Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En compatibilidad con el modelo de seguridad de Microsoft Confianza cero, en este artículo se proporcionan configuraciones de ejemplo que puede usar con Microsoft Intune para configurar la configuración de cumplimiento de dispositivos iOS/iPad para usuarios móviles mediante dispositivos personales y supervisados. Estos ejemplos incluyen niveles de configuración de seguridad de dispositivos que se alinean con los principios de Confianza cero.
Al usar estos ejemplos, trabaje con el equipo de seguridad para evaluar el entorno de amenazas, el apetito de riesgo y el efecto que los distintos niveles y configuraciones pueden tener en la facilidad de uso. Después de revisar y ajustar los ejemplos para satisfacer las necesidades de su organización, puede incorporarlos dentro de una metodología de implementación en anillo para probar y usar la producción importando las plantillas JSON de ejemplo de iOS/iPadOS Security Configuration Framework con los scripts de PowerShell de Intune.
Nota:
Debido al número limitado de opciones de configuración disponibles para el cumplimiento de dispositivos, no hay ninguna oferta de seguridad (nivel 1) mejorada.
Seguridad mejorada (nivel 2)
El nivel 2 es la configuración de seguridad mínima recomendada para los dispositivos iOS/iPadOS en los que los usuarios tienen acceso a los datos de trabajo o educativos. Esta configuración es aplicable a la mayoría de los usuarios móviles que acceden a los datos profesionales o educativos de un dispositivo.
En la tabla siguiente se enumeran solo los valores configurados. La configuración que no aparece en la tabla no se configura en este ejemplo.
| Sección | Configuración | Valor | Notas |
|---|---|---|---|
| Estado del dispositivo | Dispositivos liberados | Bloquear | |
| Propiedades de dispositivos | Versión de SO mínima | Formato: Major.Minor Ejemplo 14.8 |
Microsoft recomienda configurar la versión principal mínima de iOS para que coincida con las versiones de iOS compatibles con las aplicaciones de Microsoft. Las aplicaciones de Microsoft admiten un enfoque N-1 en el que N es la versión de versión principal de iOS actual. En el caso de los valores de versión secundaria y de compilación, Microsoft recomienda garantizar que los dispositivos estén actualizados con las actualizaciones de seguridad respectivas. Para obtener las recomendaciones más recientes de Apple, consulte Actualizaciones de seguridad de Apple. |
| Seguridad del sistema | Requerir una contraseña para desbloquear dispositivos móviles | Obligatoria | |
| Seguridad del sistema | Contraseñas sencillas | Bloquear | |
| Seguridad del sistema | Longitud mínima de la contraseña | 6 | Las organizaciones deben actualizar esta configuración para que coincida con su directiva de contraseña. |
| Seguridad del sistema | Tipo de contraseña necesaria | Numérico | Las organizaciones deben actualizar esta configuración para que coincida con su directiva de contraseña. |
| Seguridad del sistema | Máximo de minutos tras bloqueo de pantalla antes de solicitar la contraseña | 5 | Las organizaciones deben actualizar esta configuración para que coincida con su directiva de contraseña. |
| Seguridad del sistema | Máximo de minutos de inactividad hasta que se bloquea la pantalla | 5 | Las organizaciones deben actualizar esta configuración para que coincida con su directiva de contraseña. |
| Acciones de no cumplimiento | Marcar el dispositivo como no conforme | De forma inmediata | De forma predeterminada, la directiva está configurada para marcar el dispositivo como no conforme. Hay otras acciones disponibles. Para más información, consulte Configuración de acciones para dispositivos no compatibles en Intune. |
Alta seguridad (nivel 3)
El nivel 3 es la configuración recomendada para:
- Organizaciones con estructuras de seguridad grandes y sofisticadas.
- Usuarios y grupos específicos que podrían ser el destino único de los adversarios.
Normalmente, tales organizaciones son el destino de adversarios sofisticados y con una buena financiación.
Esta configuración se expande en el nivel 2 mediante:
- Aumentando la versión mínima del sistema operativo.
- Garantizando que el dispositivo sea compatible mediante la aplicación del nivel más seguro de defensa frente a amenazas para dispositivos móviles o de Microsoft Defender para punto de conexión.
- Prescribiendo directivas de contraseña más seguras.
La configuración de directiva que se aplica en el nivel 3 incluye todas las configuraciones de directivas recomendadas para el nivel 2. La configuración que se muestra en la tabla siguiente incluye solo aquellas que se agregan o cambian. Esta configuración puede tener un impacto significativo en los usuarios o las aplicaciones. Aplica un nivel de seguridad más adecuado para los riesgos a los que se enfrentan las organizaciones de destino.
| Sección | Configuración | Valor | Notas |
|---|---|---|---|
| Estado del dispositivo | Requerir que el dispositivo tenga el nivel de amenaza del dispositivo | Protegida | Esta configuración requiere un producto de defensa frente a amenazas para dispositivos móviles. Para más información, consulte Defensa contra amenazas móviles para dispositivos inscritos. Los clientes deben considerar la posibilidad de implementar Microsoft Defender para punto de conexión o una solución de defensa contra amenazas para dispositivos móviles. No es necesario implementar ambos. |
| Propiedades del dispositivo | Versión de SO mínima | Formato: Major.Minor Ejemplo: 15.0 |
Microsoft recomienda configurar la versión principal mínima de iOS para que coincida con las versiones de iOS compatibles con las aplicaciones de Microsoft. Las aplicaciones de Microsoft admiten un enfoque N-1 en el que N es la versión de versión principal de iOS actual. En el caso de los valores de versión secundaria y de compilación, Microsoft recomienda garantizar que los dispositivos estén actualizados con las actualizaciones de seguridad respectivas. Para obtener las recomendaciones más recientes de Apple, consulte Actualizaciones de seguridad de Apple. |
| Microsoft Defender para punto de conexión | Solicitar que el dispositivo tenga o esté por debajo de la puntuación de riesgo de la máquina | Clear | Esta configuración requiere Microsoft Defender para punto de conexión. Para obtener más información, consulte Exigencia del cumplimiento de Microsoft Defender para punto de conexión con acceso condicional en Intune. Los clientes deben considerar la posibilidad de implementar Microsoft Defender para punto de conexión o una solución de defensa contra amenazas para dispositivos móviles. No es necesario implementar ambos. |
| Seguridad del sistema | Expiración de contraseña (días) | 365 | |
| Acciones de no cumplimiento | Marcar el dispositivo como no conforme | De forma inmediata | De forma predeterminada, la directiva está configurada para marcar el dispositivo como no conforme. Hay otras acciones disponibles. Para más información, consulte Configuración de acciones para dispositivos no compatibles en Intune. |