iOS/iPadOS 设备合规性安全配置示例

为了支持Microsoft零信任安全模型,本文提供了可与 Microsoft Intune 配合使用的示例配置,以便为使用个人和受监督设备的移动用户配置 iOS/iPad 设备符合性设置。 这些示例包括符合零信任原则的设备安全配置级别。

使用这些示例时,请与安全团队协作,评估威胁环境、风险偏好,以及不同级别和配置对可用性的影响。 查看并调整示例以满足组织的需求后,可以通过导入示例 iOS/iPadOS 安全配置框架 JSON 模板Intune的 PowerShell 脚本,将它们合并到用于测试和生产使用的环形部署方法中。

注意

鉴于可用于设备合规性的设置数量有限,因此没有基本安全性(级别 1)产品/服务。

增强的安全 (级别 2)

对于供用户访问工作或学校数据的 iOS/iPadOS 设备,建议的最低安全配置是级别 2。 此配置适用于在设备上访问工作或学校数据的大多数移动用户。

下表列出了仅配置的设置。 本示例未配置表中未列出的设置。

设置 备注
设备运行状况 已破解的设备 阻止
设备属性 最低操作系统版本 格式:Major.Minor
示例:14.8
Microsoft 建议配置最低 iOS 主要版本,以便与 Microsoft 应用支持的 iOS 版本匹配。 Microsoft应用支持 N-1 方法,其中 N 是当前的 iOS 主要版本。 对于次要版本和内部版本值,Microsoft 建议确保设备通过相应的安全更新保持最新状态。 有关 Apple 的最新建议,请参阅 Apple 安全更新
系统安全 需要密码才可解锁移动设备 需要
系统安全 简单密码 阻止
系统安全 最短密码长度 6 组织应更新此设置以匹配其密码策略。
系统安全 所需密码类型 数值 组织应更新此设置以匹配其密码策略。
系统安全 屏幕锁定后要求输入密码前的最大分钟数 5 组织应更新此设置以匹配其密码策略。
系统安全 最长经过多少分钟的非活动状态后锁定屏幕 5 组织应更新此设置以匹配其密码策略。
针对不合规内容的操作 将设备标记为不符合 立即 默认情况下,此策略配置为将设备标记为不符合。 还可以执行其他操作。 有关详细信息,请参阅在 Intune 中为不符合要求的设备配置操作

高安全性 (级别 3)

对于以下两种情况,建议的配置是级别 3:

  • 具有复杂的大型安全组织的组织。
  • 可能成为攻击者唯一目标的特定用户和组。

此类组织通常是资金雄厚且经验丰富的对手的目标。

此配置按以下方式在级别 2 上扩展:

  • 增加最低操作系统版本。
  • 通过强制执行最安全的 Microsoft Defender for Endpoint 或移动威胁防御级别,确保设备符合要求。
  • 制定更强的密码策略。

在级别 3 中强制执行的策略设置包括针对级别 2 建议的所有策略设置。 下表中列出的设置仅包括已添加或更改的设置。 这些设置可能会对用户或应用程序产生重大影响。 它们执行更适合于目标组织所面临风险的安全性级别。

设置 备注
设备运行状况 要求设备不高于设备威胁级别 安全 此设置需要移动威胁防御产品。 有关详细信息,请参阅适用于已注册设备的移动威胁防御
客户应考虑实现 Microsoft Defender for Endpoint 或移动威胁防御解决方案。 不需要同时部署这两者。
设备属性 最低操作系统版本 格式:Major.Minor
示例:15.0
Microsoft 建议配置最低 iOS 主要版本,以便与 Microsoft 应用支持的 iOS 版本匹配。 Microsoft应用支持 N-1 方法,其中 N 是当前的 iOS 主要版本。 对于次要版本和内部版本值,Microsoft 建议确保设备通过相应的安全更新保持最新状态。 有关 Apple 的最新建议,请参阅 Apple 安全更新
Microsoft Defender for Endpoint 要求设备不超过计算机风险评分 Clear 此设置需要 Microsoft Defender for Endpoint。 有关详细信息,请参阅在 Intune 中使用条件访问强制执行 Microsoft Defender for Endpoint 的合规性
客户应考虑实现 Microsoft Defender for Endpoint 或移动威胁防御解决方案。 不需要同时部署这两者。
系统安全 密码过期(天数) 365
针对不合规内容的操作 将设备标记为不符合 立即 默认情况下,此策略配置为将设备标记为不符合。 还可以执行其他操作。 有关详细信息,请参阅在 Intune 中为不符合要求的设备配置操作