Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведены примеры конфигураций, которые можно использовать с помощью Microsoft Intune для настройки параметров соответствия устройств iOS/iPad для мобильных пользователей, использующих личные устройства. Эти примеры включают три уровня конфигурации безопасности устройств, которые соответствуют принципам "Никому не доверяй".
При использовании этих примеров обратитесь к группе безопасности, чтобы оценить среду угроз, аппетит к риску и влияние различных уровней и конфигураций на удобство использования. Изучив и изменив примеры в соответствии с потребностями вашей организации, вы можете включить их в кольцевую методологию развертывания для тестирования и использования в рабочей среде, импортировав примеры шаблонов JSON платформы конфигурации безопасности iOS/iPadOS с помощью сценариев PowerShell Intune.
Дополнительные сведения о каждом параметре политики см. в разделе Параметры устройств iOS/iPadOS в Microsoft Intune.
Личная базовая безопасность (уровень 1)
Уровень 1 является минимальным рекомендуемым уровнем конфигурации безопасности для личных устройств iOS/iPadOS, с помощью которых пользователи обращаются к рабочим или учебным данным.
Политики на уровне 1 предоставляют умеренный уровень доступа к данным с минимальным воздействием на пользователей. Это делается путем применения политик паролей, характеристик блокировки устройств и отключения определенных функций устройства (например, ненадежных сертификатов).
В следующей таблице перечислены только настроенные параметры. Параметры, не перечисленные в таблице, не настроены в этом примере.
Ограничения для устройств
| Категория | Параметр | Значение | Заметки |
|---|---|---|---|
| App Store, просмотр документов, игры | Указание AirDrop как неуправляемого назначения | Да | |
| Встроенные приложения | Блокировать использование Siri, если устройство заблокировано | Да | |
| Встроенные приложения | Требовать предупреждения Safari о мошенничестве | Да | |
| Облако и хранилище | Зашифрованное резервное копирование | Да | |
| Облако и хранилище | Блокировать управляемые приложения с помощью данных хранения в iCloud | Да | |
| Подключенные устройства | Принудительное обнаружение функции Wrist Detection для Apple Watch | Да | |
| Общие указания | Блокировать недоверенные сертификаты TLS | Да | |
| Общие указания | Блокировать доверие авторам новых корпоративных приложений | Да | |
| Интерфейс заблокированного экрана | Блокировать доступ к центру уведомлений с экрана блокировки | Да | |
| Интерфейс заблокированного экрана | Блокировать доступ к представлению "Сегодня" с экрана блокировки | Да | |
| Password | Требование ввести пароль | Да | |
| Password | Блокировать использование простых паролей | Да | |
| Password | Требуемый тип пароля | Числовой | |
| Password | Минимальная длина пароля | 6 | Организациям следует обновить этот параметр в соответствии с политикой паролей. |
| Password | Количество неудачных попыток входа перед очисткой устройства | 10 | Организациям следует обновить этот параметр в соответствии с политикой паролей. |
| Password | Максимальный срок после блокировки экрана (в минутах), по истечении которого запрашивается пароль | 5 | Организациям следует обновить этот параметр в соответствии с политикой паролей. |
| Password | Максимальное время бездействия (в минутах), по истечении которого экран блокируется | 5 | Организациям следует обновить этот параметр в соответствии с политикой паролей. |
Личная повышенная безопасность (уровень 2)
Уровень 2 является рекомендуемой конфигурацией для личных устройств, с помощью которых пользователи могут получить доступ к конфиденциальной информации. Сегодня эти устройства являются в организациях естественной мишенью. Для использования этих параметров не нужен большой штат высококвалифицированных специалистов по вопросам безопасности. Поэтому они должны быть доступны большинству корпоративных организаций. Эта конфигурация доступна большинству пользователей мобильных устройств, работающих с рабочими или учебными данными на устройстве.
Эта конфигурация расширяет конфигурацию на уровне 1 путем внедрения элементов управления общим доступом к данным.
