Configuraciones de seguridad de dispositivos supervisados de iOS/iPadOS

Como parte del marco de trabajo de configuración de seguridad de iOS/iPadOS, aplique la siguiente configuración de cumplimiento de dispositivos a los usuarios móviles mediante dispositivos supervisados. Para obtener más información sobre cada configuración de directiva, consulteConfiguración de dispositivos iOS/iPadOS en Microsoft Intune.

Al elegir la configuración, asegúrese de revisar y clasificar los escenarios de uso. Luego, configure los usuarios siguiendo las instrucciones correspondientes al nivel de seguridad elegido. Puede ajustar la configuración sugerida en función de las necesidades de su organización. Asegúrese de que el equipo de seguridad evalúe el entorno de amenazas, los posibles riesgos y cómo afecta a la usabilidad.

Los administradores pueden incorporar los niveles de configuración anteriores dentro de su metodología de implementación en anillo para su uso en producción y pruebas mediante la importación de las plantillas JSON del marco de configuración de seguridad de iOS/iPadOS de ejemplo con scripts de PowerShell de Intune.

Seguridad básica supervisada (nivel 1)

El nivel 1 es la configuración de seguridad mínima para un dispositivo móvil de la empresa que pertenece a la organización.

Las directivas de nivel 1 exigen un nivel de acceso a los datos razonable a la vez que minimizan los efectos para los usuarios de las siguientes maneras:

  • Aplicando directivas de contraseña.
  • Habilitando determinadas características de bloqueo del dispositivo.
  • Deshabilitando determinadas funciones de dispositivo (como certificados que no son de confianza).

Para simplificar la tabla siguiente, solo se muestran las opciones configuradas. Las restricciones de dispositivos sin documentar no están configuradas.

Restricciones de dispositivo

Sección Configuración Valor Notas
Tienda de aplicaciones, presentación de documentos, juegos Tratar AirDrop como destino no administrado
Aplicaciones integradas Bloquear Siri con el dispositivo bloqueado
Aplicaciones integradas Requerir advertencias de fraude de Safari
Nube y almacenamiento Forzar la copia de seguridad cifrada
Nube y almacenamiento Impedir que las aplicaciones administradas almacenen datos en iCloud
Nube y almacenamiento Bloquear la sincronización de Keychain en iCloud
Dispositivos conectados Forzar la detección de muñeca de Apple Watch
Dispositivos conectados Bloquear el almacenamiento de credenciales de AirPrint en Keychain
Dispositivos conectados Requerir AirPrint para destinos con certificados de confianza
Dispositivos conectados Bloquear la detección de iBeacon de impresoras AirPrint
Dispositivos conectados Bloquear la configuración de nuevos dispositivos cercanos
General Bloquear certificados TLS que no son de confianza
General Impedir confiar en autores de aplicaciones empresariales nuevos
General Permitir bloqueo de activación
Experiencia de pantalla bloqueada Bloquear el acceso al Centro de notificaciones en la pantalla de bloqueo
Experiencia de pantalla bloqueada Bloquear la vista de hoy en la pantalla de bloqueo
Password Requerir contraseña
Password Bloquear contraseñas simples
Password Tipo de contraseña necesaria Numérico
Password Longitud mínima de la contraseña 6 Es posible que las organizaciones tengan que actualizar esta configuración para que coincida con su directiva de contraseñas.
Password Número de errores de inicio de sesión antes de borrar el dispositivo 10 Es posible que las organizaciones tengan que actualizar esta configuración para que coincida con su directiva de contraseñas.
Password Máximo de minutos tras bloqueo de pantalla antes de solicitar la contraseña 5 Es posible que las organizaciones tengan que actualizar esta configuración para que coincida con su directiva de contraseñas.
Password Máximo de minutos de inactividad hasta que se bloquea la pantalla 5 Es posible que las organizaciones tengan que actualizar esta configuración para que coincida con su directiva de contraseñas.
Password Bloquear las solicitudes de proximidad de contraseñas
Password Bloquear el uso compartido de contraseñas
Password Requerir autenticación con Touch ID o Face ID para el autorrelleno de datos de tarjetas de crédito o contraseñas

Seguridad mejorada supervisada (nivel 2)

El nivel 2 es la configuración recomendada para los dispositivos supervisados en los que los usuarios acceden a información más confidencial. Estos dispositivos son un objetivo natural en las empresas de hoy en día. Se supone que con esta configuración no es necesario contar con un cuantioso personal con conocimientos de seguridad. Por lo tanto, será accesible para la mayoría de las organizaciones empresariales. Esta configuración es aplicable a la mayoría de los usuarios móviles que acceden a los datos profesionales o educativos de un dispositivo.

Esta configuración amplía la configuración del nivel 1 estableciendo controles de transferencia de datos y bloqueando el acceso a dispositivos USB.

La configuración de nivel 2 incluye todas las configuraciones de directivas recomendadas para el nivel 1. Sin embargo, la configuración que se muestra a continuación incluye solo los valores que se han agregado o cambiado. Esta configuración puede tener un efecto algo mayor en los usuarios o en las aplicaciones. Aplica un nivel de seguridad más adecuado para los riesgos a los que se enfrentan los usuarios con acceso a información confidencial en los dispositivos móviles.

