Microsoft ゼロ トラスト セキュリティ モデルをサポートするために、この記事では、個人用および監視対象のデバイスを使用してモバイル ユーザーの iOS/iPad デバイス コンプライアンス設定を構成するために、Microsoft Intuneで使用できる構成の例を示します。 これらの例には、ゼロ トラスト原則に沿ったデバイス セキュリティ構成のレベルが含まれます。
これらの例を使用する場合は、セキュリティ チームと協力して、脅威環境、リスクアペタイト、およびさまざまなレベルと構成が使いやすさに与える影響を評価してください。 organizationのニーズに合わせて例を確認して調整した後、サンプルの iOS/iPadOS セキュリティ構成フレームワーク JSON テンプレートをIntuneの PowerShell スクリプトでインポートすることで、テストと運用の使用のためのリングデプロイ手法に組み込むことができます。
注:
デバイス コンプライアンスに使用できる設定の数が限られているため、基本のセキュリティ (レベル 1) は提供されていません。
セキュリティの強化 (レベル 2)
ユーザーが職場や学校のデータにアクセスする iOS/iPadOS デバイスに対して推奨される最小限のセキュリティ構成は、レベル 2 です。 この構成は、デバイス上の職場や学校のデータにアクセスするほとんどのモバイル ユーザーに適用されます。
次の表に、構成されている設定のみを示します。 表に記載されていない設定は、この例では構成されていません。
| Section | 設定 | 値 | メモ |
|---|---|---|---|
| デバイスの正常性 | 脱獄されたデバイス | ブロック | |
| デバイスのプロパティ | 最小 OS バージョン | 形式: メジャー.マイナー 例: 14.8 |
Microsoft アプリに対してサポートされている iOS のバージョンと一致するように、最小の iOS メジャー バージョンを構成することをお勧めします。 Microsoft アプリでは、N が現在の iOS メジャー リリース バージョンである N-1 アプローチがサポートされています。 マイナー バージョンとビルド バージョンの値については、各セキュリティ更新プログラムでデバイスが最新の状態になるようにすることをお勧めします。 Apple の最新の推奨事項については、「Apple のセキュリティ更新プログラム」をご覧ください。 |
| システム セキュリティ | モバイル デバイスのロックを解除するパスワードを要求する | 必須 | |
| システム セキュリティ | 単純なパスワード | ブロック | |
| システム セキュリティ | パスワードの最小文字数 | 6 | 組織は、パスワード ポリシーと一致するようにこの設定を更新する必要があります。 |
| システム セキュリティ | パスワードの入力が必要 | 数値 | 組織は、パスワード ポリシーと一致するようにこの設定を更新する必要があります。 |
| システム セキュリティ | 画面ロック後にパスワードが要求されるまでの最長時間 (分) | 5 | 組織は、パスワード ポリシーと一致するようにこの設定を更新する必要があります。 |
| システム セキュリティ | 画面がロックされるまでの非アクティブな最長時間 (分) | 5 | 組織は、パスワード ポリシーと一致するようにこの設定を更新する必要があります。 |
| 非準拠のアクション | デバイスに非準拠のマークを付ける | 直ちに | 既定では、ポリシーはデバイスを非準拠としてマークするように構成されています。 追加のアクションを使用できます。 詳細については、「Intune で非準拠デバイスに対するアクションを構成する」を参照してください。 |
高いセキュリティ (レベル 3)
レベル 3 は、以下の両方に対して推奨される構成です。
- 大規模な洗練されたセキュリティ機構を持つ組織。
- 敵対者が一意にターゲットとする可能性がある特定のユーザーとグループ。
このような組織は、通常は、潤沢な資金を持つ世故に長けた敵対者の標的になります。
この構成は、次の方法でレベル 2 に拡張されます。
- オペレーティング システムの最小バージョンを上げる。
- 最も安全な Microsoft Defender for Endpoint またはモバイル脅威防御のレベルを適用することで、デバイスが準拠していることを保証する。
- 強力なパスワード ポリシーを設定する。
レベル 3 で適用されるポリシー設定には、レベル 2 で推奨されるすべてのポリシー設定が含まれています。 次の表に示す設定には、追加または変更された設定のみが含まれます。 これらの設定は、ユーザーまたはアプリケーションに大きな影響を与える可能性があります。 攻撃対象の組織が直面するリスクへの対応に適したレベルのセキュリティが提供されます。
| Section | 設定 | 値 | メモ |
|---|---|---|---|
| デバイスの正常性 | デバイスは、デバイス脅威レベル以下であることが必要 | セキュリティで保護 | この設定には、モバイル脅威防御製品が必要です。 詳細については、登録デバイスのモバイル脅威防御に関するページをご覧ください。 お客様は、Microsoft Defender for Endpoint またはモバイル脅威防御ソリューションの実装を検討する必要があります。 両方をデプロイする必要はありません。 |
| デバイスのプロパティ | 最小 OS バージョン | 形式: メジャー.マイナー 例: 15.0 |
Microsoft アプリに対してサポートされている iOS のバージョンと一致するように、最小の iOS メジャー バージョンを構成することをお勧めします。 Microsoft アプリでは、N が現在の iOS メジャー リリース バージョンである N-1 アプローチがサポートされています。 マイナー バージョンとビルド バージョンの値については、各セキュリティ更新プログラムでデバイスが最新の状態になるようにすることをお勧めします。 Apple の最新の推奨事項については、「Apple のセキュリティ更新プログラム」をご覧ください。 |
| Microsoft Defender for Endpoint | デバイスは、次のマシン リスク スコア以下であることが必要 | Clear | この設定には、Microsoft Defender for Endpoint が必要です。 詳細については、「Intune で条件付きアクセスによる Microsoft Defender for Endpoint のコンプライアンスを強制する」を参照してください。 お客様は、Microsoft Defender for Endpoint またはモバイル脅威防御ソリューションの実装を検討する必要があります。 両方をデプロイする必要はありません。 |
| システム セキュリティ | パスワードの有効期限 (日) | 365 | |
| 非準拠のアクション | デバイスに非準拠のマークを付ける | 直ちに | 既定では、ポリシーはデバイスを非準拠としてマークするように構成されています。 追加のアクションを使用できます。 詳細については、「Intune で非準拠デバイスに対するアクションを構成する」を参照してください。 |