Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Pour prendre en charge le modèle de sécurité Microsoft Confiance nulle, cet article fournit des exemples de configurations que vous pouvez utiliser avec Microsoft Intune pour configurer les paramètres de conformité des appareils iOS/iPad pour les utilisateurs mobiles utilisant des appareils personnels. Ces exemples incluent trois niveaux de configuration de la sécurité des appareils qui s’alignent sur les principes de Confiance nulle.
Lorsque vous utilisez ces exemples, collaborez avec votre équipe de sécurité pour évaluer l’environnement de menace, l’appétit pour le risque et l’effet que les différents niveaux et configurations peuvent avoir sur la facilité d’utilisation. Après avoir examiné et ajusté les exemples pour répondre aux besoins de votre organization, vous pouvez les incorporer dans une méthodologie de déploiement en anneau pour le test et l’utilisation en production en important les exemples de modèles JSON iOS/iPadOS Security Configuration Framework avec les scripts PowerShell de Intune.
Pour plus d’informations sur chaque paramètre de stratégie, consultez Paramètres d’appareil iOS/iPadOS dans Microsoft Intune.
Sécurité de base personnelle (niveau 1)
Le Niveau 1 est la configuration de sécurité minimale recommandée pour les appareils personnels iOS/iPadOS que les utilisateurs utilisent pour accéder à des données professionnelles ou scolaires.
Les stratégies de niveau 1 appliquent un niveau d’accès aux données raisonnable tout en minimisant l’impact sur les utilisateurs. Pour ce faire, vous appliquez des stratégies de mot de passe, des caractéristiques de verrouillage d’appareil et désactivez certaines fonctions d’appareil (par exemple, les certificats non approuvés).
Le tableau suivant répertorie uniquement les paramètres configurés. Les paramètres non répertoriés dans le tableau ne sont pas configurés dans cet exemple.
Restrictions d’appareil
| Catégorie | Paramètre | Valeur | Remarques |
|---|---|---|---|
| App Store, affichage de document, jeux | Traiter AirDrop comme une destination non gérée | Oui | |
| Applications intégrées | Bloquer Siri quand l’appareil est verrouillé | Oui | |
| Applications intégrées | Exiger des avertissements de fraude Safari | Oui | |
| Cloud et stockage | Forcer les sauvegardes chiffrées | Oui | |
| Cloud et stockage | Empêcher les applications gérées de stocker des données dans iCloud | Oui | |
| Appareils connectés | Forcer la détection du bracelet Apple Watch | Oui | |
| Général | Bloquer les certificats TLS non autorisés | Oui | |
| Général | Empêcher l’approbation des nouveaux auteurs d’applications d’entreprise | Oui | |
| Expérience d’écran verrouillé | Bloquer l’accès au Centre de notifications dans l’écran de verrouillage | Oui | |
| Expérience d’écran verrouillé | Bloquer le mode Aujourd’hui dans l’écran de verrouillage | Oui | |
| Password | Exiger un mot de passe | Oui | |
| Password | Bloquer les mots de passe simples | Oui | |
| Password | Type de mot de passe requis | Numérique | |
| Password | Longueur minimale du mot de passe | 6 | Les organisations doivent mettre à jour ce paramètre pour qu’il corresponde à leur stratégie de mot de passe. |
| Password | Nombre d’échecs de connexion avant réinitialisation de l’appareil | 10 | Les organisations doivent mettre à jour ce paramètre pour qu’il corresponde à leur stratégie de mot de passe. |
| Password | Nombre maximal de minutes entre le verrouillage de l'écran et la demande du mot de passe | 5 | Les organisations doivent mettre à jour ce paramètre pour qu’il corresponde à leur stratégie de mot de passe. |
| Password | Nombre maximal de minutes d’inactivité avant le verrouillage de l’appareil | 5 | Les organisations doivent mettre à jour ce paramètre pour qu’il corresponde à leur stratégie de mot de passe. |
Sécurité renforcée personnelle (niveau 2)
Le Niveau 2 est la configuration recommandée pour les appareils personnels sur lesquels les utilisateurs accèdent à des informations plus sensibles. Ces appareils sont aujourd’hui une cible naturelle au sein des entreprises. Ces paramètres ne présument pas que du personnel de sécurité hautement qualifié est disponible en grand nombre. Par conséquent, ils doivent être accessibles à la plupart des organisations d’entreprise. Cette configuration s’applique à la plupart des utilisateurs mobiles accédant à des données professionnelles ou scolaires sur un appareil.
Cette configuration s’étend sur la configuration au niveau 1 en appliquant des contrôles de partage de données.