Restricciones de dispositivo

Sección Configuración Valor Notas
Tienda de aplicaciones, presentación de documentos, juegos Bloquear la visualización de documentos corporativos en aplicaciones no administradas
Tienda de aplicaciones, presentación de documentos, juegos Bloquear la visualización de documentos no corporativos en aplicaciones corporativas No configurado La habilitación de esta restricción de dispositivo bloquea la capacidad de Outlook para iOS de exportar contactos. Esta configuración no se recomienda si se usa Outlook para iOS. Para obtener más información, vea Sugerencia de servicio de asistencia: habilitación de la sincronización de contactos entre Outlook e iOS con controles de MDM de iOS12.
Tienda de aplicaciones, presentación de documentos, juegos Permitir que las aplicaciones administradas escriban contactos en cuentas de contactos no administradas Esta configuración es necesaria para permitir que Outlook para iOS exporte contactos cuando Bloquear la visualización de documentos corporativos en aplicaciones no administradas se establezca en . Para obtener más información, vea Sugerencia de servicio de asistencia: habilitación de la sincronización de contactos entre Outlook e iOS con controles de MDM de iOS12.
Tienda de aplicaciones, presentación de documentos, juegos Permitir que la operación de copiar y pegar se vea afectada por el acceso abierto administrado Si se habilita esta configuración, las cuentas personales de las aplicaciones administradas de Microsoft no compartirán datos con aplicaciones no administradas.
Aplicaciones integradas Bloquear Siri para dictado
Aplicaciones integradas Bloquear Siri para la traducción
Almacenamiento en la nube Bloquear la copia de seguridad de libros empresariales
Almacenamiento en la nube Bloquear la sincronización de notas y eventos destacados de libros empresariales
Almacenamiento en la nube Bloquear la sincronización de datos y documentos de iCloud
Dispositivos conectados Bloquear el acceso a USB en la aplicación Files
General Bloquear el envío de datos de uso y diagnóstico a Apple

Seguridad alta supervisada (nivel 3)

El nivel 3 es la configuración recomendada para:

  • Organizaciones con estructuras de seguridad grandes y sofisticadas.
  • Usuarios y grupos específicos a los que se dirigirán en exclusiva los adversarios. Normalmente, tales organizaciones son el destino de adversarios sofisticados y con una buena financiación.

Esta configuración amplía el nivel 2 de las siguientes maneras:

La configuración de directiva que se aplica en el nivel 3 incluye todas las configuraciones de directivas recomendadas para el nivel 2. Los valores que se muestran a continuación incluyen solo los que se han agregado o cambiado. Esta configuración puede tener un efecto importante en los usuarios o las aplicaciones. Aplica un nivel de seguridad más adecuado para los riesgos a los que se enfrentan las organizaciones de destino.

Restricciones de dispositivo

Sección Configuración Valor Notas
Tienda de aplicaciones, presentación de documentos, juegos Bloquear la App Store
Tienda de aplicaciones, presentación de documentos, juegos Bloquear la reproducción de iTunes U, pódcast y música explícitos
Tienda de aplicaciones, presentación de documentos, juegos Bloquear la adición de amigos de Game Center
Tienda de aplicaciones, presentación de documentos, juegos Bloquear Game Center
Tienda de aplicaciones, presentación de documentos, juegos Bloquear los juegos multijugador
Tienda de aplicaciones, presentación de documentos, juegos Bloquear el acceso a la unidad de red en la aplicación Files
Aplicaciones integradas Bloquear Siri
Aplicaciones integradas Bloquear iTunes Store
Aplicaciones integradas Bloquear Buscar a mis amigos
Aplicaciones integradas Bloquear la modificación del usuario en la configuración de Buscar a mis amigos
Aplicaciones integradas Bloquear Autorrelleno en Safari
Nube y almacenamiento Bloquear Handoff
Nube y almacenamiento Bloquear la copia de seguridad de iCloud
Dispositivos conectados Requerir contraseña de emparejamiento para solicitudes salientes de AirPlay
Dispositivos conectados Impedir el desbloqueo automático de Apple Watch
Dispositivos conectados Bloquear AirDrop
Dispositivos conectados Bloquear el emparejamiento con hosts que no son de Configurator
Dispositivos conectados Bloquear AirPrint
Dispositivos conectados Permitir a los usuarios arrancar dispositivos en modo de recuperación con dispositivos no asociados No configurado
General Bloquear capturas de pantalla y grabación de pantalla
General Bloquear la modificación de la configuración de cuenta
General Bloquear el uso de la opción de borrar todo el contenido y la configuración
General Impedir que se modifique el perfil de configuración
General Bloquear la eliminación de aplicaciones
General Forzar fecha y hora automáticas
General Bloquear creación de VPN
General Bloquear la modificación de la configuración de eSIM
Password Número de errores de inicio de sesión antes de borrar el dispositivo 5 Es posible que las organizaciones tengan que actualizar esta configuración para que coincida con su directiva de contraseñas.
Password Expiración de contraseña (días) 365 Es posible que las organizaciones tengan que actualizar esta configuración para que coincida con su directiva de contraseñas.
Password Impedir la reutilización de contraseñas anteriores 5 Es posible que las organizaciones tengan que actualizar esta configuración para que coincida con su directiva de contraseñas.
Password Bloquear el relleno automático de contraseñas
Inalámbrico Bloquear la marcación por voz mientras el dispositivo está bloqueado
Inalámbrico Requerir la conexión a redes Wi-Fi solo con perfiles de configuración No configurado Debe tener cuidado al usar esta configuración, ya que podría afectar a la capacidad de conectarse al dispositivo si las redes Wi-Fi especificadas no están disponibles o si el ajuste está configurado incorrectamente. Esto podría dar lugar a una situación en la que se está bloqueado fuera del dispositivo y no se puede restablecer el dispositivo de forma remota.

Siguientes pasos

Los administradores pueden incorporar los niveles de configuración anteriores dentro de su metodología de implementación en anillo para su uso en producción y pruebas mediante la importación de las plantillas JSON del marco de configuración de seguridad de iOS/iPadOS de ejemplo con scripts de PowerShell de Intune.