Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In supporto del modello di sicurezza di Microsoft Zero Trust, questo articolo fornisce configurazioni di esempio che è possibile usare con Microsoft Intune per configurare le impostazioni di conformità dei dispositivi iOS/iPad per gli utenti mobili che usano dispositivi personali. Questi esempi includono tre livelli di configurazione della sicurezza dei dispositivi allineati ai principi di Zero Trust.
Quando si usano questi esempi, collaborare con il team di sicurezza per valutare l'ambiente delle minacce, la propensione al rischio e l'effetto che i diversi livelli e configurazioni possono avere sull'usabilità. Dopo aver esaminato e modificato gli esempi per soddisfare le esigenze dell'organizzazione, è possibile incorporarli all'interno di una metodologia di distribuzione circolare per l'uso di test e produzione importando i modelli JSON di esempio di iOS/iPadOS Security Configuration Framework con gli script di PowerShell di Intune.
Per altre informazioni su ogni impostazione di criterio, vedere Impostazioni del dispositivo iOS/iPadOS in Microsoft Intune.
Sicurezza di base personale (livello 1)
Il livello 1 è la configurazione di sicurezza minima consigliata per i dispositivi personali iOS/iPadOS in cui gli utenti accedono ai dati aziendali o dell'istituto di istruzione.
I criteri nel livello 1 applicano un livello di accesso ai dati ragionevole riducendo al minimo l'impatto sugli utenti. Questa operazione viene eseguita applicando criteri password, caratteristiche di blocco del dispositivo e disabilitando determinate funzioni del dispositivo,ad esempio certificati non attendibili.
Nella tabella seguente sono elencate solo le impostazioni configurate. Le impostazioni non elencate nella tabella non sono configurate in questo esempio.
Restrizioni di dispositivo
| Categoria | Impostazione | Valore | Note |
|---|---|---|---|
| App Store, Visualizzazione documenti, Giochi | Considerare AirDrop come una destinazione non gestita | Sì | |
| App predefinite | Bloccare Siri mentre il dispositivo è bloccato | Sì | |
| App predefinite | Richiedi avvisi di frode di Safari | Sì | |
| Cloud e archiviazione | Forzare il backup crittografato | Sì | |
| Cloud e archiviazione | Impedire alle app gestite di archiviare i dati in iCloud | Sì | |
| Dispositivi connessi | Forzare il rilevamento del polso di Apple Watch | Sì | |
| Generale | Bloccare i certificati TLS non attendibili | Sì | |
| Generale | Blocca l'attendibilità degli autori di nuove app aziendali | Sì | |
| Esperienza schermata bloccata | Blocca l'accesso al Centro notifiche nella schermata di blocco | Sì | |
| Esperienza schermata bloccata | Blocca visualizzazione Oggi nella schermata di blocco | Sì | |
| Password | Richiesta di una password | Sì | |
| Password | Bloccare le password semplici | Sì | |
| Password | Tipo di password richiesto | Numerico | |
| Password | Lunghezza minima password | 6 | Le organizzazioni devono aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password | Numero di errori di accesso prima della cancellazione del dispositivo | 10 | Le organizzazioni devono aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password | Numero massimo di minuti dopo il blocco dello schermo prima che sia necessaria la password | 5 | Le organizzazioni devono aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password | Numero massimo di minuti di inattività fino al blocco dello schermo | 5 | Le organizzazioni devono aggiornare questa impostazione in modo che corrisponda ai criteri password. |
Sicurezza avanzata personale (livello 2)
Il livello 2 è la configurazione consigliata per i dispositivi personali in cui gli utenti accedono a informazioni più sensibili. Questi dispositivi sono oggi un obiettivo naturale nelle aziende. Queste impostazioni non presuppongono un numero elevato di personale di sicurezza altamente qualificato. Pertanto, devono essere accessibili alla maggior parte delle organizzazioni aziendali. Questa configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione in un dispositivo.
Questa configurazione si espande sulla configurazione nel livello 1 applicando i controlli di condivisione dei dati.
