Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведены примеры конфигураций, которые можно использовать с Microsoft Intune для настройки параметров соответствия устройств iOS/iPad для мобильных пользователей, использующих защищенные устройства. Эти примеры включают три уровня конфигурации безопасности устройств, которые соответствуют принципам "Никому не доверяй".
При использовании этих примеров обратитесь к группе безопасности, чтобы оценить среду угроз, аппетит к риску и влияние различных уровней и конфигураций на удобство использования. Изучив и изменив примеры в соответствии с потребностями вашей организации, вы можете включить их в кольцевую методологию развертывания для тестирования и использования в рабочей среде, импортировав примеры шаблонов JSON платформы конфигурации безопасности iOS/iPadOS с помощью сценариев PowerShell Intune.
Дополнительные сведения о каждом параметре политики см. в разделе Параметры устройств iOS/iPadOS в Microsoft Intune.
Защищенная базовая безопасность (уровень 1)
Уровень 1 — минимальный уровень конфигурации безопасности для мобильных устройств, принадлежащих организации.
Политики на уровне 1 предоставляют умеренный уровень доступа к данным с минимальным воздействием на пользователей:
- Применение политик паролей.
- Включение определенных характеристик блокировки устройства.
- Отключение некоторых функций устройства (например, недоверенных сертификатов).
В следующей таблице перечислены только настроенные параметры. Параметры, не перечисленные в таблице, не настроены в этом примере.
Ограничения для устройств
| Категория | Параметр | Значение | Заметки |
|---|---|---|---|
| App Store, просмотр документов, игры | Указание AirDrop как неуправляемого назначения | Да | |
| Встроенные приложения | Блокировать использование Siri, если устройство заблокировано | Да | |
| Встроенные приложения | Требовать предупреждения Safari о мошенничестве | Да | |
| Облако и хранилище | Зашифрованное резервное копирование | Да | |
| Облако и хранилище | Блокировать управляемые приложения с помощью данных хранения в iCloud | Да | |
| Облако и хранилище | Блокировать синхронизацию цепочки ключей с iCloud | Да | |
| Подключенные устройства | Принудительное обнаружение функции Wrist Detection для Apple Watch | Да | |
| Подключенные устройства | Блокировать хранилище учетных данных AirPrint в цепочке ключей | Да | |
| Подключенные устройства | Требовать AirPrint для назначений с доверенными сертификатами | Да | |
| Подключенные устройства | Блокировать обнаружение iBeacon с помощью принтеров AirPrint | Да | |
| Подключенные устройства | Блокировка настройки новых устройств поблизости | Да | |
| Общие указания | Блокировать недоверенные сертификаты TLS | Да | |
| Общие указания | Блокировать доверие авторам новых корпоративных приложений | Да | |
| Общие указания | Разрешить блокировку активации | Да | |
| Интерфейс заблокированного экрана | Блокировать доступ к центру уведомлений с экрана блокировки | Да | |
| Интерфейс заблокированного экрана | Блокировать доступ к представлению "Сегодня" с экрана блокировки | Да | |
| Password | Требование ввести пароль | Да | |
| Password | Блокировать использование простых паролей | Да | |
| Password | Требуемый тип пароля | Числовой | |
| Password | Минимальная длина пароля | 6 | Организациям следует обновить этот параметр в соответствии с политикой паролей. |
| Password | Количество неудачных попыток входа перед очисткой устройства | 10 | Организациям следует обновить этот параметр в соответствии с политикой паролей. |
| Password | Максимальный срок после блокировки экрана (в минутах), по истечении которого запрашивается пароль | 5 | Организациям следует обновить этот параметр в соответствии с политикой паролей. |
| Password | Максимальное время бездействия (в минутах), по истечении которого экран блокируется | 5 | Организациям следует обновить этот параметр в соответствии с политикой паролей. |
| Password | Блокировать запросы близкого взаимодействия пароля | Да | |
| Password | Блокировать общий доступ к паролям | Да | |
| Password | Требовать проверку подлинности Touch ID или Face ID для автозаполнения паролей или данных кредитной карты | Да |
Усиленное обеспечение защищенной безопасности (уровень 2)
Уровень 2 — рекомендуемая конфигурация для контролируемых устройств, где пользователи получают доступ к более конфиденциальной информации. Сегодня эти устройства являются в организациях естественной мишенью. Для использования этих параметров не нужен большой штат высококвалифицированных специалистов по вопросам безопасности. Поэтому они должны быть доступны большинству корпоративных организаций. Эта конфигурация доступна большинству пользователей мобильных устройств, работающих с рабочими или учебными данными на устройстве.
