Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In supporto del modello di sicurezza di Microsoft Zero Trust, questo articolo fornisce configurazioni di esempio che è possibile usare con Microsoft Intune per configurare le impostazioni di conformità dei dispositivi iOS/iPad per gli utenti mobili usando dispositivi con supervisione. Questi esempi includono tre livelli di configurazione della sicurezza dei dispositivi allineati ai principi di Zero Trust.
Quando si usano questi esempi, collaborare con il team di sicurezza per valutare l'ambiente delle minacce, la propensione al rischio e l'effetto che i diversi livelli e configurazioni possono avere sull'usabilità. Dopo aver esaminato e modificato gli esempi per soddisfare le esigenze dell'organizzazione, è possibile incorporarli all'interno di una metodologia di distribuzione circolare per l'uso di test e produzione importando i modelli JSON di esempio di iOS/iPadOS Security Configuration Framework con gli script di PowerShell di Intune.
Per altre informazioni su ogni impostazione di criterio, vedere Impostazioni del dispositivo iOS/iPadOS in Microsoft Intune.
Sicurezza di base supervisionata (livello 1)
Il livello 1 è la configurazione di sicurezza minima per un dispositivo mobile aziendale di proprietà dell'organizzazione.
I criteri nel livello 1 applicano un livello di accesso ai dati ragionevole riducendo al minimo l'impatto sugli utenti:
- Applicazione dei criteri password.
- Abilitazione di determinate caratteristiche di blocco del dispositivo.
- Disabilitazione di determinate funzioni del dispositivo, ad esempio i certificati non attendibili.
Nella tabella seguente sono elencate solo le impostazioni configurate. Le impostazioni non elencate nella tabella non sono configurate in questo esempio.
Restrizioni di dispositivo
| Categoria | Impostazione | Valore | Note |
|---|---|---|---|
| App Store, Visualizzazione documenti, Giochi | Considerare AirDrop come una destinazione non gestita | Sì | |
| App predefinite | Bloccare Siri mentre il dispositivo è bloccato | Sì | |
| App predefinite | Richiedi avvisi di frode di Safari | Sì | |
| Cloud e archiviazione | Forzare il backup crittografato | Sì | |
| Cloud e archiviazione | Impedire alle app gestite di archiviare i dati in iCloud | Sì | |
| Cloud e archiviazione | Blocca la sincronizzazione keychain iCloud | Sì | |
| Dispositivi connessi | Forzare il rilevamento del polso di Apple Watch | Sì | |
| Dispositivi connessi | Bloccare l'archiviazione delle credenziali airprint nel keychain | Sì | |
| Dispositivi connessi | Richiedere AirPrint alle destinazioni con certificati attendibili | Sì | |
| Dispositivi connessi | Bloccare l'individuazione iBeacon delle stampanti AirPrint | Sì | |
| Dispositivi connessi | Blocca la configurazione di nuovi dispositivi nelle vicinanze | Sì | |
| Generale | Bloccare i certificati TLS non attendibili | Sì | |
| Generale | Blocca l'attendibilità degli autori di nuove app aziendali | Sì | |
| Generale | Consenti blocco attivazione | Sì | |
| Esperienza schermata bloccata | Blocca l'accesso al Centro notifiche nella schermata di blocco | Sì | |
| Esperienza schermata bloccata | Blocca visualizzazione Oggi nella schermata di blocco | Sì | |
| Password | Richiesta di una password | Sì | |
| Password | Bloccare le password semplici | Sì | |
| Password | Tipo di password richiesto | Numerico | |
| Password | Lunghezza minima password | 6 | Le organizzazioni devono aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password | Numero di errori di accesso prima della cancellazione del dispositivo | 10 | Le organizzazioni devono aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password | Numero massimo di minuti dopo il blocco dello schermo prima che sia necessaria la password | 5 | Le organizzazioni devono aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password | Numero massimo di minuti di inattività fino al blocco dello schermo | 5 | Le organizzazioni devono aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password | Bloccare le richieste di prossimità delle password | Sì | |
| Password | Bloccare la condivisione delle password | Sì | |
| Password | Richiedere l'autenticazione Touch ID o Face ID per il riempimento automatico delle informazioni sulla password o sulla carta di credito | Sì |
Sicurezza avanzata con supervisione (livello 2)
Il livello 2 è la configurazione consigliata per i dispositivi con supervisione in cui gli utenti accedono a informazioni più sensibili. Questi dispositivi sono oggi un obiettivo naturale nelle aziende. Queste impostazioni non presuppongono un numero elevato di personale di sicurezza altamente qualificato. Pertanto, devono essere accessibili alla maggior parte delle organizzazioni aziendali. Questa configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione in un dispositivo.
