Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Till stöd för Microsoft Nolltillit säkerhetsmodell innehåller den här artikeln exempelkonfigurationer som du kan använda med Microsoft Intune för att konfigurera iOS/iPad-enhetsefterlevnadsinställningar för mobila användare med hjälp av övervakade enheter. De här exemplen omfattar tre nivåer av enhetssäkerhetskonfiguration som överensstämmer med Nolltillit principer.
När du använder de här exemplen kan du samarbeta med ditt säkerhetsteam för att utvärdera hotmiljön, riskaptiten och den effekt som de olika nivåerna och konfigurationerna kan ha på användbarheten. När du har granskat och justerat exemplen för att uppfylla behoven i din organisation kan du införliva dem i en ringdistributionsmetod för testning och produktionsanvändning genom att importera JSON-mallarna för iOS/iPadOS Security Configuration Framework med Intune PowerShell-skript.
Mer information om varje principinställning finns i enhetsinställningarna för iOS/iPadOS i Microsoft Intune.
Övervakad grundläggande säkerhet (nivå 1)
Nivå 1 är den minsta säkerhetskonfigurationen för en mobil företagsenhet som ägs av organisationen.
Principerna på nivå 1 tillämpar en rimlig dataåtkomstnivå samtidigt som påverkan på användarna minimeras genom att:
- Framtvinga lösenordsprinciper.
- Aktivera vissa egenskaper för enhetslås.
- Inaktivera vissa enhetsfunktioner (till exempel ej betrodda certifikat).
I följande tabell visas endast konfigurerade inställningar. Inställningar som inte visas i tabellen konfigureras inte i det här exemplet.
Enhetsbegränsningar
| Kategori | Inställning | Värde | Kommentar |
|---|---|---|---|
| App Store, Dokumentvisning, Spel | Behandla AirDrop som ett ohanterat mål | Ja | |
| Inbyggda appar | Blockera Siri när enheten är låst | Ja | |
| Inbyggda appar | Kräv bedrägerivarningar i Safari | Ja | |
| Moln och lagring | Framtvinga krypterad säkerhetskopiering | Ja | |
| Moln och lagring | Blockera hanterade appar från att lagra data i iCloud | Ja | |
| Moln och lagring | Blockera synkronisering av iCloud-nyckelringar | Ja | |
| Anslutna enheter | Framtvinga handledsidentifiering för Apple Watch | Ja | |
| Anslutna enheter | Blockera lagring av AirPrint-autentiseringsuppgifter i nyckelringen | Ja | |
| Anslutna enheter | Kräv AirPrint till mål med betrodda certifikat | Ja | |
| Anslutna enheter | Blockera iBeacon-identifiering av AirPrint-skrivare | Ja | |
| Anslutna enheter | Blockera konfiguration av nya enheter i närheten | Ja | |
| Allmän | Blockera ej betrodda TLS-certifikat | Ja | |
| Allmän | Blockera förtroende för nya företagsappförfattare | Ja | |
| Allmän | Tillåt aktiveringslås | Ja | |
| Låst skärmupplevelse | Blockera meddelandecenteråtkomst på låsskärmen | Ja | |
| Låst skärmupplevelse | Blockera vyn I dag på låsskärmen | Ja | |
| Lösenord | Kräv lösenord | Ja | |
| Lösenord | Blockera enkla lösenord | Ja | |
| Lösenord | Lösenordstyp som krävs | Numerisk | |
| Lösenord | Minsta längd på lösenord | 6 | Organisationer bör uppdatera den här inställningen så att den matchar deras lösenordsprincip. |
| Lösenord | Antal inloggningsfel innan enheten rensas | 10 | Organisationer bör uppdatera den här inställningen så att den matchar deras lösenordsprincip. |
| Lösenord | Maximalt antal minuter efter skärmlås innan lösenord krävs | 5 | Organisationer bör uppdatera den här inställningen så att den matchar deras lösenordsprincip. |
| Lösenord | Maximalt antal minuter av inaktivitet tills skärmen låss | 5 | Organisationer bör uppdatera den här inställningen så att den matchar deras lösenordsprincip. |
| Lösenord | Blockera begäranden om lösenordsnäring | Ja | |
| Lösenord | Blockera lösenordsdelning | Ja | |
| Lösenord | Kräv Touch ID- eller Face ID-autentisering för autofyll av lösenords- eller kreditkortsinformation | Ja |
Övervakad förbättrad säkerhet (nivå 2)
Nivå 2 är den rekommenderade konfigurationen för övervakade enheter där användarna får åtkomst till mer känslig information. Dessa enheter är ett naturligt mål i företag idag. De här inställningarna förutsätter inte en stor personal med högkvalificerad säkerhetspersonal. Därför bör de vara tillgängliga för de flesta företagsorganisationer. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata på en enhet.