Эта конфигурация расширяется на уровне 1 с использованием элементов управления передачей данных и блокировкой доступа к устройствам USB.
Параметры безопасности уровня 2 включают все параметры политики, рекомендуемые для уровня 1. Однако параметры, перечисленные в следующей таблице, включают только те параметры, которые добавлены или изменены. Эти параметры могут оказать несколько большее влияние на пользователей или приложения. Они обеспечивают более подходящий уровень безопасности для рисков, с которыми сталкиваются пользователи, имеющие доступ к конфиденциальной информации на мобильных устройствах.
Ограничения для устройств
| Категория | Параметр | Значение | Заметки |
|---|---|---|---|
| App Store, просмотр документов, игры | Блокировать просмотр корпоративных документов в неуправляемых приложениях | Да | |
| App Store, просмотр документов, игры | Блокировать просмотр некорпоративных документов в корпоративных приложениях | Не настроено | Включение этого ограничения на устройстве блокирует экспорт контактов в Outlook для iOS. Этот параметр не рекомендуется при использовании Outlook для iOS. Дополнительные сведения см. в разделе Совет по поддержке: включение синхронизации контактов Outlook и iOS с помощью элементов управления MDM iOS12. |
| App Store, просмотр документов, игры | Разрешить управляемым приложениям записывать контакты в неуправляемых учетных записях контактов | Да | Этот параметр разрешает Outlook для iOS экспортировать контакты, если для параметра Блокировать просмотр корпоративных документов в неуправляемых приложениях установлено значение Да. Дополнительные сведения см. в разделе Совет по поддержке: включение синхронизации контактов Outlook и iOS с помощью элементов управления MDM iOS12. |
| App Store, просмотр документов, игры | Разрешить воздействие на копирование и вставку со стороны функции управляемой области открытия | Да | Включение этого параметра не позволяет личным учетным записям в управляемых приложениях Майкрософт совместно использовать данные в неуправляемые приложения. |
| Встроенные приложения | Блокировать Siri для диктовки | Да | |
| Встроенные приложения | Блокировать использование Siri для перевода | Да | |
| Облачное хранилище | Блокировать резервное копирование корпоративных книг | Да | |
| Облачное хранилище | Блокировать синхронизацию примечаний и выделений для корпоративных книг | Да | |
| Облачное хранилище | Блокировать синхронизацию данных и документов в iCloud | Да | |
| Подключенные устройства | Блокировать доступ к USB-диску в приложении "Файлы" | Да | |
| Общие указания | Блокировать отправку данных о диагностике и использовании в Apple | Да |
Защищенный высокий уровень безопасности (уровень 3)
Уровень 3 является рекомендуемой конфигурацией для:
- Организации с крупными и сложными системами безопасности.
- Конкретные пользователи и группы, которые являются уникальными объектами злоумышленников.
Как правило, такие организации становятся мишенью для хорошо финансируемых и подготовленных нарушителей безопасности.
Эта конфигурация расширяется на уровне 2:
- Использование надежных политик для паролей.
- Отключение функций устройства (например, AirPrint).
