Microsoft ゼロ トラスト セキュリティ モデルをサポートするために、この記事では、監視対象デバイスを使用してモバイル ユーザーの iOS/iPad デバイス コンプライアンス設定を構成するために、Microsoft Intuneで使用できる構成の例を示します。 これらの例には、ゼロ トラストの原則に沿った 3 レベルのデバイス セキュリティ構成が含まれます。
これらの例を使用する場合は、セキュリティ チームと協力して、脅威環境、リスクアペタイト、およびさまざまなレベルと構成が使いやすさに与える影響を評価してください。 organizationのニーズに合わせて例を確認して調整した後、サンプルの iOS/iPadOS セキュリティ構成フレームワーク JSON テンプレートをIntuneの PowerShell スクリプトでインポートすることで、テストと運用の使用のためのリングデプロイ手法に組み込むことができます。
各ポリシー設定の詳細については、Microsoft Intune での iOS/iPadOS デバイスの設定に関するページを参照してください。
監視対象の基本セキュリティ (レベル 1)
レベル 1 は、組織が所有するエンタープライズ モバイル デバイスに対する最小限のセキュリティ構成です。
レベル 1 のポリシーでは、以下を実行することで、ユーザーへの影響を最小限に抑えながら、妥当なデータ アクセス レベルを適用します。
- パスワード ポリシーを適用する。
- 特定のデバイス ロック特性を有効にする。
- 特定のデバイス機能 (信頼できない証明書など) を無効にする。
次の表に、構成されている設定のみを示します。 表に記載されていない設定は、この例では構成されていません。
デバイスの制限
| カテゴリ | 設定 | 値 | メモ |
|---|---|---|---|
| アプリ ストア、ドキュメント表示、ゲーム | Airdrop を管理対象外として扱う | はい | |
| 組み込みアプリ | デバイスのロック中に Siri をブロックする | はい | |
| 組み込みアプリ | Safari の詐欺の警告を必須にする | はい | |
| クラウドとストレージ | 暗号化されたバックアップを強制する | はい | |
| クラウドとストレージ | マネージド アプリによる iCloud へのデータ保存をブロックする | はい | |
| クラウドとストレージ | iCloud キーチェーンの同期をブロックする | はい | |
| 接続されたデバイス | Apple Watch の手首検出を強制する | はい | |
| 接続されたデバイス | AirPrint の資格情報のキーチェーンへの保存をブロックする | はい | |
| 接続されたデバイス | AirPrint で、信頼された証明書のある宛先に印刷することを必須にする | はい | |
| 接続されたデバイス | AirPrint プリンターの iBeacon 検出をブロックする | はい | |
| 接続されたデバイス | 新しい周辺のデバイスを設定することをブロックする | はい | |
| 全般 | 信頼されていない TLS 証明書をブロックする | はい | |
| 全般 | 新しいエンタープライズ アプリ作成者を信頼することをブロックする | はい | |
| 全般 | アクティベーション ロックを許可する | はい | |
| ロック画面 | ロック画面での通知センターへのアクセスをブロックする | はい | |
| ロック画面 | ロック画面で [今日] ビューをブロックする | はい | |
| Password | パスワードを要求 | はい | |
| Password | 単純なパスワードをブロックする | はい | |
| Password | パスワードの入力が必要 | 数値 | |
| Password | パスワードの最小文字数 | 6 | 組織は、パスワード ポリシーと一致するようにこの設定を更新する必要があります。 |
| Password | デバイスがワイプされるまでのサインイン失敗回数 | 10 | 組織は、パスワード ポリシーと一致するようにこの設定を更新する必要があります。 |
| Password | 画面ロック後にパスワードが要求されるまでの最長時間 (分) | 5 | 組織は、パスワード ポリシーと一致するようにこの設定を更新する必要があります。 |
| Password | 画面がロックされるまでの非アクティブな最長時間 (分) | 5 | 組織は、パスワード ポリシーと一致するようにこの設定を更新する必要があります。 |
| Password | パスワード近接要求をブロックする | はい | |
| Password | パスワード共有をブロックする | はい | |