Questa configurazione si espande in base alla configurazione nel livello 1 applicando i controlli di trasferimento dei dati e bloccando l'accesso ai dispositivi USB.
Le impostazioni di livello 2 includono tutte le impostazioni dei criteri consigliate per il livello 1. Tuttavia, le impostazioni elencate nella tabella seguente includono solo quelle aggiunte o modificate. Queste impostazioni possono avere un impatto leggermente maggiore sugli utenti o sulle applicazioni. Applicano un livello di sicurezza più appropriato per i rischi per gli utenti con accesso alle informazioni sensibili nei dispositivi mobili.
Restrizioni di dispositivo
| Categoria | Impostazione | Valore | Note |
|---|---|---|---|
| App Store, Visualizzazione documenti, Giochi | Blocca la visualizzazione di documenti aziendali in app non gestite | Sì | |
| App Store, Visualizzazione documenti, Giochi | Blocca la visualizzazione di documenti non aziendali nelle app aziendali | Non configurata | L'abilitazione di questa restrizione del dispositivo blocca la capacità di Outlook per iOS di esportare i contatti. Questa impostazione non è consigliata se si usa Outlook per iOS. Per altre informazioni, vedere Suggerimento per il supporto tecnico: Abilitazione della sincronizzazione dei contatti di Outlook iOS con i controlli MDM iOS12. |
| App Store, Visualizzazione documenti, Giochi | Consentire alle app gestite di scrivere contatti in account di contatti non gestiti | Sì | Questa impostazione è necessaria per consentire a Outlook per iOS di esportare i contatti quando Blocca la visualizzazione di documenti aziendali in app non gestite è impostato su Sì. Per altre informazioni, vedere Suggerimento per il supporto tecnico: Abilitazione della sincronizzazione dei contatti di Outlook iOS con i controlli MDM iOS12. |
| App Store, Visualizzazione documenti, Giochi | Consenti l'influenza della copia/incolla da parte dell'apertura gestita | Sì | L'abilitazione di questa impostazione impedisce agli account personali all'interno di app Microsoft gestite di condividere dati in app non gestite. |
| App predefinite | Blocca Siri per la dettatura | Sì | |
| App predefinite | Blocca Siri per la traduzione | Sì | |
| Archiviazione cloud | Bloccare il backup dei libri aziendali | Sì | |
| Archiviazione cloud | Blocca note ed evidenziazioni per i libri aziendali | Sì | |
| Archiviazione cloud | Bloccare la sincronizzazione di documenti e dati di iCloud | Sì | |
| Dispositivi connessi | Bloccare l'accesso a USB nell'app File | Sì | |
| Generale | Bloccare l'invio di dati di diagnostica e utilizzo ad Apple | Sì |
Sicurezza elevata con supervisione (livello 3)
Il livello 3 è la configurazione consigliata per entrambi:
- Organizzazioni con organizzazioni di sicurezza di grandi dimensioni e sofisticate.
- Utenti e gruppi specifici assegnati in modo univoco dagli avversari.
Tali organizzazioni sono in genere mirate da avversari ben finanziati e sofisticati.
Questa configurazione si espande al livello 2 per:
- Applicazione di criteri password più forti.
- Disabilitazione della funzionalità del dispositivo (ad esempio AirPrint).
