Gegevens en apparaten beschermen met Microsoft Intune

  • Artikel
  • 10 minuten om te lezen

Microsoft Intune kunt u uw beheerde apparaten veilig en up-to-date houden terwijl u de gegevens van uw organisatie kunt beveiligen tegen aangetaste apparaten. Gegevensbeveiliging omvat het beheren van wat gebruikers doen met de gegevens van een organisatie op zowel beheerde als niet-beheerde apparaten. Gegevensbeveiliging geldt ook voor het blokkeren van toegang tot gegevens van apparaten die mogelijk worden aangetast.

In dit artikel worden veel van de ingebouwde mogelijkheden en partnertechnologieën van Intune beschreven die u met Intune kunt integreren. Naarmate u er meer over te weten komt, kunt u er verschillende samenbrengen voor uitgebreidere oplossingen op weg naar een zero-trust-omgeving.

In het Microsoft Endpoint Manager-beheercentrum ondersteunt Intune beheerde apparaten met Android, iOS/iPad, macOS en Windows 10.

Wanneer u Configuration Manager on-premises apparaten beheert, kunt u Intune-beleid uitbreiden naar die apparaten door tenant koppelen of co-beheer te configureren.

Intune kan ook werken met gegevens van apparaten die u beheert met producten van derden die apparaat compatibiliteit en beveiliging tegen mobiele bedreigingen bieden.

Apparaten beveiligen via beleid

Implementeer het apparaatconfiguratie- en nalevingsbeleid van Intune om apparaten te configureren om te voldoen aan de beveiligingsdoelen van uw organisatie. Beleid biedt ondersteuning voor een of meer profielen. Dit zijn de afzonderlijke sets platformspecifieke regels die u implementeert voor groepen ingeschreven apparaten.

  • Met apparaatconfiguratiebeleid beheertu profielen die de instellingen en functies definiëren die apparaten in uw organisatie gebruiken. Apparaten configureren voor endpoint protection, certificaten inrichten voor verificatie, gedrag van software-updates instellen en meer.

  • Met nalevingsbeleid voor apparatenmaakt u profielen voor verschillende apparaatplatforms die apparaatvereisten bepalen. Vereisten kunnen bestaan uit besturingssysteemversies, het gebruik van schijfversleuteling of het gebruik van specifieke bedreigingsniveaus zoals gedefinieerd door software voor bedreigingsbeheer.

    Intune kan apparaten beveiligen die niet compatibel zijn met uw beleid en de gebruiker van het apparaat waarschuwen zodat deze het apparaat compatibel kan maken.

    Wanneer u voorwaardelijke toegang aan de combinatie toevoegt, configureert u beleidsregels waarmee alleen compatibele apparaten toegang hebben tot de resources van uw netwerk en organisatie. Toegangsbeperkingen kunnen bestands shares en bedrijfse-mail omvatten. Beleid voor voorwaardelijke toegang werkt ook met de apparaattoestandsgegevens die worden gerapporteerd door externe apparaat nalevingspartners die u integreert met Intune.

Hier volgen enkele van de beveiligingsinstellingen en -taken die u kunt beheren via apparaatbeleid:

  • Apparaatversleuteling: beheer BitLocker op Windows 10 apparaten en FileVault in macOS.

  • Verificatiemethoden: configureer hoe uw apparaten worden geverifieerd bij de resources, e-mail en toepassingen van uw organisatie.

    • Gebruik certificaten voor verificatie bij toepassingen, de resources van uw organisatie en voor het ondertekenen en versleutelen van e-mail met behulp van S/MIME. U kunt ook afgeleide referenties instellen wanneer uw omgeving het gebruik van smartcards vereist.

    • Configureer instellingen om risico's te beperken, zoals:

      • Multi-Factor Authentication (MFA) vereisen om een extra verificatielaag voor gebruikers toe te voegen.
      • Stel pincode- en wachtwoordvereisten in die moeten worden voldaan voordat u toegang krijgt tot resources.
      • Schakel Windows Hello voor Bedrijven in voor Windows 10 apparaten.

  • Virtuele particuliere netwerken (VPN's) : met VPN-profielen kunt u VPN-instellingen toewijzen aan apparaten, zodat ze eenvoudig verbinding kunnen maken met het netwerk van uw organisatie. Intune ondersteunt verschillende vpn-verbindingstypen en -apps, die zowel ingebouwde mogelijkheden voor sommige platforms als VPN-apps van derden voor apparaten bevatten.

  • Software-updates: beheren hoe en wanneer apparaten software-updates ontvangen.

