Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Microsoft Teljes felügyelet biztonsági modelljének támogatása érdekében ez a cikk olyan példakonfigurációkat tartalmaz, amellyel Microsoft Intune konfigurálhatja az iOS/iPad-eszközök megfelelőségi beállításait a felügyelt eszközöket használó mobilfelhasználók számára. Ezek a példák az eszközbiztonsági konfiguráció három szintjét foglalják magukban, amelyek Teljes felügyelet alapelveknek összhangban vannak.
Ha ezeket a példákat használja, a biztonsági csapattal együttműködve értékelje ki a fenyegetési környezetet, a kockázati étvágyat, valamint azt, hogy a különböző szintek és konfigurációk milyen hatással lehetnek a használhatóságra. Miután áttekinti és módosítja a példákat, hogy megfeleljenek a szervezet igényeinek, beépítheti őket egy köralapú üzembehelyezési módszertanba tesztelési és éles használat céljából, ha importálja az iOS/iPadOS biztonsági konfigurációs keretrendszer JSON-sablonjaitIntune PowerShell-szkriptjeivel.
Az egyes házirend-beállításokkal kapcsolatos további információkért lásd: iOS/iPadOS eszközbeállítások Microsoft Intune.
Felügyelt alapszintű biztonság (1. szint)
Az 1. szint a szervezet tulajdonában lévő vállalati mobileszköz minimális biztonsági konfigurációja.
Az 1. szintű szabályzatok ésszerű adathozzáférési szintet kényszerítenek ki, ugyanakkor minimalizálják a felhasználókra gyakorolt hatást:
- Jelszószabályzatok kényszerítése.
- Bizonyos eszközzárolási jellemzők engedélyezése.
- Bizonyos eszközfüggvények (például a nem megbízható tanúsítványok) letiltása.
Az alábbi táblázat csak a konfigurált beállításokat sorolja fel. A táblázatban nem szereplő beállítások nincsenek konfigurálva ebben a példában.
Eszközkorlátozások
| Kategória | Beállítás | Érték | Megjegyzések: |
|---|---|---|---|
| App Store, doc megtekintés, játék | Az AirDrop kezelése nem felügyelt célként | Igen | |
| Beépített alkalmazások | Siri letiltása zárolt eszköz esetén | Igen | |
| Beépített alkalmazások | Safari-csalásra figyelmeztető figyelmeztetések megkövetelése | Igen | |
| Felhő és tárolás | Titkosított biztonsági mentés kényszerítve | Igen | |
| Felhő és tárolás | Felügyelt alkalmazások adattárolásának letiltása az iCloudban | Igen | |
| Felhő és tárolás | Az iCloud-kulcskarika szinkronizálásának letiltása | Igen | |
| Csatlakoztatott eszközök | Az Apple Watch csuklóészlelésének kényszerítése | Igen | |
| Csatlakoztatott eszközök | Az AirPrint hitelesítő adatainak blokkolása a kulcskarikában | Igen | |
| Csatlakoztatott eszközök | AirPrint megkövetelése megbízható tanúsítvánnyal rendelkező célhelyekhez | Igen | |
| Csatlakoztatott eszközök | AirPrint nyomtatók iBeacon-felderítésének letiltása | Igen | |
| Csatlakoztatott eszközök | Új közeli eszközök beállításának letiltása | Igen | |
| Általános | Nem megbízható TLS-tanúsítványok letiltása | Igen | |
| Általános | Új vállalati alkalmazáskészítők megbízhatónak nyilvánításának letiltása | Igen | |
| Általános | Aktiválási zár engedélyezése | Igen | |
| Zárolt képernyős felület | Értesítési központ elérésének letiltása a zárolási képernyőn | Igen | |
| Zárolt képernyős felület | A Ma nézet letiltása a zárolási képernyőn | Igen | |
| Password | Jelszó kérése | Igen | |
| Password | Egyszerű jelszavak letiltása | Igen | |
| Password | Kötelező jelszótípus | Numerikus | |
| Password | Jelszó minimális hossza | 6 | A szervezeteknek frissíteniük kell ezt a beállítást, hogy megfeleljenek a jelszóházirendjüknek. |
| Password | Bejelentkezési hibák száma az eszköz törlése előtt | 10 | A szervezeteknek frissíteniük kell ezt a beállítást, hogy megfeleljenek a jelszóházirendjüknek. |
| Password | Jelszó kérése a képernyőzárolás után legfeljebb néhány perccel | 5 | A szervezeteknek frissíteniük kell ezt a beállítást, hogy megfeleljenek a jelszóházirendjüknek. |
| Password | Képernyőzárolásig legfeljebb perc inaktivitás | 5 | A szervezeteknek frissíteniük kell ezt a beállítást, hogy megfeleljenek a jelszóházirendjüknek. |
| Password | Jelszó-közelségi kérések letiltása | Igen | |
| Password | Jelszómegosztás letiltása | Igen | |
| Password | Touch ID- vagy Face ID-hitelesítés megkövetelése a jelszó- vagy hitelkártyaadatok automatikus kitöltéséhez | Igen |
Felügyelt fokozott biztonság (2. szint)
A 2. szint a felügyelt eszközök ajánlott konfigurációja, ahol a felhasználók bizalmasabb információkhoz férnek hozzá. Ezek az eszközök ma a nagyvállalatok természetes célpontja. Ezek a beállítások nem feltételezik a magasan képzett biztonsági személyzet nagy létszámú személyzetét. Ezért a legtöbb vállalati szervezet számára elérhetőnek kell lenniük. Ez a konfiguráció a legtöbb olyan mobilfelhasználóra vonatkozik, aki munkahelyi vagy iskolai adatokat fér hozzá egy eszközön.