| Password | パスワードまたはクレジット カード情報のオートフィルで Touch ID または Face ID の認証を必須にする | はい |
監視対象の強化されたセキュリティ (レベル 2)
レベル 2 は、ユーザーがより機密性の高い情報にアクセスする管理されたデバイスに対して推奨される構成です。 これらのデバイスは、今日の企業では自然な対象です。 これらの設定では、高いスキルを持つセキュリティ担当者の大規模な配置は想定されていません。 そのため、ほとんどのエンタープライズ組織が利用しやすくなっています。 この構成は、デバイス上の職場や学校のデータにアクセスするほとんどのモバイル ユーザーに適用されます。
この構成では、データ転送制御を設定し、USB デバイスへのアクセスをブロックすることで、レベル 1 の構成に基づいて拡張されます。
レベル 2 の設定には、レベル 1 で推奨されるすべてのポリシー設定が含まれています。 ただし、次の表に示す設定には、追加または変更された設定のみが含まれます。 これらの設定は、ユーザーやアプリケーションへの影響が少し大きくなる可能性があります。 モバイル デバイスで機密情報にアクセスするユーザーが直面するリスクへの対応に適したレベルのセキュリティが提供されます。
デバイスの制限
| カテゴリ | 設定 | 値 | メモ |
|---|---|---|---|
| アプリ ストア、ドキュメント表示、ゲーム | アンマネージド アプリでの会社のドキュメントの表示をブロックする | はい | |
| アプリ ストア、ドキュメント表示、ゲーム | 社内アプリでの社外ドキュメントの表示をブロックする | 未構成 | このデバイス制限を有効にすると、Outlook for iOS の連絡先をエクスポートする機能がブロックされます。 この設定は、Outlook for iOS を使用する場合は推奨されません。 詳細については、「サポート ヒント: iOS12 MDM コントロールによる Outlook iOS の連絡先同期の有効化」を参照してください。 |
| アプリ ストア、ドキュメント表示、ゲーム | マネージド アプリによるアンマネージド連絡先アカウントへの連絡先の書き込みを許可する | はい | この設定は、[アンマネージド アプリでの会社のドキュメントの表示をブロックする] が [はい] に設定されている場合に、Outlook for iOS で連絡先をエクスポートできるようにするために必要です。 詳細については、「サポート ヒント: iOS12 MDM コントロールによる Outlook iOS の連絡先同期の有効化」を参照してください。 |
| アプリ ストア、ドキュメント表示、ゲーム | マネージド オープンインの影響を受けられるように、コピー/貼り付けを許可する | はい | この設定を有効にすると、マネージド Microsoft アプリ内の個人アカウントが、非管理対象アプリにデータを共有できなくなります。 |
| 組み込みアプリ | Block Siri for dictation (ディクテーションのために Siri をブロックする) | はい | |
| 組み込みアプリ | Siri の翻訳をブロックする | はい | |
| クラウド ストレージ | Enterprise Book のバックアップをブロックする | はい | |
| クラウド ストレージ | Enterprise Book のメモと強調表示の同期をブロックする | はい | |
| クラウド ストレージ | iCloud のドキュメントとデータの同期をブロックする | はい | |
| 接続されたデバイス | ファイル アプリでの USB へのアクセスをブロックする | はい | |
| 全般 | Apple への診断データと使用状況データの送信をブロックする | はい |
監視対象の高いセキュリティ (レベル 3)
レベル 3 は、以下の両方に対して推奨される構成です。
- 大規模な洗練されたセキュリティ機構を持つ組織。
- 敵対者が一意にターゲットとする特定のユーザーとグループ。
このような組織は、通常は、潤沢な資金を持つ世故に長けた敵対者の標的になります。
この構成は、次の方法でレベル 2 に拡張されます。
- 強力なパスワード ポリシーを設定する。
- デバイス機能 (AirPrint など) を無効にする。
- Apple の Volume Purchase Program を通じたアプリのインストールを必要とする。 詳細については、「Apple Business Manager で購入した iOS アプリと macOS アプリを Microsoft Intune で管理する方法」を参照してください。
- 追加のデータ転送制限 (iCloud バックアップのブロックなど) を適用する。