Den här konfigurationen utökar konfigurationen på nivå 1 genom att anta dataöverföringskontroller och blockera åtkomst till USB-enheter.
Inställningarna på nivå 2 innehåller alla principinställningar som rekommenderas för nivå 1. Inställningarna som anges i följande tabell innehåller dock endast de inställningar som läggs till eller ändras. De här inställningarna kan ha en något högre inverkan på användare eller program. De tillämpar en säkerhetsnivå som är lämpligare för risker för användare med åtkomst till känslig information på mobila enheter.
Enhetsbegränsningar
| Kategori | Inställning | Värde | Kommentar |
|---|---|---|---|
| App Store, Dokumentvisning, Spel | Blockera visning av företagsdokument i ohanterade appar | Ja | |
| App Store, Dokumentvisning, Spel | Blockera visning av icke-företagsdokument i företagsappar | Inte konfigurerad | Om du aktiverar den här enhetsbegränsningen blockeras Outlook för iOS möjlighet att exportera kontakter. Den här inställningen rekommenderas inte om du använder Outlook för iOS. Mer information finns i Supporttips: Aktivera Outlook iOS-kontaktsynkronisering med iOS12 MDM-kontroller. |
| App Store, Dokumentvisning, Spel | Tillåt hanterade appar att skriva kontakter till ohanterade kontaktkonton | Ja | Den här inställningen krävs för att outlook för iOS ska kunna exportera kontakter när Blockera visning av företagsdokument i ohanterade appar är inställt på Ja. Mer information finns i Supporttips: Aktivera Outlook iOS-kontaktsynkronisering med iOS12 MDM-kontroller. |
| App Store, Dokumentvisning, Spel | Tillåt att kopiering/inklistring påverkas av hanterad öppning | Ja | Om du aktiverar den här inställningen blockeras personliga konton i hanterade Microsoft-appar från att dela data till ohanterade appar. |
| Inbyggda appar | Blockera Siri för diktering | Ja | |
| Inbyggda appar | Blockera Siri för översättning | Ja | |
| Molnlagring | Blockera säkerhetskopiering av företagsböcker | Ja | |
| Molnlagring | Blockera synkronisering av anteckningar och markeringar för företagsböcker | Ja | |
| Molnlagring | Blockera iCloud-dokument- och datasynkronisering | Ja | |
| Anslutna enheter | Blockera åtkomst till USB i files-appen | Ja | |
| Allmän | Blockera sändning av diagnostik- och användningsdata till Apple | Ja |
Övervakad hög säkerhet (nivå 3)
Nivå 3 är den rekommenderade konfigurationen för båda:
- Organisationer med stora och sofistikerade säkerhetsorganisationer.
- Specifika användare och grupper som är unikt mål för angripare.
Sådana organisationer är vanligtvis mål för välfinansierade och sofistikerade angripare.
Den här konfigurationen expanderar på nivå 2 genom att:
- Anta starkare lösenordsprinciper.
- Inaktivera enhetsfunktioner (som AirPrint).
- Kräver appinstallation via Apples volyminköpsprogram. Mer information finns i Hantera iOS- och macOS-appar som köpts via Apple Business Manager med Microsoft Intune.