Ez a konfiguráció az 1. szintű konfigurációra terjed ki az adatátviteli vezérlők életbe adásával és az USB-eszközökhöz való hozzáférés letiltásával.
A 2. szintű beállítások tartalmazzák az 1. szinthez ajánlott összes házirend-beállítást. Az alábbi táblázatban felsorolt beállítások azonban csak a hozzáadott vagy módosított beállításokat tartalmazzák. Ezek a beállítások valamivel nagyobb hatással lehetnek a felhasználókra vagy az alkalmazásokra. Olyan biztonsági szintet kényszerítenek ki, amely jobban megfelel a mobileszközökön bizalmas információkhoz hozzáférő felhasználóknak.
Eszközkorlátozások
| Kategória | Beállítás | Érték | Megjegyzések: |
|---|---|---|---|
| App Store, doc megtekintés, játék | Vállalati dokumentumok megtekintésének letiltása nem felügyelt alkalmazásokban | Igen | |
| App Store, doc megtekintés, játék | Nem vállalati dokumentumok megtekintésének letiltása vállalati alkalmazásokban | Nincs konfigurálva | Az eszközkorlátozás engedélyezése letiltja az iOS Outlook névjegyek exportálását. Ez a beállítás nem ajánlott az iOS Outlook használata esetén. További információ: Támogatási tipp: Az Outlook iOS névjegyszinkronizálásának engedélyezése iOS12 MDM-vezérlőkkel. |
| App Store, doc megtekintés, játék | A felügyelt alkalmazások nem felügyelt partnerfiókokba írhatnak névjegyeket | Igen | Erre a beállításra azért van szükség, hogy az iOS Outlook exportálhassa a névjegyeket, ha a nem felügyelt alkalmazásokban a vállalati dokumentumok megtekintésének letiltásaigen értékre van állítva. További információ: Támogatási tipp: Az Outlook iOS névjegyszinkronizálásának engedélyezése iOS12 MDM-vezérlőkkel. |
| App Store, doc megtekintés, játék | A felügyelt megnyitások befolyásolhatják a másolást/beillesztést | Igen | Ennek a beállításnak az engedélyezése megakadályozza, hogy a felügyelt Microsoft-alkalmazások személyes fiókjai adatokat osszanak meg nem felügyelt alkalmazások között. |
| Beépített alkalmazások | Siri letiltása diktáláshoz | Igen | |
| Beépített alkalmazások | Siri letiltása fordításhoz | Igen | |
| Felhőtárhely | Vállalati könyvek biztonsági mentésének letiltása | Igen | |
| Felhőtárhely | Jegyzetek és kiemelések szinkronizálásának letiltása nagyvállalati könyvekhez | Igen | |
| Felhőtárhely | Az iCloud-dokumentumok és -adatok szinkronizálásának letiltása | Igen | |
| Csatlakoztatott eszközök | USB-hozzáférés letiltása a Fájlok alkalmazásban | Igen | |
| Általános | Diagnosztikai és használati adatok Apple-nek való küldésének letiltása | Igen |
Felügyelt magas biztonság (3. szint)
A 3. szint az ajánlott konfiguráció mindkettőhöz:
- Nagy és kifinomult biztonsági szervezetekkel rendelkező szervezetek.
- A támadók által egyedileg megcélzott konkrét felhasználók és csoportok.
Az ilyen szervezeteket általában jól finanszírozott és kifinomult támadók célozzák meg.
Ez a konfiguráció a 2. szinttel bővül:
- Erősebb jelszószabályzatokat léptet életbe.
- Az eszközfunkciók (például az AirPrint) letiltása.
- Alkalmazástelepítés megkövetelése az Apple mennyiségi vásárlási programján keresztül. További információ: Az Apple Business Manageren keresztül vásárolt iOS- és macOS-alkalmazások kezelése Microsoft Intune.
