为了支持Microsoft零信任安全模型,本文提供了可与 Microsoft Intune 配合使用的示例配置,以便为使用个人和受监督设备的移动用户配置 iOS/iPad 设备符合性设置。 这些示例包括符合零信任原则的设备安全配置级别。
使用这些示例时,请与安全团队协作,评估威胁环境、风险偏好,以及不同级别和配置对可用性的影响。 查看并调整示例以满足组织的需求后,可以通过导入示例 iOS/iPadOS 安全配置框架 JSON 模板和Intune的 PowerShell 脚本,将它们合并到用于测试和生产使用的环形部署方法中。
注意
鉴于可用于设备合规性的设置数量有限,因此没有基本安全性(级别 1)产品/服务。
增强的安全 (级别 2)
对于供用户访问工作或学校数据的 iOS/iPadOS 设备,建议的最低安全配置是级别 2。 此配置适用于在设备上访问工作或学校数据的大多数移动用户。
下表列出了仅配置的设置。 本示例未配置表中未列出的设置。
节 | 设置 | 值 | 备注 |
---|---|---|---|
设备运行状况 | 已破解的设备 | 阻止 | |
设备属性 | 最低操作系统版本 | 格式:Major.Minor 示例:14.8 |
Microsoft 建议配置最低 iOS 主要版本,以便与 Microsoft 应用支持的 iOS 版本匹配。 Microsoft应用支持 N-1 方法,其中 N 是当前的 iOS 主要版本。 对于次要版本和内部版本值,Microsoft 建议确保设备通过相应的安全更新保持最新状态。 有关 Apple 的最新建议,请参阅 Apple 安全更新。 |
系统安全 | 需要密码才可解锁移动设备 | 需要 | |
系统安全 | 简单密码 | 阻止 | |
系统安全 | 最短密码长度 | 6 | 组织应更新此设置以匹配其密码策略。 |
系统安全 | 所需密码类型 | 数值 | 组织应更新此设置以匹配其密码策略。 |
系统安全 | 屏幕锁定后要求输入密码前的最大分钟数 | 5 | 组织应更新此设置以匹配其密码策略。 |
系统安全 | 最长经过多少分钟的非活动状态后锁定屏幕 | 5 | 组织应更新此设置以匹配其密码策略。 |
针对不合规内容的操作 | 将设备标记为不符合 | 立即 | 默认情况下,此策略配置为将设备标记为不符合。 还可以执行其他操作。 有关详细信息,请参阅在 Intune 中为不符合要求的设备配置操作。 |
高安全性 (级别 3)
对于以下两种情况,建议的配置是级别 3:
- 具有复杂的大型安全组织的组织。
- 可能成为攻击者唯一目标的特定用户和组。
此类组织通常是资金雄厚且经验丰富的对手的目标。
此配置按以下方式在级别 2 上扩展:
- 增加最低操作系统版本。
- 通过强制执行最安全的 Microsoft Defender for Endpoint 或移动威胁防御级别,确保设备符合要求。
- 制定更强的密码策略。
在级别 3 中强制执行的策略设置包括针对级别 2 建议的所有策略设置。 下表中列出的设置仅包括已添加或更改的设置。 这些设置可能会对用户或应用程序产生重大影响。 它们执行更适合于目标组织所面临风险的安全性级别。
节 | 设置 | 值 | 备注 |
---|---|---|---|
设备运行状况 | 要求设备不高于设备威胁级别 | 安全 | 此设置需要移动威胁防御产品。 有关详细信息,请参阅适用于已注册设备的移动威胁防御。 客户应考虑实现 Microsoft Defender for Endpoint 或移动威胁防御解决方案。 不需要同时部署这两者。 |
设备属性 | 最低操作系统版本 | 格式:Major.Minor 示例:15.0 |
Microsoft 建议配置最低 iOS 主要版本,以便与 Microsoft 应用支持的 iOS 版本匹配。 Microsoft应用支持 N-1 方法,其中 N 是当前的 iOS 主要版本。 对于次要版本和内部版本值,Microsoft 建议确保设备通过相应的安全更新保持最新状态。 有关 Apple 的最新建议,请参阅 Apple 安全更新。 |
Microsoft Defender for Endpoint | 要求设备不超过计算机风险评分 | Clear | 此设置需要 Microsoft Defender for Endpoint。 有关详细信息,请参阅在 Intune 中使用条件访问强制执行 Microsoft Defender for Endpoint 的合规性。 客户应考虑实现 Microsoft Defender for Endpoint 或移动威胁防御解决方案。 不需要同时部署这两者。 |
系统安全 | 密码过期(天数) | 365 | |
针对不合规内容的操作 | 将设备标记为不符合 | 立即 | 默认情况下,此策略配置为将设备标记为不符合。 还可以执行其他操作。 有关详细信息,请参阅在 Intune 中为不符合要求的设备配置操作。 |