Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Zur Unterstützung des Microsoft Zero Trust-Sicherheitsmodells enthält dieser Artikel Beispielkonfigurationen, die Sie mit Microsoft Intune verwenden können, um iOS-/iPad-Gerätekonformitätseinstellungen für mobile Benutzer mit persönlichen und überwachten Geräten zu konfigurieren. Diese Beispiele umfassen Ebenen der Gerätesicherheitskonfiguration, die Zero Trust Prinzipien entsprechen.
Wenn Sie diese Beispiele verwenden, arbeiten Sie mit Ihrem Sicherheitsteam zusammen, um die Bedrohungsumgebung, die Risikobereitschaft und die Auswirkungen der verschiedenen Ebenen und Konfigurationen auf die Benutzerfreundlichkeit zu bewerten. Nachdem Sie die Beispiele überprüft und an die Anforderungen Ihrer organization angepasst haben, können Sie sie in eine Ringbereitstellungsmethodik für Tests und die Verwendung in der Produktion integrieren, indem Sie die BEISPIEL-JSON-Vorlagen für das iOS/iPadOS Security Configuration Framework mit den PowerShell-Skripts von Intune importieren.
Hinweis
Aufgrund der begrenzten Anzahl von Einstellungen, die für die Gerätekonformität verfügbar sind, gibt es kein grundlegendes Sicherheitsangebot (Stufe 1).
Erweiterte Sicherheit (Ebene 2)
Stufe 2 ist die empfohlene Mindestsicherheitskonfiguration für iOS-/iPadOS-Geräte, auf denen Benutzer auf Geschäfts-, Schul- oder Unidaten zugreifen. Diese Konfiguration sollte auf die meisten Mobilgerätebenutzer angewendet werden, die auf Unternehmensdaten oder Daten einer Bildungseinrichtung auf einem Gerät zugreifen.
In der folgenden Tabelle sind nur konfigurierte Einstellungen aufgeführt. Einstellungen, die in der Tabelle nicht aufgeführt sind, werden in diesem Beispiel nicht konfiguriert.
| Abschnitt | Einstellung | Wert | Anmerkungen |
|---|---|---|---|
| Geräteintegrität | Durch Jailbreak entsperrte Geräte | Blockieren | |
| Geräteeigenschaften | Minimale Version des Betriebssystems | Format: Major.Minor Beispiel: 14.8 |
Microsoft empfiehlt das Konfigurieren der Mindesthauptversion für das iOS-Betriebssystem, um übereinstimmende unterstützte iOS-Versionen für Microsoft-Apps verwenden zu können. Microsoft-Apps unterstützen einen N-1-Ansatz, wobei N die aktuelle iOS-Hauptversion ist. Als Werte für Neben- und Buildversionen empfiehlt Microsoft, dafür zu sorgen, dass die Geräte über die aktuellen entsprechenden Sicherheitsupdates verfügen. Unter Apple-Sicherheitsupdates finden Sie die aktuellen Empfehlungen von Apple. |
| Systemsicherheit | Erfordern eines Kennworts zum Entsperren von Mobilgeräten | Erforderlich | |
| Systemsicherheit | Einfache Kennwörter | Blockieren | |
| Systemsicherheit | Minimale Kennwortlänge | 6 | Organisationen sollten diese Einstellung entsprechend ihrer Kennwortrichtlinie aktualisieren. |
| Systemsicherheit | Geforderter Kennworttyp | Numeric | Organisationen sollten diese Einstellung entsprechend ihrer Kennwortrichtlinie aktualisieren. |
| Systemsicherheit | Maximaler Zeitraum der Bildschirmsperre (in Minuten) bis zur Anforderung eines Kennworts | 5 | Organisationen sollten diese Einstellung entsprechend ihrer Kennwortrichtlinie aktualisieren. |
| Systemsicherheit | Maximaler Zeitraum der Inaktivität (in Minuten) bis zur Bildschirmsperrung | 5 | Organisationen sollten diese Einstellung entsprechend ihrer Kennwortrichtlinie aktualisieren. |
| Aktionen bei Nichteinhaltung | Gerät als nicht konform markieren | Sofort | Standardmäßig ist die Richtlinie so konfiguriert, dass das Gerät als nicht konform markiert wird. Weitere Aktionen sind verfügbar. Weitere Informationen finden Sie unter Konfigurieren von Aktionen für nicht konforme Geräte in Intune. |
Hohe Sicherheit (Stufe 3)
Stufe 3 ist die empfohlene Konfiguration für Folgendes:
- Organisationen mit großen und ausgereiften Sicherheitsabteilungen.