Параметры безопасности уровня 2 включают все параметры политики, рекомендуемые для уровня 1. Однако параметры, перечисленные в следующей таблице, включают только те параметры, которые добавлены или изменены. Эти параметры могут оказать несколько большее влияние на пользователей или приложения. Они обеспечивают более подходящий уровень безопасности для рисков, с которыми сталкиваются пользователи, имеющие доступ к конфиденциальной информации на мобильных устройствах.
Ограничения для устройств
| Категория | Параметр | Значение | Заметки |
|---|---|---|---|
| App Store, просмотр документов, игры | Блокировать просмотр корпоративных документов в неуправляемых приложениях | Да | |
| App Store, просмотр документов, игры | Блокировать просмотр некорпоративных документов в корпоративных приложениях | Не настроено | Включение этого ограничения на устройстве блокирует экспорт контактов в Outlook для iOS. Этот параметр не рекомендуется при использовании Outlook для iOS. Дополнительные сведения см. в разделе Совет по поддержке: включение синхронизации контактов Outlook и iOS с помощью элементов управления MDM iOS12. |
| App Store, просмотр документов, игры | Разрешить управляемым приложениям записывать контакты в неуправляемых учетных записях контактов | Да | Этот параметр разрешает Outlook для iOS экспортировать контакты, если для параметра Блокировать просмотр корпоративных документов в неуправляемых приложениях установлено значение Да. Дополнительные сведения см. в разделе Совет по поддержке: включение синхронизации контактов Outlook и iOS с помощью элементов управления MDM iOS12. |
| App Store, просмотр документов, игры | Разрешить воздействие на копирование и вставку со стороны функции управляемой области открытия | Не настроено | Включение этого параметра не позволяет личным учетным записям в управляемых приложениях Майкрософт совместно использовать данные в неуправляемые приложения. |
| Встроенные приложения | Блокировать Siri для диктовки | Да | |
| Встроенные приложения | Блокировать использование Siri для перевода | Да | |
| Облачное хранилище | Блокировать резервное копирование корпоративных книг | Да | |
| Облачное хранилище | Блокировать синхронизацию примечаний и выделений для корпоративных книг | Да | |
| Общие указания | Блокировать отправку данных о диагностике и использовании в Apple | Да |
Высокий уровень личной безопасности (уровень 3)
Уровень 3 является рекомендуемой конфигурацией для:
- Организации с крупными и сложными системами безопасности.
- Конкретные пользователи и группы, которые являются уникальными объектами злоумышленников.
Как правило, такие организации становятся мишенью для хорошо финансируемых и подготовленных нарушителей безопасности.
Эта конфигурация расширяется на уровне 2:
- используя надежные политики паролей.
- Отключение функциональных возможностей устройства (например, снимки экрана и записи экрана).
- Применение дополнительных ограничений на передачу данных (например, блокировка передачи данных).
Параметры политики, применяемые на уровне 3, включают все параметры политики, рекомендуемые для уровня 2. Параметры, перечисленные в следующей таблице, включают только добавленные или измененные. Эти параметры могут оказать значительное влияние на пользователей или приложения. Они обеспечивают более подходящий уровень безопасности для рисков, с которыми сталкиваются организации.
Ограничения для устройств
| Категория | Параметр | Значение | Заметки |
|---|---|---|---|
| Облако и хранилище | Блокировать функцию передачи вручную | Да | |
| Подключенные устройства | Требовать пароль для сопряжения исходящих запросов AirPlay | Да | |
| Подключенные устройства | Блокировать автоматическую разблокировку с помощью Apple Watch | Да | |
| Общие указания | Блокировать снимки и запись экрана | Да | |
| Password | Количество неудачных попыток входа перед очисткой устройства | 5 | Организациям следует обновить этот параметр в соответствии с политикой паролей. |
| Password | Срок действия пароля (дней) | 365 | Организациям следует обновить этот параметр в соответствии с политикой паролей. |
| Password | Запретить использование предыдущих паролей | 5 | Организациям следует обновить этот параметр в соответствии с политикой паролей. |
| Беспроводная связь | Блокировать голосовой набор, когда устройство заблокировано | Да |