Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Till stöd för Microsoft Nolltillit säkerhetsmodell innehåller den här artikeln exempelkonfigurationer som du kan använda med Microsoft Intune för att konfigurera iOS/iPad-enhetsefterlevnadsinställningar för mobila användare som använder personliga enheter. De här exemplen omfattar tre nivåer av enhetssäkerhetskonfiguration som överensstämmer med Nolltillit principer.
När du använder de här exemplen kan du samarbeta med ditt säkerhetsteam för att utvärdera hotmiljön, riskaptiten och den effekt som de olika nivåerna och konfigurationerna kan ha på användbarheten. När du har granskat och justerat exemplen för att uppfylla organisationens behov kan du införliva dem i en ringdistributionsmetod för testning och produktionsanvändning genom att importera exempelmallarna i iOS/iPadOS Security Configuration Framework JSON med Intunes PowerShell-skript.
Mer information om varje principinställning finns i enhetsinställningar för iOS/iPadOS i Microsoft Intune.
Personlig grundläggande säkerhet (nivå 1)
Nivå 1 är den rekommenderade lägsta säkerhetskonfigurationen för personliga iOS/iPadOS-enheter där användarna får åtkomst till arbets- eller skoldata.
Principerna på nivå 1 tillämpar en rimlig dataåtkomstnivå samtidigt som påverkan på användarna minimeras. Detta görs genom att tillämpa lösenordsprinciper, egenskaper för enhetslås och inaktivera vissa enhetsfunktioner (till exempel ej betrodda certifikat).
I följande tabell visas endast konfigurerade inställningar. Inställningar som inte visas i tabellen konfigureras inte i det här exemplet.
Enhetsbegränsningar
| Kategori | Inställning | Värde | Kommentar |
|---|---|---|---|
| App Store, Dokumentvisning, Spel | Behandla AirDrop som ett ohanterat mål | Ja | |
| Inbyggda appar | Blockera Siri när enheten är låst | Ja | |
| Inbyggda appar | Kräv bedrägerivarningar i Safari | Ja | |
| Moln och lagring | Framtvinga krypterad säkerhetskopiering | Ja | |
| Moln och lagring | Blockera hanterade appar från att lagra data i iCloud | Ja | |
| Anslutna enheter | Framtvinga handledsidentifiering för Apple Watch | Ja | |
| Allmän | Blockera ej betrodda TLS-certifikat | Ja | |
| Allmän | Blockera förtroende för nya företagsappförfattare | Ja | |
| Låst skärmupplevelse | Blockera meddelandecenteråtkomst på låsskärmen | Ja | |
| Låst skärmupplevelse | Blockera vyn I dag på låsskärmen | Ja | |
| Lösenord | Kräv lösenord | Ja | |
| Lösenord | Blockera enkla lösenord | Ja | |
| Lösenord | Lösenordstyp som krävs | Numerisk | |
| Lösenord | Minsta längd på lösenord | 6 | Organisationer bör uppdatera den här inställningen så att den matchar deras lösenordsprincip. |
| Lösenord | Antal inloggningsfel innan enheten rensas | 10 | Organisationer bör uppdatera den här inställningen så att den matchar deras lösenordsprincip. |
| Lösenord | Maximalt antal minuter efter skärmlås innan lösenord krävs | 5 | Organisationer bör uppdatera den här inställningen så att den matchar deras lösenordsprincip. |
| Lösenord | Maximalt antal minuter av inaktivitet tills skärmen låss | 5 | Organisationer bör uppdatera den här inställningen så att den matchar deras lösenordsprincip. |
Personlig förbättrad säkerhet (nivå 2)
Nivå 2 är den rekommenderade konfigurationen för personliga enheter där användarna får åtkomst till mer känslig information. Dessa enheter är ett naturligt mål i företag idag. De här inställningarna förutsätter inte en stor personal med högkvalificerad säkerhetspersonal. Därför bör de vara tillgängliga för de flesta företagsorganisationer. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata på en enhet.
Den här konfigurationen expanderar konfigurationen på nivå 1 genom att anta kontroller för datadelning.
