为了支持Microsoft零信任安全模型,本文提供了可与 Microsoft Intune 配合使用的示例配置,以便为使用受监督设备的移动用户配置 iOS/iPad 设备符合性设置。 这些示例包括符合零信任原则的三个级别的设备安全配置。
使用这些示例时,请与安全团队协作,评估威胁环境、风险偏好,以及不同级别和配置对可用性的影响。 查看并调整示例以满足组织的需求后,可以通过导入示例 iOS/iPadOS 安全配置框架 JSON 模板和Intune的 PowerShell 脚本,将它们合并到用于测试和生产使用的环形部署方法中。
有关每个策略设置的详细信息,请参阅 Microsoft Intune 中的 iOS/iPadOS 设备设置。
受监督的基本安全 (级别 1)
对于组织拥有的企业移动设备,最低安全配置是级别 1。
级别 1 中的策略通过以下方式强制执行合理的数据访问级别,同时最大限度地降低对用户的影响:
- 强制执行密码策略。
- 启用某些设备锁定特征。
- 禁用某些设备功能(如不受信任的证书)。
下表列出了仅配置的设置。 本示例未配置表中未列出的设置。
设备限制
| 类别 | 设置 | 值 | 备注 |
|---|---|---|---|
| App Store、文档查看和游戏 | 将 AirDrop 视为非托管目标 | 是 | |
| 内置应用 | 在设备锁定时阻止 Siri | 是 | |
| 内置应用 | 需要 Safari 欺诈警告 | 是 | |
| 云和存储 | 强制加密的备份 | 是 | |
| 云和存储 | 阻止托管应用在 iCloud 中存储数据 | 是 | |
| 云和存储 | 阻止 iCloud 密钥链同步 | 是 | |
| 连接的设备 | 强制 Apple Watch 手腕检测 | 是 | |
| 连接的设备 | 阻止在密钥链中存储 AirPrint 凭据 | 是 | |
| 连接的设备 | 要求 AirPrint 输出到到具有受信任证书的目标 | 是 | |
| 连接的设备 | 阻止 iBeacon 发现 AirPrint 打印机 | 是 | |
| 连接的设备 | 阻止设置新的附近设备 | 是 | |
| 常规 | 阻止不受信任的 TLS 证书 | 是 | |
| 常规 | 阻止信任新的企业应用作者 | 是 | |
| 常规 | 允许激活锁 | 是 | |
| 锁定屏幕体验 | 阻止在锁定屏幕中访问通知中心 | 是 | |
| 锁定屏幕体验 | 阻止在锁定屏幕中使用“今日”视图 | 是 | |
| Password | 要求使用密码 | 是 | |
| Password | 禁止使用简单密码 | 是 | |
| Password | 所需密码类型 | 数值 | |
| Password | 最短密码长度 | 6 | 组织应更新此设置以匹配其密码策略。 |
| Password | 登录失败多少次后擦除设备 | 10 | 组织应更新此设置以匹配其密码策略。 |
| Password | 屏幕锁定后要求输入密码前的最大分钟数 | 5 | 组织应更新此设置以匹配其密码策略。 |
| Password | 最长经过多少分钟的非活动状态后锁定屏幕 | 5 | 组织应更新此设置以匹配其密码策略。 |
| Password | 阻止密码临近感应请求 | 是 | |
| Password | 阻止密码共享 | 是 | |
| Password | 需要 Touch ID 或 Face ID 身份验证来自动填充密码或信用卡信息 | 是 |
受监督的增强安全 (级别 2)
对于供用户访问更敏感信息的受监督设备,建议的配置是级别 2。 这些设备如今是企业中的自然目标。 这些设置不需要大量高技能的安全人员。 因此,它们应该对大多数企业组织是可访问的。 此配置适用于在设备上访问工作或学校数据的大多数移动用户。
通过执行数据传输控制并阻止访问 USB 设备,此配置扩展了级别 1 中的配置。
级别 2 设置包括针对级别 1 建议的所有策略设置。 但是,下表中列出的设置仅包括添加或更改的设置。 这些设置可能会对用户或应用程序产生略大的影响。 它们对在移动设备上访问敏感信息的风险用户强制执行更合适的安全性级别。
设备限制
| 类别 | 设置 | 值 | 备注 |
|---|---|---|---|
| App Store、文档查看和游戏 | 阻止在非托管应用中查看公司文档 | 是 | |
| App Store、文档查看和游戏 | 阻止在公司应用中查看非公司文档 | 未配置 | 启用此设备限制将阻止 Outlook for iOS 导出联系人的功能。 如果使用 Outlook for iOS,则不建议使用此设置。 有关详细信息,请参阅支持使用技巧:使用 IOS12 MDM 控件启用 Outlook IOS 联系人同步。 |