Le impostazioni di livello 2 includono tutte le impostazioni dei criteri consigliate per il livello 1. Tuttavia, le impostazioni elencate nella tabella seguente includono solo quelle aggiunte o modificate. Queste impostazioni possono avere un impatto leggermente maggiore sugli utenti o sulle applicazioni. Applicano un livello di sicurezza più appropriato per i rischi per gli utenti con accesso alle informazioni sensibili nei dispositivi mobili.
Restrizioni di dispositivo
| Categoria | Impostazione | Valore | Note |
|---|---|---|---|
| App Store, Visualizzazione documenti, Giochi | Blocca la visualizzazione di documenti aziendali in app non gestite | Sì | |
| App Store, Visualizzazione documenti, Giochi | Blocca la visualizzazione di documenti non aziendali nelle app aziendali | Non configurata | L'abilitazione di questa restrizione del dispositivo blocca la capacità di Outlook per iOS di esportare i contatti. Questa impostazione non è consigliata se si usa Outlook per iOS. Per altre informazioni, vedere Suggerimento per il supporto tecnico: Abilitazione della sincronizzazione dei contatti di Outlook iOS con i controlli MDM iOS12. |
| App Store, Visualizzazione documenti, Giochi | Consentire alle app gestite di scrivere contatti in account di contatti non gestiti | Sì | Questa impostazione è necessaria per consentire a Outlook per iOS di esportare i contatti quando Blocca la visualizzazione di documenti aziendali in app non gestite è impostato su Sì. Per altre informazioni, vedere Suggerimento per il supporto tecnico: Abilitazione della sincronizzazione dei contatti di Outlook iOS con i controlli MDM iOS12. |
| App Store, Visualizzazione documenti, Giochi | Consenti l'influenza della copia/incolla da parte dell'apertura gestita | Non configurata | L'abilitazione di questa impostazione impedisce agli account personali all'interno di app Microsoft gestite di condividere dati in app non gestite. |
| App predefinite | Blocca Siri per la dettatura | Sì | |
| App predefinite | Blocca Siri per la traduzione | Sì | |
| Archiviazione cloud | Bloccare il backup dei libri aziendali | Sì | |
| Archiviazione cloud | Blocca note ed evidenziazioni per i libri aziendali | Sì | |
| Generale | Bloccare l'invio di dati di diagnostica e utilizzo ad Apple | Sì |
Sicurezza personale elevata (livello 3)
Il livello 3 è la configurazione consigliata per entrambi:
- Organizzazioni con organizzazioni di sicurezza di grandi dimensioni e sofisticate.
- Utenti e gruppi specifici assegnati in modo univoco dagli avversari.
Tali organizzazioni sono in genere mirate da avversari ben finanziati e sofisticati.
Questa configurazione si espande al livello 2 per:
- Applicazione di criteri password più forti.
- Disabilitazione della funzionalità del dispositivo, ad esempio screenshot e registrazioni dello schermo.
- Applicazione di restrizioni aggiuntive per il trasferimento dei dati, ad esempio il blocco dell'handoff.
Le impostazioni dei criteri applicate nel livello 3 includono tutte le impostazioni dei criteri consigliate per il livello 2. Le impostazioni elencate nella tabella seguente includono solo quelle aggiunte o modificate. Queste impostazioni possono avere un impatto significativo su utenti o applicazioni. Applicano un livello di sicurezza più appropriato per i rischi che le organizzazioni di destinazione devono affrontare.
Restrizioni di dispositivo
| Categoria | Impostazione | Valore | Note |
|---|---|---|---|
| Cloud e archiviazione | Blocca handoff | Sì | |
| Dispositivi connessi | Richiedere la password di associazione delle richieste in uscita di AirPlay | Sì | |
| Dispositivi connessi | Blocca lo sblocco automatico di Apple Watch | Sì | |
| Generale | Blocca screenshot e registrazione dello schermo | Sì | |
| Password | Numero di errori di accesso prima della cancellazione del dispositivo | 5 | Le organizzazioni devono aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password | Scadenza password (giorni) | 365 | Le organizzazioni devono aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password | Impedire il riutilizzo delle password precedenti | 5 | Le organizzazioni devono aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Wireless | Blocca la composizione vocale mentre il dispositivo è bloccato | Sì |