Inställningarna på nivå 2 innehåller alla principinställningar som rekommenderas för nivå 1. Inställningarna som anges i följande tabell innehåller dock endast de inställningar som läggs till eller ändras. De här inställningarna kan ha en något högre inverkan på användare eller program. De tillämpar en säkerhetsnivå som är lämpligare för risker för användare med åtkomst till känslig information på mobila enheter.
Enhetsbegränsningar
| Kategori | Inställning | Värde | Kommentar |
|---|---|---|---|
| App Store, Dokumentvisning, Spel | Blockera visning av företagsdokument i ohanterade appar | Ja | |
| App Store, Dokumentvisning, Spel | Blockera visning av icke-företagsdokument i företagsappar | Inte konfigurerad | Om du aktiverar den här enhetsbegränsningen blockeras Outlook för iOS möjlighet att exportera kontakter. Den här inställningen rekommenderas inte om du använder Outlook för iOS. Mer information finns i Supporttips: Aktivera Outlook iOS-kontaktsynkronisering med iOS12 MDM-kontroller. |
| App Store, Dokumentvisning, Spel | Tillåt hanterade appar att skriva kontakter till ohanterade kontaktkonton | Ja | Den här inställningen krävs för att outlook för iOS ska kunna exportera kontakter när Blockera visning av företagsdokument i ohanterade appar är inställt på Ja. Mer information finns i Supporttips: Aktivera Outlook iOS-kontaktsynkronisering med iOS12 MDM-kontroller. |
| App Store, Dokumentvisning, Spel | Tillåt att kopiering/inklistring påverkas av hanterad öppning | Inte konfigurerad | Om du aktiverar den här inställningen blockeras personliga konton i hanterade Microsoft-appar från att dela data till ohanterade appar. |
| Inbyggda appar | Blockera Siri för diktering | Ja | |
| Inbyggda appar | Blockera Siri för översättning | Ja | |
| Molnlagring | Blockera säkerhetskopiering av företagsböcker | Ja | |
| Molnlagring | Blockera synkronisering av anteckningar och markeringar för företagsböcker | Ja | |
| Allmän | Blockera sändning av diagnostik- och användningsdata till Apple | Ja |
Personlig hög säkerhet (nivå 3)
Nivå 3 är den rekommenderade konfigurationen för båda:
- Organisationer med stora och sofistikerade säkerhetsorganisationer.
- Specifika användare och grupper som är unikt mål för angripare.
Sådana organisationer är vanligtvis mål för välfinansierade och sofistikerade angripare.
Den här konfigurationen expanderar på nivå 2 genom att:
- Anta starkare lösenordsprinciper.
- Inaktivera enhetsfunktioner (till exempel skärmbilder och skärminspelningar).
- Framtvinga ytterligare dataöverföringsbegränsningar (till exempel blockera Handoff).
Principinställningarna som tillämpas på nivå 3 innehåller alla principinställningar som rekommenderas för nivå 2. Inställningarna som anges i följande tabell innehåller endast de som läggs till eller ändras. De här inställningarna kan ha stor inverkan på användare eller program. De tillämpar en säkerhetsnivå som är lämpligare för risker som riktas mot organisationer.
Enhetsbegränsningar
| Kategori | Inställning | Värde | Kommentar |
|---|---|---|---|
| Moln och lagring | Blockera överlämning | Ja | |
| Anslutna enheter | Kräv lösenord för airplay-utgående begäranden | Ja | |
| Anslutna enheter | Blockera automatisk upplåsning av Apple Watch | Ja | |
| Allmän | Blockera skärmbilder och skärminspelning | Ja | |
| Lösenord | Antal inloggningsfel innan enheten rensas | 5 | Organisationer bör uppdatera den här inställningen så att den matchar deras lösenordsprincip. |
| Lösenord | Lösenordets giltighetstid (dagar) | 365 | Organisationer bör uppdatera den här inställningen så att den matchar deras lösenordsprincip. |
| Lösenord | Förhindra återanvändning av tidigare lösenord | 5 | Organisationer bör uppdatera den här inställningen så att den matchar deras lösenordsprincip. |
| Trådlös | Blockera röstsamtal när enheten är låst | Ja |