Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In supporto del modello di sicurezza microsoft Zero Trust, questo articolo fornisce configurazioni di esempio che è possibile usare con Microsoft Intune per configurare le impostazioni di conformità dei dispositivi iOS/iPad per gli utenti mobili che usano dispositivi personali e con supervisione. Questi esempi includono livelli di configurazione della sicurezza dei dispositivi allineati ai principi di Zero Trust.
Quando si usano questi esempi, collaborare con il team di sicurezza per valutare l'ambiente delle minacce, la propensione al rischio e l'effetto che i diversi livelli e configurazioni possono avere sull'usabilità. Dopo aver esaminato e modificato gli esempi per soddisfare le esigenze dell'organizzazione, è possibile incorporarli all'interno di una metodologia di distribuzione circolare per l'uso di test e produzione importando i modelli JSON di esempio di iOS/iPadOS Security Configuration Framework con gli script di PowerShell di Intune.
Nota
A causa del numero limitato di impostazioni disponibili per la conformità del dispositivo, non esiste un'offerta di sicurezza di base (livello 1).
Sicurezza avanzata (livello 2)
Il livello 2 è la configurazione di sicurezza minima consigliata per i dispositivi iOS/iPadOS in cui gli utenti accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione in un dispositivo.
Nella tabella seguente sono elencate solo le impostazioni configurate. Le impostazioni non elencate nella tabella non sono configurate in questo esempio.
| Sezione | Impostazione | Valore | Note |
|---|---|---|---|
| Integrità del dispositivo | Dispositivi jailbroken | Blocca | |
| Proprietà dispositivo | Versione minima del sistema operativo | Formato: Major.Minor Esempio: 14.8 |
Microsoft consiglia di configurare la versione principale minima di iOS in modo che corrisponda alle versioni iOS supportate per le app Microsoft. Le app Microsoft supportano un approccio N-1 in cui N è la versione principale di iOS corrente. Per i valori delle versioni secondarie e di compilazione, Microsoft consiglia di garantire che i dispositivi siano aggiornati con i rispettivi aggiornamenti della sicurezza. Per le raccomandazioni più recenti di Apple, vedere Aggiornamenti della sicurezza apple. |
| Sicurezza del sistema | Richiedere una password per sbloccare i dispositivi mobili | Richiedono | |
| Sicurezza del sistema | Password semplici | Blocca | |
| Sicurezza del sistema | Lunghezza minima password | 6 | Le organizzazioni devono aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Sicurezza del sistema | Tipo di password richiesto | Numerico | Le organizzazioni devono aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Sicurezza del sistema | Numero massimo di minuti dopo il blocco dello schermo prima che sia necessaria la password | 5 | Le organizzazioni devono aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Sicurezza del sistema | Numero massimo di minuti di inattività fino al blocco dello schermo | 5 | Le organizzazioni devono aggiornare questa impostazione in modo che corrisponda ai criteri password. |
| Azioni per la non conformità | Contrassegnare il dispositivo non conforme | Immediatamente. | Per impostazione predefinita, il criterio è configurato per contrassegnare il dispositivo come non conforme. Sono disponibili azioni aggiuntive. Per altre informazioni, vedere Configurare le azioni per i dispositivi non conformi in Intune. |
Sicurezza elevata (livello 3)
Il livello 3 è la configurazione consigliata per entrambi:
- Organizzazioni con organizzazioni di sicurezza di grandi dimensioni e sofisticate.
- Utenti e gruppi specifici che potrebbero essere assegnati in modo univoco dagli avversari.
Tali organizzazioni sono in genere mirate da avversari ben finanziati e sofisticati.
Questa configurazione si espande al livello 2 per:
- Aumento della versione minima del sistema operativo.
- Assicurarsi che il dispositivo sia conforme applicando il livello di protezione delle minacce più sicuro Microsoft Defender per endpoint o mobile.
- Applicazione di criteri password più forti.
Le impostazioni dei criteri applicate nel livello 3 includono tutte le impostazioni dei criteri consigliate per il livello 2. Le impostazioni elencate nella tabella seguente includono solo quelle aggiunte o modificate. Queste impostazioni possono avere un impatto significativo su utenti o applicazioni. Applicano un livello di sicurezza più appropriato per i rischi che le organizzazioni di destinazione devono affrontare.
| Sezione | Impostazione | Valore | Note |
|---|---|---|---|
| Integrità del dispositivo | Richiedere che il dispositivo sia al livello o sotto il livello di minaccia del dispositivo | Protetto | Questa impostazione richiede un prodotto mobile threat defense. Per altre informazioni, vedere Mobile Threat Defense per i dispositivi registrati. I clienti devono prendere in considerazione l'implementazione di Microsoft Defender per endpoint o di una soluzione di difesa dalle minacce per dispositivi mobili. Non è necessario distribuire entrambi. |
| Proprietà dispositivo | Versione minima del sistema operativo | Formato: Major.Minor Esempio: 15.0 |
Microsoft consiglia di configurare la versione principale minima di iOS in modo che corrisponda alle versioni iOS supportate per le app Microsoft. Le app Microsoft supportano un approccio N-1 in cui N è la versione principale di iOS corrente. Per i valori delle versioni secondarie e di compilazione, Microsoft consiglia di garantire che i dispositivi siano aggiornati con i rispettivi aggiornamenti della sicurezza. Per le raccomandazioni più recenti di Apple, vedere Aggiornamenti della sicurezza apple. |
| Microsoft Defender per endpoint | Richiedere che il dispositivo sia al o sotto il punteggio di rischio del computer | Chiaro | Questa impostazione richiede Microsoft Defender per endpoint. Per altre informazioni, vedere Imporre la conformità per Microsoft Defender per endpoint con l'accesso condizionale in Intune. I clienti devono prendere in considerazione l'implementazione di Microsoft Defender per endpoint o di una soluzione di difesa dalle minacce per dispositivi mobili. Non è necessario distribuire entrambi. |
| Sicurezza del sistema | Scadenza password (giorni) | 365 | |
| Azioni per la non conformità | Contrassegnare il dispositivo non conforme | Immediatamente. | Per impostazione predefinita, il criterio è configurato per contrassegnare il dispositivo come non conforme. Sono disponibili azioni aggiuntive. Per altre informazioni, vedere Configurare le azioni per i dispositivi non conformi in Intune. |