- Framtvinga ytterligare dataöverföringsbegränsningar (till exempel blockera säkerhetskopiering av iCloud).
Principinställningarna som tillämpas på nivå 3 innehåller alla principinställningar som rekommenderas för nivå 2. Inställningarna som anges i följande tabell innehåller endast de som läggs till eller ändras. De här inställningarna kan ha stor inverkan på användare eller program. De tillämpar en säkerhetsnivå som är lämpligare för risker som riktas mot organisationer.
Enhetsbegränsningar
| Kategori | Inställning | Värde | Kommentar |
|---|---|---|---|
| App Store, Dokumentvisning, Spel | Blockera App Store | Ja | |
| App Store, Dokumentvisning, Spel | Blockera uppspelning av explicit musik, podcast och iTunes U | Ja | |
| App Store, Dokumentvisning, Spel | Blockera tillägg av Game Center-vänner | Ja | |
| App Store, Dokumentvisning, Spel | Blockera Spelcenter | Ja | |
| App Store, Dokumentvisning, Spel | Blockera spel för flera spelare | Ja | |
| App Store, Dokumentvisning, Spel | Blockera åtkomst till nätverksenhet i files-appen | Ja | |
| Inbyggda appar | Blockera Siri | Ja | |
| Inbyggda appar | Blockera iTunes Store | Ja | |
| Inbyggda appar | Blockera Hitta mina vänner | Ja | |
| Inbyggda appar | Blockera användarändringar i inställningarna för Hitta mina vänner | Ja | |
| Inbyggda appar | Blockera Autofyll i Safari | Ja | |
| Moln och lagring | Blockera överlämning | Ja | |
| Moln och lagring | Blockera säkerhetskopiering av iCloud | Ja | |
| Anslutna enheter | Kräv lösenord för airplay-utgående begäranden | Ja | |
| Anslutna enheter | Blockera automatisk upplåsning av Apple Watch | Ja | |
| Anslutna enheter | Blockera AirDrop | Ja | |
| Anslutna enheter | Blockera parkoppling med värdar som inte är configuratorer | Ja | |
| Anslutna enheter | Blockera AirPrint | Ja | |
| Anslutna enheter | Tillåt användare att starta enheter i återställningsläge med obetalda enheter | Inte konfigurerad | |
| Allmän | Blockera skärmbilder och skärminspelning | Ja | |
| Allmän | Blockera ändring av kontoinställningar | Ja | |
| Allmän | Blockera användare från att radera allt innehåll och alla inställningar på enheten | Ja | |
| Allmän | Blockera ändringar i konfigurationsprofilen | Ja | |
| Allmän | Blockera borttagning av appar | Ja | |
| Allmän | Framtvinga automatiska data och tid | Ja | |
| Allmän | Blockera skapande av VPN | Ja | |
| Allmän | Blockera ändring av eSIM-inställningar | Ja | |
| Lösenord | Antal inloggningsfel innan enheten rensas | 5 | Organisationer bör uppdatera den här inställningen så att den matchar deras lösenordsprincip. |
| Lösenord | Lösenordets giltighetstid (dagar) | 365 | Organisationer bör uppdatera den här inställningen så att den matchar deras lösenordsprincip. |
| Lösenord | Förhindra återanvändning av tidigare lösenord | 5 | Organisationer bör uppdatera den här inställningen så att den matchar deras lösenordsprincip. |
| Lösenord | Blockera automatisk ifyllning av lösenord | Ja | |
| Trådlös | Blockera röstsamtal när enheten är låst | Ja | |
| Trådlös | Kräv att du ansluter Wi-Fi nätverk endast med hjälp av konfigurationsprofiler | Inte konfigurerad | Var försiktig när du använder den här inställningen eftersom det kan påverka din möjlighet att ansluta till enheten om den angivna Wi-Fi Nätverk inte är tillgänglig eller om inställningen har konfigurerats felaktigt. Detta kan resultera i en situation där du är utelåst från enheten och inte kan fjärråterställa enheten. |