| App Store、文档查看和游戏 | 允许托管应用将联系人写入非托管联系人帐户 | 是 | 当“阻止在非托管应用中查看公司文档”设置为“是”时,需要此设置以允许 Outlook for iOS 导出联系人。 有关详细信息,请参阅支持使用技巧:使用 IOS12 MDM 控件启用 Outlook IOS 联系人同步。 |
| App Store、文档查看和游戏 | 允许复制/粘贴受托管打开项的影响 | 是 | 启用此设置会阻止托管Microsoft应用中的个人帐户将数据共享到非托管应用。 |
| 内置应用 | 阻止 Siri 听写 | 是 | |
| 内置应用 | 阻止 Siri 进行翻译 | 是 | |
| 云存储 | 阻止备份企业簿 | 是 | |
| 云存储 | 阻止企业簿的备注和重要内容同步 | 是 | |
| 云存储 | 阻止 iCloud 文档和数据同步 | 是 | |
| 连接的设备 | 阻止在“文件”应用中访问 USB | 是 | |
| 常规 | 阻止将诊断和使用情况数据发送到 Apple | 是 |
监督式高安全性 (级别 3)
对于以下两种情况,建议的配置是级别 3:
- 具有复杂的大型安全组织的组织。
- 攻击者唯一目标的特定用户和组。
此类组织通常是资金雄厚且经验丰富的对手的目标。
此配置按以下方式在级别 2 上扩展:
- 制定更强的密码策略。
- 禁用设备功能(如 AirPrint)。
- 需要通过 Apple 的批量采购计划来安装应用。 有关详细信息,请参阅如何使用 Microsoft Intune 管理通过 Apple 商务管理购买的 iOS 和 macOS 应用。
- 强制执行其他数据传输限制(如阻止 iCloud 备份)。
在级别 3 中强制执行的策略设置包括针对级别 2 建议的所有策略设置。 下表中列出的设置仅包括已添加或更改的设置。 这些设置可能会对用户或应用程序产生重大影响。 它们执行更适合于目标组织所面临风险的安全性级别。
设备限制
| 类别 | 设置 | 值 | 备注 |
|---|---|---|---|
| App Store、文档查看和游戏 | 阻止 App Store | 是 | |
| App Store、文档查看和游戏 | 阻止播放限制级音乐、播客和 iTunes U | 是 | |
| App Store、文档查看和游戏 | 阻止添加 Game Center 好友 | 是 | |
| App Store、文档查看和游戏 | 阻止 Game Center | 是 | |
| App Store、文档查看和游戏 | 阻止多玩家游戏 | 是 | |
| App Store、文档查看和游戏 | 阻止在“文件”应用中访问网络驱动器 | 是 | |
| 内置应用 | 阻止 Siri | 是 | |
| 内置应用 | 阻止 iTunes Store | 是 | |
| 内置应用 | 阻止“查找我的好友” | 是 | |
| 内置应用 | 阻止用户修改“查找我的好友”设置 | 是 | |
| 内置应用 | 阻止 Safari 自动填充 | 是 | |
| 云和存储 | 阻止 Handoff | 是 | |
| 云和存储 | 阻止 iCloud 备份 | 是 | |
| 连接的设备 | 需要 AirPlay 传出请求配对密码 | 是 | |
| 连接的设备 | 阻止 Apple Watch 自动解锁 | 是 | |
| 连接的设备 | 阻止 AirDrop | 是 | |
| 连接的设备 | 阻止与非配置器主机配对 | 是 | |
| 连接的设备 | 阻止 AirPrint | 是 | |
| 连接的设备 | 允许用户通过不成对的设备引导设备进入恢复模式 | 未配置 | |
| 常规 | 阻止屏幕截图和屏幕录制 | 是 | |
| 常规 | 阻止修改帐户设置 | 是 | |
| 常规 | 阻止用户擦除设备上的所有内容和设置 | 是 | |
| 常规 | 阻止配置文件更改 | 是 | |
| 常规 | 阻止删除应用 | 是 | |
| 常规 | 强制执行自动日期和时间 | 是 | |
| 常规 | 阻止 VPN 创建 | 是 | |
| 常规 | 阻止修改 eSIM 设置 | 是 | |
| Password | 登录失败多少次后擦除设备 | 5 | 组织应更新此设置以匹配其密码策略。 |
| Password | 密码过期(天数) | 365 | 组织应更新此设置以匹配其密码策略。 |
| Password | 防止重用以前的密码 | 5 | 组织应更新此设置以匹配其密码策略。 |
| Password | 阻止密码自动填充 | 是 | |
| 无线 | 阻止在设备锁定时进行语音拨号 | 是 | |
| 无线 | 仅需要使用配置文件联接 Wi-Fi 网络 | 未配置 | 使用此设置时请小心,因为如果指定的 Wi-Fi 网络不可用或设置配置不正确,可能会影响连接到设备的能力。 这可能会导致你被锁定在设备外,并且无法远程重置设备。 |