- Необходимость установки приложений с помощью программы Apple Volume Purchase Program. Дополнительные сведения см. в статье Управление приложениями iOS и macOS, приобретенными посредством Apple Business Manager с Microsoft Intune.
- Введение дополнительных ограничений на передачу данных (например, блокировка резервного копирования iCloud).
Параметры политики, применяемые на уровне 3, включают все параметры политики, рекомендуемые для уровня 2. Параметры, перечисленные в следующей таблице, включают только добавленные или измененные. Эти параметры могут оказать значительное влияние на пользователей или приложения. Они обеспечивают более подходящий уровень безопасности для рисков, с которыми сталкиваются организации.
Ограничения для устройств
| Категория | Параметр | Значение | Заметки |
|---|---|---|---|
| App Store, просмотр документов, игры | Блокировать App Store | Да | |
| App Store, просмотр документов, игры | Блокировать воспроизведение музыки, подкастов и iTunes U | Да | |
| App Store, просмотр документов, игры | Блокировать добавление друзей из Game Center | Да | |
| App Store, просмотр документов, игры | Блокировать Game Center | Да | |
| App Store, просмотр документов, игры | Блокировать многопользовательские игры | Да | |
| App Store, просмотр документов, игры | Блокировать доступ к сетевому диску в приложении "Файлы" | Да | |
| Встроенные приложения | Блокировать использование Siri | Да | |
| Встроенные приложения | Блокировать магазин iTunes | Да | |
| Встроенные приложения | Блокировать функцию "Найти моих друзей" | Да | |
| Встроенные приложения | Блокировать изменение пользователя в настройках функции "Найти моих друзей" | Да | |
| Встроенные приложения | Блокировать автозаполнение в браузере Safari | Да | |
| Облако и хранилище | Блокировать функцию передачи вручную | Да | |
| Облако и хранилище | Блокировать резервное копирование iCloud | Да | |
| Подключенные устройства | Требовать пароль для сопряжения исходящих запросов AirPlay | Да | |
| Подключенные устройства | Блокировать автоматическую разблокировку с помощью Apple Watch | Да | |
| Подключенные устройства | Блокировать AirDrop | Да | |
| Подключенные устройства | Блокировать сопряжение с узлами, отличными от Configurator | Да | |
| Подключенные устройства | Блокировать AirPrint | Да | |
| Подключенные устройства | Разрешить пользователям загружать устройства в режиме восстановления с непарными устройствами | Не настроено | |
| Общие указания | Блокировать снимки и запись экрана | Да | |
| Общие указания | Блокировать изменение параметров учетной записи | Да | |
| Общие указания | Запретить пользователям удалять все содержимое и параметры на устройстве | Да | |
| Общие указания | Блокировать изменения профиля конфигурации | Да | |
| Общие указания | Блокировать удаление приложений | Да | |
| Общие указания | Принудительно автоматически устанавливать дату и время | Да | |
| Общие указания | Блокировать создание VPN | Да | |
| Общие указания | Блокировать изменение параметров eSIM | Да | |
| Password | Количество неудачных попыток входа перед очисткой устройства | 5 | Организациям следует обновить этот параметр в соответствии с политикой паролей. |
| Password | Срок действия пароля (дней) | 365 | Организациям следует обновить этот параметр в соответствии с политикой паролей. |
| Password | Запретить использование предыдущих паролей | 5 | Организациям следует обновить этот параметр в соответствии с политикой паролей. |
| Password | Блокировать автозаполнение пароля | Да | |
| Беспроводная связь | Блокировать голосовой набор, когда устройство заблокировано | Да | |
| Беспроводная связь | Требовать присоединения к сети Wi-Fi только с помощью профилей конфигурации | Не настроено | При использовании этого параметра следует учесть, что он может повлиять на возможность подключения к устройству, если указанные Wi-Fi Networks недоступны или если параметр настроен неправильно. Это может привести к ситуации, когда вы заблокировали устройство и не сможете удаленно сбросить устройство. |