レベル 3 で適用されるポリシー設定には、レベル 2 で推奨されるすべてのポリシー設定が含まれています。 次の表に示す設定には、追加または変更された設定のみが含まれます。 これらの設定は、ユーザーまたはアプリケーションに大きな影響を与える可能性があります。 攻撃対象の組織が直面するリスクへの対応に適したレベルのセキュリティが提供されます。
デバイスの制限
| カテゴリ | 設定 | 値 | メモ |
|---|---|---|---|
| アプリ ストア、ドキュメント表示、ゲーム | App Store をブロックする | はい | |
| アプリ ストア、ドキュメント表示、ゲーム | 成人指定の音楽、ポッドキャスト、iTunes U の再生をブロックする | はい | |
| アプリ ストア、ドキュメント表示、ゲーム | Game Center の友達の追加をブロックする | はい | |
| アプリ ストア、ドキュメント表示、ゲーム | Game Center をブロックする | はい | |
| アプリ ストア、ドキュメント表示、ゲーム | マルチプレイヤー ゲームをブロックする | はい | |
| アプリ ストア、ドキュメント表示、ゲーム | ファイル アプリでのネットワーク ドライブへのアクセスをブロックする | はい | |
| 組み込みアプリ | Siri をブロックする | はい | |
| 組み込みアプリ | iTunes ストアをブロックする | はい | |
| 組み込みアプリ | "友達を探す" をブロックする | はい | |
| 組み込みアプリ | "友達を探す" の設定をユーザーが変更することをブロックする | はい | |
| 組み込みアプリ | Safari のオートフィルをブロックする | はい | |
| クラウドとストレージ | Handoff をブロックする | はい | |
| クラウドとストレージ | iCloud バックアップをブロックする | はい | |
| 接続されたデバイス | AirPlay 送信要求のペアリング パスワードが必須 | はい | |
| 接続されたデバイス | Apple Watch によるロック自動解除を禁止する | はい | |
| 接続されたデバイス | AirDrop を禁止する | はい | |
| 接続されたデバイス | 非 Configurator ホストとのペアリングをブロックする | はい | |
| 接続されたデバイス | AirPrint をブロックする | はい | |
| 接続されたデバイス | Allow users to boot devices into recovery mode with unpaired devices (ユーザーがペアリングされていないデバイスを回復モードで起動できるようにする) | 未構成 | |
| 全般 | スクリーンショットと画面録画をブロックする | はい | |
| 全般 | アカウント設定の変更をブロックする | はい | |
| 全般 | ユーザーがデバイス上のすべてのコンテンツと設定を消去できないようにブロックする | はい | |
| 全般 | 構成プロファイルの変更をブロックする | はい | |
| 全般 | アプリの削除をブロックする | はい | |
| 全般 | 日付と時刻の自動設定を強制する | はい | |
| 全般 | VPN の作成をブロックする | はい | |
| 全般 | eSIM 設定の変更をブロックする | はい | |
| Password | デバイスがワイプされるまでのサインイン失敗回数 | 5 | 組織は、パスワード ポリシーと一致するようにこの設定を更新する必要があります。 |
| Password | パスワードの有効期限 (日) | 365 | 組織は、パスワード ポリシーと一致するようにこの設定を更新する必要があります。 |
| Password | 前のパスワードの再利用を防止 | 5 | 組織は、パスワード ポリシーと一致するようにこの設定を更新する必要があります。 |
| Password | パスワード オートフィルをブロックする | はい | |
| ワイヤレス | デバイスがロックされている間は音声ダイヤルをブロックする | はい | |
| ワイヤレス | 構成プロファイルを使用している Wi-Fi ネットワークのみに参加することを必須にする | 未構成 | この設定を使用する場合は、指定した Wi-Fi ネットワークが使用できない場合や、設定が正しく構成されていない場合に、デバイスに接続する機能に影響する可能性があるため、注意してください。 これにより、デバイスからロックアウトされ、デバイスをリモートでリセットできない状況が発生する可能性があります。 |