    • Voor iOS beheertu versies van het besturingssysteem van het apparaat en wanneer apparaten controleren op updates en installeren.
    • Voor Windows 10kunt u de Windows Update-ervaring voor apparaten beheren. U kunt configureren wanneer apparaten updates scannen of installeren, een set beheerde apparaten in specifieke functieversies en meer bevatten.

  • Beveiligingsbasislijnen: implementeer beveiligingsbasislijnen om een kernbeveiligingsstatus vast te stellen op uw Windows 10 apparaten. Beveiligingsbasislijnen zijn vooraf geconfigureerde groepen Windows instellingen die worden aanbevolen door de relevante productteams. U kunt basislijnen gebruiken zoals opgegeven of exemplaren ervan bewerken om te voldoen aan uw beveiligingsdoelen voor doelgroepen van apparaten.

Gegevens beveiligen via beleid

Door Intune beheerde apps en het app-beveiligingsbeleid van Intune kunnen helpen gegevenslekken te stoppen en de gegevens van uw organisatie veilig te houden. Deze beveiliging kan van toepassing zijn op apparaten die zijn ingeschreven bij Intune en op apparaten die dat niet zijn.

  • Door Intune beheerde apps (of kort gezegd beheerde apps) zijn apps die zijn geïntegreerd met de Intune App SDK of zijn verpakt door de Intune-App Wrapping Tool. Deze apps kunnen worden beheerd met intune-beleid voor app-beveiliging. Zie Met Intune beveiligde apps voor een lijst met openbaar beschikbare beheerde apps.

    Gebruikers kunnen beheerde apps gebruiken om te werken met zowel de gegevens van uw organisatie als hun eigen persoonlijke gegevens. Wanneer het beveiligingsbeleid voor apps echter het gebruik van een beheerde app vereist, is de beheerde app de enige app die kan worden gebruikt voor toegang tot de gegevens van uw organisatie. App-beveiliging regels zijn niet van toepassing op de persoonlijke gegevens van een gebruiker.

  • App-beveiliging beleidsregels zijn regels die ervoor zorgen dat de gegevens van een organisatie veilig of opgenomen blijven in een beheerde app. De regels identificeren de beheerde app die moet worden gebruikt en definiëren wat er met de gegevens kan worden gedaan terwijl de app wordt gebruikt.

Hier volgen enkele voorbeelden van beveiligingen en beperkingen die u kunt instellen met app-beveiligingsbeleid en beheerde apps:

  • Beveiligingsinstellingen voor app-lagen configureren, zoals het vereisen van een pincode voor het openen van een app in een werkcontext.
  • Hiermee kunt u het delen van gegevens van een organisatie tussen apps op een apparaat beheren, zoals het blokkeren van kopiëren en plakken of het maken van schermopnamen.
  • Voorkomen dat de gegevens van uw organisatie worden opgeslagen op persoonlijke opslaglocaties.

Apparaatacties gebruiken om apparaten en gegevens te beveiligen

Vanuit het Microsoft Endpoint Manager beheercentrum kunt u apparaatacties uitvoeren die ervoor zorgen dat een geselecteerd apparaat beveiligd blijft. U kunt een subset van deze acties uitvoeren als bulkapparaatacties om meerdere apparaten tegelijk te beïnvloeden. En verschillende externe acties van Intune kunnen ook worden gebruikt met co-beheerde apparaten.

Apparaatacties zijn geen beleid en worden één keer van kracht wanneer ze worden aangeroepen. Ze zijn onmiddellijk van toepassing als het apparaat online toegankelijk is, of wanneer het apparaat vervolgens wordt op start of incheckt bij Intune. Deze acties worden beschouwd als aanvullend op het gebruik van beleidsregels voor het configureren en onderhouden van beveiligingsconfiguraties voor een populatie van apparaten.

Hier volgen enkele voorbeelden van acties die u kunt uitvoeren om apparaten en gegevens te beveiligen:

Apparaten die worden beheerd door Intune:

  • BitLocker-sleutelrotatie (alleen Windows)
  • Activeringsvergrendeling uitschakelen (alleen iOS)
  • Volledige of snelle scan (Windows 10 alleen)
  • Vergrendelen op afstand
  • Retire (waarmee de gegevens van uw organisatie van het apparaat worden verwijderd terwijl persoonlijke gegevens intact blijven)
  • Beveiligingsinformatie van Microsoft Defender bijwerken
  • Wissen (fabrieksinstellingen terugzetten op het apparaat, alle gegevens, apps en instellingen verwijderen)

Apparaten die worden beheerd door Configuration Manager:

  • Buiten gebruik stellen
  • Wissen
  • Synchroniseren (forceer dat een apparaat direct wordt incheckt bij Intune om nieuw beleid of acties in behandeling te vinden)

Integreren met andere producten

Intune biedt ondersteuning voor integratie met partner-apps van zowel eigen bronnen als bronnen van derden, die zijn gebaseerd op de ingebouwde mogelijkheden. U kunt Intune ook integreren met verschillende Microsoft-technologieën.

