为了支持Microsoft零信任安全模型,本文提供了可与 Microsoft Intune 配合使用的示例配置,以便为使用个人设备的移动用户配置 iOS/iPad 设备符合性设置。 这些示例包括符合零信任原则的三个级别的设备安全配置。
使用这些示例时,请与安全团队协作,评估威胁环境、风险偏好,以及不同级别和配置对可用性的影响。 查看并调整示例以满足组织的需求后,可以通过将示例 iOS/iPadOS 安全配置框架 JSON 模板 与 Intune 的 PowerShell 脚本导入示例,将其合并到用于测试和生产使用的环形部署方法中。
有关每个策略设置的详细信息,请参阅 Microsoft Intune 中的 iOS/iPadOS 设备设置。
个人基本安全 (级别 1)
对于供用户访问工作或学校数据的 iOS/iPadOS 个人设备,建议的最低安全配置是级别 1。
级别 1 中的策略强制执行合理的数据访问级别,同时最大限度地降低对用户的影响。 这是通过强制实施密码策略、设备锁定特征和禁用某些设备功能 ((例如,不受信任的证书) )来完成的。
下表列出了仅配置的设置。 本示例未配置表中未列出的设置。
设备限制
| 类别 | 设置 | 值 | 备注 |
|---|---|---|---|
| App Store、文档查看和游戏 | 将 AirDrop 视为非托管目标 | 是 | |
| 内置应用 | 在设备锁定时阻止 Siri | 是 | |
| 内置应用 | 需要 Safari 欺诈警告 | 是 | |
| 云和存储 | 强制加密的备份 | 是 | |
| 云和存储 | 阻止托管应用在 iCloud 中存储数据 | 是 | |
| 连接的设备 | 强制 Apple Watch 手腕检测 | 是 | |
| 常规 | 阻止不受信任的 TLS 证书 | 是 | |
| 常规 | 阻止信任新的企业应用作者 | 是 | |
| 锁定屏幕体验 | 阻止在锁定屏幕中访问通知中心 | 是 | |
| 锁定屏幕体验 | 阻止在锁定屏幕中使用“今日”视图 | 是 | |
| Password | 要求使用密码 | 是 | |
| Password | 禁止使用简单密码 | 是 | |
| Password | 所需密码类型 | 数值 | |
| Password | 最短密码长度 | 6 | 组织应更新此设置以匹配其密码策略。 |
| Password | 登录失败多少次后擦除设备 | 10 | 组织应更新此设置以匹配其密码策略。 |
| Password | 屏幕锁定后要求输入密码前的最大分钟数 | 5 | 组织应更新此设置以匹配其密码策略。 |
| Password | 最长经过多少分钟的非活动状态后锁定屏幕 | 5 | 组织应更新此设置以匹配其密码策略。 |
个人增强的安全性 (级别 2)
对于供用户访问更敏感信息的个人设备,建议的配置是级别 2。 这些设备如今是企业中的自然目标。 这些设置不需要大量高技能的安全人员。 因此,它们应该对大多数企业组织是可访问的。 此配置适用于在设备上访问工作或学校数据的大多数移动用户。
此配置通过实施数据共享控件,扩展了级别 1 中的配置。
级别 2 设置包括针对级别 1 建议的所有策略设置。 但是,下表中列出的设置仅包括添加或更改的设置。 这些设置可能会对用户或应用程序产生略大的影响。 它们对在移动设备上访问敏感信息的风险用户强制执行更合适的安全性级别。
设备限制
| 类别 | 设置 | 值 | 备注 |
|---|---|---|---|
| App Store、文档查看和游戏 | 阻止在非托管应用中查看公司文档 | 是 | |
| App Store、文档查看和游戏 | 阻止在公司应用中查看非公司文档 | 未配置 | 启用此设备限制将阻止 Outlook for iOS 导出联系人的功能。 如果使用 Outlook for iOS,则不建议使用此设置。 有关详细信息,请参阅支持使用技巧:使用 IOS12 MDM 控件启用 Outlook IOS 联系人同步。 |
| App Store、文档查看和游戏 | 允许托管应用将联系人写入非托管联系人帐户 | 是 | 当“阻止在非托管应用中查看公司文档”设置为“是”时,需要此设置以允许 Outlook for iOS 导出联系人。 有关详细信息,请参阅支持使用技巧:使用 IOS12 MDM 控件启用 Outlook IOS 联系人同步。 |
| App Store、文档查看和游戏 | 允许复制/粘贴受托管打开项的影响 | 未配置 | 启用此设置会阻止托管Microsoft应用中的个人帐户将数据共享到非托管应用。 |
| 内置应用 | 阻止 Siri 听写 | 是 | |
| 内置应用 | 阻止 Siri 进行翻译 | 是 | |
| 云存储 | 阻止备份企业簿 | 是 | |
| 云存储 | 阻止企业簿的备注和重要内容同步 | 是 | |
| 常规 | 阻止将诊断和使用情况数据发送到 Apple | 是 |
个人高安全性 (级别 3)
对于以下两种情况,建议的配置是级别 3:
- 具有复杂的大型安全组织的组织。
- 攻击者唯一目标的特定用户和组。
此类组织通常是资金雄厚且经验丰富的对手的目标。
此配置按以下方式在级别 2 上扩展:
- 制定更强的密码策略。
- 禁用设备功能 (例如屏幕截图和屏幕录制) 。
- 强制实施其他数据传输限制 (例如,阻止交接) 。
在级别 3 中强制执行的策略设置包括针对级别 2 建议的所有策略设置。 下表中列出的设置仅包括已添加或更改的设置。 这些设置可能会对用户或应用程序产生重大影响。 它们执行更适合于目标组织所面临风险的安全性级别。
设备限制
| 类别 | 设置 | 值 | 备注 |
|---|---|---|---|
| 云和存储 | 阻止 Handoff | 是 | |
| 连接的设备 | 需要 AirPlay 传出请求配对密码 | 是 | |
| 连接的设备 | 阻止 Apple Watch 自动解锁 | 是 | |
| 常规 | 阻止屏幕截图和屏幕录制 | 是 | |
| Password | 登录失败多少次后擦除设备 | 5 | 组织应更新此设置以匹配其密码策略。 |
| Password | 密码过期(天数) | 365 | 组织应更新此设置以匹配其密码策略。 |
| Password | 防止重用以前的密码 | 5 | 组织应更新此设置以匹配其密码策略。 |
| 无线 | 阻止在设备锁定时进行语音拨号 | 是 |