- Bestimmte Benutzer und Gruppen, die möglicherweise eindeutig von Angreifern ins Visier genommen werden.
Auf solche Organisationen wird oft von mit hohen finanziellen Mitteln und umfassenden Know-how ausgestatteten Angreifern abgezielt.
Diese Konfiguration wird auf Ebene 2 um Folgendes erweitert:
- Erhöhen der Mindestversion des Betriebssystems.
- Sicherstellen, dass das Gerät konform ist, indem die sichersten Microsoft Defender für Endpunkt oder Mobile Threat Defense-Stufe erzwungen wird.
- Erzwingen strengerer Kennwortrichtlinien.
Die auf Stufe 3 erzwungenen Richtlinieneinstellungen umfassen alle für Stufe 2 empfohlenen Richtlinieneinstellungen. Die in der folgenden Tabelle aufgeführten Einstellungen enthalten nur die Einstellungen, die hinzugefügt oder geändert wurden. Diese Einstellungen können erhebliche Auswirkungen auf Benutzer oder Anwendungen haben. Sie erzwingen ein Sicherheitsniveau, das eher den Risiken entspricht, denen die anvisierten Organisationen ausgesetzt sind.
| Abschnitt | Einstellung | Wert | Anmerkungen |
|---|---|---|---|
| Geräteintegrität | Anfordern, dass das Gerät höchstens der angegebenen Gerätebedrohungsstufe entspricht | Gesichert | Diese Einstellung erfordert ein Mobile Threat Defense-Produkt. Weitere Informationen finden Sie unter Mobile Threat Defense für registrierte Geräte. Kunden sollten die Implementierung von Microsoft Defender für Endpunkt oder einer Mobile Threat Defense-Lösung in Betracht ziehen. Es ist nicht erforderlich, beide bereitzustellen. |
| Geräteeigenschaften | Minimale Version des Betriebssystems | Format: Major.Minor Beispiel: 15.0 |
Microsoft empfiehlt das Konfigurieren der Mindesthauptversion für das iOS-Betriebssystem, um übereinstimmende unterstützte iOS-Versionen für Microsoft-Apps verwenden zu können. Microsoft-Apps unterstützen einen N-1-Ansatz, wobei N die aktuelle iOS-Hauptversion ist. Als Werte für Neben- und Buildversionen empfiehlt Microsoft, dafür zu sorgen, dass die Geräte über die aktuellen entsprechenden Sicherheitsupdates verfügen. Unter Apple-Sicherheitsupdates finden Sie die aktuellen Empfehlungen von Apple. |
| Microsoft Defender für Endpunkt | Erfordern, dass das Gerät höchstens das angegebene Computerrisiko aufweist | Deaktivieren | Diese Einstellung erfordert Microsoft Defender für Endpunkt. Weitere Informationen finden Sie unter Erzwingen der Konformität für Microsoft Defender für Endpunkt mit bedingtem Zugriff in Intune. Kunden sollten die Implementierung von Microsoft Defender für Endpunkt oder einer Mobile Threat Defense-Lösung in Betracht ziehen. Es ist nicht erforderlich, beide bereitzustellen. |
| Systemsicherheit | Kennwortablauf (Tage) | 365 | |
| Aktionen bei Nichteinhaltung | Gerät als nicht konform markieren | Sofort | Standardmäßig ist die Richtlinie so konfiguriert, dass das Gerät als nicht konform markiert wird. Weitere Aktionen sind verfügbar. Weitere Informationen finden Sie unter Konfigurieren von Aktionen für nicht konforme Geräte in Intune. |