- Richiesta dell'installazione dell'app tramite il programma di acquisto di volumi di Apple. Per altre informazioni, vedere Come gestire le app iOS e macOS acquistate tramite Apple Business Manager con Microsoft Intune.
- Applicazione di restrizioni aggiuntive per il trasferimento dei dati ,ad esempio il blocco del backup di iCloud.
Le impostazioni dei criteri applicate nel livello 3 includono tutte le impostazioni dei criteri consigliate per il livello 2. Le impostazioni elencate nella tabella seguente includono solo quelle aggiunte o modificate. Queste impostazioni possono avere un impatto significativo su utenti o applicazioni. Applicano un livello di sicurezza più appropriato per i rischi che le organizzazioni di destinazione devono affrontare.
Restrizioni di dispositivo
| Categoria | Impostazione | Valore | Note |
|---|---|---|---|
| App Store, Visualizzazione documenti, Giochi | Blocca App Store | Sì | |
| App Store, Visualizzazione documenti, Giochi | Blocca la riproduzione di musica esplicita, podcast e iTunes U | Sì | |
| App Store, Visualizzazione documenti, Giochi | Blocca l'aggiunta di amici di Game Center | Sì | |
| App Store, Visualizzazione documenti, Giochi | Block Game Center | Sì | |
| App Store, Visualizzazione documenti, Giochi | Blocca il gioco multiplayer | Sì | |
| App Store, Visualizzazione documenti, Giochi | Bloccare l'accesso all'unità di rete nell'app File | Sì | |
| App predefinite | Blocca Siri | Sì | |
| App predefinite | Blocca iTunes Store | Sì | |
| App predefinite | Blocca trova i miei amici | Sì | |
| App predefinite | Blocca la modifica dell'utente alle impostazioni Trova i miei amici | Sì | |
| App predefinite | Blocca il riempimento automatico di Safari | Sì | |
| Cloud e archiviazione | Blocca handoff | Sì | |
| Cloud e archiviazione | Bloccare il backup di iCloud | Sì | |
| Dispositivi connessi | Richiedere la password di associazione delle richieste in uscita di AirPlay | Sì | |
| Dispositivi connessi | Blocca lo sblocco automatico di Apple Watch | Sì | |
| Dispositivi connessi | Blocca AirDrop | Sì | |
| Dispositivi connessi | Blocca l'associazione con host non configuratori | Sì | |
| Dispositivi connessi | Blocca airprint | Sì | |
| Dispositivi connessi | Consentire agli utenti di avviare i dispositivi in modalità di ripristino con dispositivi non incollati | Non configurata | |
| Generale | Blocca screenshot e registrazione dello schermo | Sì | |
| Generale | Bloccare la modifica delle impostazioni dell'account | Sì | |
| Generale | Impedire agli utenti di cancellare tutti i contenuti e le impostazioni nel dispositivo | Sì | |
| Generale | Bloccare le modifiche del profilo di configurazione | Sì | |
| Generale | Bloccare la rimozione di app | Sì | |
| Generale | Forzare l'ora e i dati automatici | Sì | |
| Generale | Blocca la creazione di VPN | Sì | |
| Generale | Blocca la modifica delle impostazioni eSIM | Sì | |
| Password | Numero di errori di accesso prima della cancellazione del dispositivo | 5 | Le organizzazioni devono aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password | Scadenza password (giorni) | 365 | Le organizzazioni devono aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password | Impedire il riutilizzo delle password precedenti | 5 | Le organizzazioni devono aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Password | Blocca riempimento automatico password | Sì | |
| Wireless | Blocca la composizione vocale mentre il dispositivo è bloccato | Sì | |
| Wireless | Richiedere l'aggiunta di reti Wi-Fi solo tramite profili di configurazione | Non configurata | Prestare attenzione quando si usa questa impostazione perché potrebbe influire sulla possibilità di connettersi al dispositivo se le reti Wi-Fi specificate non sono disponibili o se l'impostazione è configurata in modo non corretto. Ciò potrebbe causare una situazione in cui si è bloccati fuori dal dispositivo e non è possibile reimpostare il dispositivo in remoto. |