Примеры конфигурации безопасности личного устройства iOS/iPadOS

В этой статье приведены примеры конфигураций, которые можно использовать с помощью Microsoft Intune для настройки параметров соответствия устройств iOS/iPad для мобильных пользователей, использующих личные устройства. Эти примеры включают три уровня конфигурации безопасности устройств, которые соответствуют принципам "Никому не доверяй".

При использовании этих примеров обратитесь к группе безопасности, чтобы оценить среду угроз, аппетит к риску и влияние различных уровней и конфигураций на удобство использования. Изучив и изменив примеры в соответствии с потребностями вашей организации, вы можете включить их в кольцевую методологию развертывания для тестирования и использования в рабочей среде, импортировав примеры шаблонов JSON платформы конфигурации безопасности iOS/iPadOS с помощью сценариев PowerShell Intune.

Дополнительные сведения о каждом параметре политики см. в разделе Параметры устройств iOS/iPadOS в Microsoft Intune.

Личная базовая безопасность (уровень 1)

Уровень 1 является минимальным рекомендуемым уровнем конфигурации безопасности для личных устройств iOS/iPadOS, с помощью которых пользователи обращаются к рабочим или учебным данным.

Политики на уровне 1 предоставляют умеренный уровень доступа к данным с минимальным воздействием на пользователей. Это делается путем применения политик паролей, характеристик блокировки устройств и отключения определенных функций устройства (например, ненадежных сертификатов).

В следующей таблице перечислены только настроенные параметры. Параметры, не перечисленные в таблице, не настроены в этом примере.

Ограничения для устройств

Категория Параметр Значение Заметки
App Store, просмотр документов, игры Указание AirDrop как неуправляемого назначения Да
Встроенные приложения Блокировать использование Siri, если устройство заблокировано Да
Встроенные приложения Требовать предупреждения Safari о мошенничестве Да
Облако и хранилище Зашифрованное резервное копирование Да
Облако и хранилище Блокировать управляемые приложения с помощью данных хранения в iCloud Да
Подключенные устройства Принудительное обнаружение функции Wrist Detection для Apple Watch Да
Общие указания Блокировать недоверенные сертификаты TLS Да
Общие указания Блокировать доверие авторам новых корпоративных приложений Да
Интерфейс заблокированного экрана Блокировать доступ к центру уведомлений с экрана блокировки Да
Интерфейс заблокированного экрана Блокировать доступ к представлению "Сегодня" с экрана блокировки Да
Password Требование ввести пароль Да
Password Блокировать использование простых паролей Да
Password Требуемый тип пароля Числовой
Password Минимальная длина пароля 6 Организациям следует обновить этот параметр в соответствии с политикой паролей.
Password Количество неудачных попыток входа перед очисткой устройства 10 Организациям следует обновить этот параметр в соответствии с политикой паролей.
Password Максимальный срок после блокировки экрана (в минутах), по истечении которого запрашивается пароль 5 Организациям следует обновить этот параметр в соответствии с политикой паролей.
Password Максимальное время бездействия (в минутах), по истечении которого экран блокируется 5 Организациям следует обновить этот параметр в соответствии с политикой паролей.

Личная повышенная безопасность (уровень 2)

Уровень 2 является рекомендуемой конфигурацией для личных устройств, с помощью которых пользователи могут получить доступ к конфиденциальной информации. Сегодня эти устройства являются в организациях естественной мишенью. Для использования этих параметров не нужен большой штат высококвалифицированных специалистов по вопросам безопасности. Поэтому они должны быть доступны большинству корпоративных организаций. Эта конфигурация доступна большинству пользователей мобильных устройств, работающих с рабочими или учебными данными на устройстве.

Эта конфигурация расширяет конфигурацию на уровне 1 путем внедрения элементов управления общим доступом к данным.

Параметры безопасности уровня 2 включают все параметры политики, рекомендуемые для уровня 1. Однако параметры, перечисленные в следующей таблице, включают только те параметры, которые добавлены или изменены. Эти параметры могут оказать несколько большее влияние на пользователей или приложения. Они обеспечивают более подходящий уровень безопасности для рисков, с которыми сталкиваются пользователи, имеющие доступ к конфиденциальной информации на мобильных устройствах.

Ограничения для устройств

Категория Параметр Значение Заметки
App Store, просмотр документов, игры Блокировать просмотр корпоративных документов в неуправляемых приложениях Да
App Store, просмотр документов, игры Блокировать просмотр некорпоративных документов в корпоративных приложениях Не настроено Включение этого ограничения на устройстве блокирует экспорт контактов в Outlook для iOS. Этот параметр не рекомендуется при использовании Outlook для iOS. Дополнительные сведения см. в разделе Совет по поддержке: включение синхронизации контактов Outlook и iOS с помощью элементов управления MDM iOS12.
App Store, просмотр документов, игры Разрешить управляемым приложениям записывать контакты в неуправляемых учетных записях контактов Да Этот параметр разрешает Outlook для iOS экспортировать контакты, если для параметра Блокировать просмотр корпоративных документов в неуправляемых приложениях установлено значение Да. Дополнительные сведения см. в разделе Совет по поддержке: включение синхронизации контактов Outlook и iOS с помощью элементов управления MDM iOS12.
App Store, просмотр документов, игры Разрешить воздействие на копирование и вставку со стороны функции управляемой области открытия Не настроено Включение этого параметра не позволяет личным учетным записям в управляемых приложениях Майкрософт совместно использовать данные в неуправляемые приложения.
Встроенные приложения Блокировать Siri для диктовки Да
Встроенные приложения Блокировать использование Siri для перевода Да
Облачное хранилище Блокировать резервное копирование корпоративных книг Да
Облачное хранилище Блокировать синхронизацию примечаний и выделений для корпоративных книг Да
Общие указания Блокировать отправку данных о диагностике и использовании в Apple Да

Высокий уровень личной безопасности (уровень 3)

Уровень 3 является рекомендуемой конфигурацией для:

  • Организации с крупными и сложными системами безопасности.
  • Конкретные пользователи и группы, которые являются уникальными объектами злоумышленников.

Как правило, такие организации становятся мишенью для хорошо финансируемых и подготовленных нарушителей безопасности.

Эта конфигурация расширяется на уровне 2:

  • используя надежные политики паролей.
  • Отключение функциональных возможностей устройства (например, снимки экрана и записи экрана).
  • Применение дополнительных ограничений на передачу данных (например, блокировка передачи данных).

Параметры политики, применяемые на уровне 3, включают все параметры политики, рекомендуемые для уровня 2. Параметры, перечисленные в следующей таблице, включают только добавленные или измененные. Эти параметры могут оказать значительное влияние на пользователей или приложения. Они обеспечивают более подходящий уровень безопасности для рисков, с которыми сталкиваются организации.

Ограничения для устройств

Категория Параметр Значение Заметки
Облако и хранилище Блокировать функцию передачи вручную Да
Подключенные устройства Требовать пароль для сопряжения исходящих запросов AirPlay Да
Подключенные устройства Блокировать автоматическую разблокировку с помощью Apple Watch Да
Общие указания Блокировать снимки и запись экрана Да
Password Количество неудачных попыток входа перед очисткой устройства 5 Организациям следует обновить этот параметр в соответствии с политикой паролей.
Password Срок действия пароля (дней) 365 Организациям следует обновить этот параметр в соответствии с политикой паролей.
Password Запретить использование предыдущих паролей 5 Организациям следует обновить этот параметр в соответствии с политикой паролей.
Беспроводная связь Блокировать голосовой набор, когда устройство заблокировано Да