jak 123456789.
    • Złożona liczba: powtarzające się lub kolejne cyfry, takie jak 1111 lub 1234, są niedozwolone.
    • Co najmniej alfabetyczne: wymagaj liter z alfabetu. Liczby i symbole nie są wymagane.
    • Co najmniej alfanumeryczne: wymagaj wielkich liter, małych liter i znaków liczbowych.
    • Co najmniej alfanumeryczne z symbolami: Wymagaj wielkich liter, małych liter, znaków liczbowych, znaków interpunkcyjnych i symboli.
  • Minimalna długość hasła
    To ustawienie jest wyświetlane dla niektórych typów haseł. Wprowadź minimalną wymaganą liczbę znaków z zakresu od 4 do 16 znaków.

Następne kroki