- További adatátviteli korlátozások kényszerítése (például az iCloud biztonsági mentésének letiltása).
A 3. szinten kikényszerített szabályzatbeállítások tartalmazzák a 2. szinthez ajánlott összes házirend-beállítást. Az alábbi táblázatban felsorolt beállítások csak a hozzáadott vagy módosított beállításokat tartalmazzák. Ezek a beállítások jelentős hatással lehetnek a felhasználókra vagy az alkalmazásokra. A megcélzott szervezeteket érintő kockázatoknak megfelelőbb biztonsági szintet kényszerítenek ki.
Eszközkorlátozások
| Kategória | Beállítás | Érték | Megjegyzések: |
|---|---|---|---|
| App Store, doc megtekintés, játék | Alkalmazás-áruház letiltása | Igen | |
| App Store, doc megtekintés, játék | Explicit zene, podcast és iTunes U lejátszásának letiltása | Igen | |
| App Store, doc megtekintés, játék | Játékközpont-barátok felvételének letiltása | Igen | |
| App Store, doc megtekintés, játék | Játékközpont blokkolása | Igen | |
| App Store, doc megtekintés, játék | Többszereplős játékok letiltása | Igen | |
| App Store, doc megtekintés, játék | Hálózati meghajtóhoz való hozzáférés letiltása a Fájlok alkalmazásban | Igen | |
| Beépített alkalmazások | Siri letiltása | Igen | |
| Beépített alkalmazások | Az iTunes áruház letiltása | Igen | |
| Beépített alkalmazások | A Barátok keresése letiltás | Igen | |
| Beépített alkalmazások | A Barátok keresése beállítás felhasználói módosításának letiltása | Igen | |
| Beépített alkalmazások | A Safari automatikus kitöltésének letiltása | Igen | |
| Felhő és tárolás | Átadás letiltása | Igen | |
| Felhő és tárolás | Az iCloud biztonsági mentésének letiltása | Igen | |
| Csatlakoztatott eszközök | AirPlay kimenő kérések párosítási jelszavának megkövetelése | Igen | |
| Csatlakoztatott eszközök | Az Apple Watch automatikus zárolásának letiltása | Igen | |
| Csatlakoztatott eszközök | Block AirDrop | Igen | |
| Csatlakoztatott eszközök | Nem Configurator-gazdagépekkel való párosítás letiltása | Igen | |
| Csatlakoztatott eszközök | AirPrint blokkolása | Igen | |
| Csatlakoztatott eszközök | Eszközök rendszerindításának engedélyezése a felhasználók számára a ki nem fizetett eszközökkel rendelkező helyreállítási módba | Nincs konfigurálva | |
| Általános | Képernyőképek és képernyőfelvételek letiltása | Igen | |
| Általános | Fiókbeállítások módosításának letiltása | Igen | |
| Általános | A felhasználók letilthatják az összes tartalom és beállítás törlését az eszközön | Igen | |
| Általános | Konfigurációs profil módosításainak letiltása | Igen | |
| Általános | Alkalmazások eltávolításának letiltása | Igen | |
| Általános | Automatikus adatok és idő kényszerítve | Igen | |
| Általános | VPN létrehozásának letiltása | Igen | |
| Általános | Az eSIM-beállítások módosításának letiltása | Igen | |
| Password | Bejelentkezési hibák száma az eszköz törlése előtt | 5 | A szervezeteknek frissíteniük kell ezt a beállítást, hogy megfeleljenek a jelszóházirendjüknek. |
| Password | Jelszó lejárata (nap) | 365 | A szervezeteknek frissíteniük kell ezt a beállítást, hogy megfeleljenek a jelszóházirendjüknek. |
| Password | Korábbi jelszavak újbóli felhasználásának megakadályozása | 5 | A szervezeteknek frissíteniük kell ezt a beállítást, hogy megfeleljenek a jelszóházirendjüknek. |
| Password | Jelszó automatikus kitöltésének letiltása | Igen | |
| Vezeték nélküli | Hangtárcsázás letiltása zárolt eszköz esetén | Igen | |
| Vezeték nélküli | Csak konfigurációs profilok használatával kell csatlakozni Wi-Fi hálózatokhoz | Nincs konfigurálva | Ügyeljen arra, hogy ezt a beállítást használja, mert ez befolyásolhatja az eszközhöz való csatlakozás képességét, ha a megadott Wi-Fi Hálózatok nem érhetők el, vagy ha a beállítás helytelenül van konfigurálva. Ez olyan helyzethez vezethet, amikor ön ki van zárva az eszközről, és nem tudja távolról alaphelyzetbe állítani az eszközt. |