Les paramètres de niveau 2 incluent tous les paramètres de stratégie recommandés pour le niveau 1. Toutefois, les paramètres répertoriés dans le tableau suivant incluent uniquement les paramètres ajoutés ou modifiés. Ces paramètres peuvent avoir un impact légèrement plus élevé sur les utilisateurs ou sur les applications. Ils appliquent un niveau de sécurité plus adapté aux risques auxquels sont confrontés les utilisateurs qui ont accès à des informations sensibles sur des appareils mobiles.
Restrictions d’appareil
| Catégorie | Paramètre | Valeur | Remarques |
|---|---|---|---|
| App Store, affichage de document, jeux | Bloquer la consultation des documents de l’entreprise dans les applications non gérées | Oui | |
| App Store, affichage de document, jeux | Bloquer la consultation des documents externes à l’entreprise dans les applications de l’entreprise | Non configuré | L’activation de cette restriction d’appareil empêche Outlook pour iOS d’exporter des contacts. Ce paramètre n’est pas recommandé si vous utilisez Outlook pour iOS. Pour plus d’informations, consultez Support Tip: Enabling Outlook iOS Contact Sync with iOS12 MDM Controls. |
| App Store, affichage de document, jeux | Autoriser les applications gérées à écrire des contacts dans des comptes de contacts non gérés | Oui | Ce paramètre est nécessaire pour permettre à Outlook pour iOS d’exporter les contacts lorsque l’option Bloquer la consultation des documents de l’entreprise dans les applications non gérées est définie sur Oui. Pour plus d’informations, consultez Support Tip: Enabling Outlook iOS Contact Sync with iOS12 MDM Controls. |
| App Store, affichage de document, jeux | Autoriser le copier/coller à être affecté par l'ouverture managée | Non configuré | L’activation de ce paramètre empêche les comptes personnels au sein des applications Microsoft gérées de partager des données avec des applications non managées. |
| Applications intégrées | Bloquer Siri pour la dictée | Oui | |
| Applications intégrées | Bloquer Siri pour la traduction | Oui | |
| Stockage cloud | Bloquer la sauvegarde des livres de l’entreprise | Oui | |
| Stockage cloud | Bloquer la synchronisation des notes et des résumés des livres d’entreprise | Oui | |
| Général | Empêcher l’envoi des données de diagnostic et d’utilisation à Apple | Oui |
Haute sécurité personnelle (niveau 3)
Le niveau 3 est recommandé dans les deux cas suivants :
- Organisations avec des organisations de sécurité vastes et sophistiquées.
- Utilisateurs et groupes spécifiques qui sont ciblés de manière unique par des adversaires.
De telles organisations sont généralement ciblées par des adversaires à la pointe de la technique disposant de moyens financiers importants.
Cette configuration se développe au niveau 2 en procédant comme suit :
- Mise en œuvre de stratégies de mots de passe plus performantes.
- Désactivation des fonctionnalités de l’appareil (par exemple, captures d’écran et enregistrements d’écran).
- L’application de restrictions de transfert de données supplémentaires (par exemple, le blocage de handoff).
Les paramètres de stratégie appliqués au niveau 3 incluent tous les paramètres de stratégie recommandés pour le niveau 2. Les paramètres répertoriés dans le tableau suivant incluent uniquement ceux qui sont ajoutés ou modifiés. Ces paramètres peuvent avoir un impact significatif sur les utilisateurs ou les applications. Ils appliquent un niveau de sécurité plus adapté aux risques auxquels sont confrontées les organisations ciblées.
Restrictions d’appareil
| Catégorie | Paramètre | Valeur | Remarques |
|---|---|---|---|
| Cloud et stockage | Bloquer la remise | Oui | |
| Appareils connectés | Exiger un mot de passe associé pour les demandes AirPlay sortantes | Oui | |
| Appareils connectés | Bloquer le déverrouillage automatique avec l’Apple Watch | Oui | |
| Général | Empêcher les captures d’écran et les enregistrements d’écran | Oui | |
| Password | Nombre d’échecs de connexion avant réinitialisation de l’appareil | 5 | Les organisations doivent mettre à jour ce paramètre pour qu’il corresponde à leur stratégie de mot de passe. |
| Password | Expiration du mot de passe (jours) | 365 | Les organisations doivent mettre à jour ce paramètre pour qu’il corresponde à leur stratégie de mot de passe. |
| Password | Empêcher la réutilisation des mots de passe précédents | 5 | Les organisations doivent mettre à jour ce paramètre pour qu’il corresponde à leur stratégie de mot de passe. |
| Sans fil | Bloquer la composition vocale quand l’appareil est verrouillé | Oui |