Partnertechnologieën

Intune kan gegevens van geïntegreerde nalevingspartners en Mobile Threat Defense-partners gebruiken:

  • Nalevingspartners : meer informatie over apparaat nalevingspartners met Intune. Wanneer u een apparaat beheert met een andere mobile device management-partner dan Intune, kunt u die nalevingsgegevens integreren met Azure Active Directory. Wanneer deze zijn geïntegreerd, kunnen de partnergegevens worden gebruikt door het beleid voor voorwaardelijke toegang, naast nalevingsgegevens van Intune.

  • Mobile Threat Defense: mobile threat defense-apps kunnen apparaten scannen op bedreigingen en helpen bij het identificeren van het risico dat het apparaat toegang krijgt tot de resources en gegevens van uw organisatie. U kunt dat risiconiveau vervolgens gebruiken in verschillende beleidsregels, zoals beleid voor voorwaardelijke toegang, om de toegang tot deze resources te beperken.

Configuration Manager

U kunt veel Intune-beleidsregels en apparaatacties gebruiken om de apparaten die u beheert te beveiligen met Configuration Manager. Configureer co-beheer of tenant koppelen om deze apparaten te ondersteunen. U kunt beide ook samen met Intune gebruiken.

  • Met co-beheer kunt u gelijktijdig een Windows 10 beheren met zowel Configuration Manager als Intune. U installeert de Configuration Manager-client en ingeschreven het apparaat bij Intune. Het apparaat communiceert met beide services.

  • Tenant koppelen stelt synchronisatie in tussen uw Configuration Manager-site en uw Intune-tenant. Deze synchronisatie biedt u één weergave voor alle apparaten die u beheert met Microsoft Endpoint Manager.

Nadat er een verbinding tussen Intune en Configuration Manager tot stand is Configuration Manager apparaten beschikbaar in het Microsoft Endpoint Manager-beheercentrum. Vervolgens kunt u Intune-beleid implementeren op deze apparaten of apparaatacties gebruiken om ze te beveiligen.

Enkele van de beveiligingen die u kunt toepassen zijn:

  • Implementeer certificaten op apparaten met behulp van Intune Simple Certificate Enrollment Protocol (SCEP) of pkcs-certificaatprofielen (private and public key pair).
  • Nalevingsbeleid gebruiken.
  • Gebruik eindpuntbeveiligingsbeleid, zoals Antivirus, Eindpuntdetectie en -respons en Firewallregels.
  • Beveiligingsbasislijnen toepassen.
  • Beheer Windows Updates.

Mobile Threat Defense-apps

Mobile Threat Defense-apps (MTD) scannen en analyseren apparaten actief op bedreigingen. Wanneer u Mobile Threat Defense-apps integreert (verbindt) met Intune, krijgt u de app-evaluatie van een bedreigingsniveau voor apparaten. Evaluatie van een bedreigingsniveau voor apparaten is een belangrijk hulpmiddel om de resources van uw organisatie te beschermen tegen gecompromitteerde mobiele apparaten.

Gebruik gegevens op bedreigingsniveau met beleidsregels voor apparaat naleving, app-beveiliging en voorwaardelijke toegang. Deze beleidsregels gebruiken de gegevens om te blokkeren dat niet-compatibele apparaten toegang hebben tot de resources van uw organisatie.

Met een geïntegreerde MTD-app:

  • Voor ingeschreven apparaten:

    • Gebruik Intune om de MTD-app op apparaten te implementeren en vervolgens te beheren.
    • Implementeer nalevingsbeleid voor apparaten dat gebruik maakt van het gerapporteerde bedreigingsniveau voor apparaten om de naleving te evalueren.
    • Definieer beleidsregels voor voorwaardelijke toegang die rekening houden met een bedreigingsniveau voor apparaten.
    • Beveiligingsbeleid voor apps definiëren om te bepalen wanneer toegang tot gegevens moet worden geblokkeerd of toegestaan, op basis van het bedreigingsniveau van het apparaat.

  • Voor apparaten die niet bij Intune worden ingeschreven maar een MTD-app uitvoeren die is geïntegreerd met Intune, gebruikt u de gegevens op bedreigingsniveau met uw app-beveiligingsbeleid om de toegang tot de gegevens van uw organisatie te blokkeren.

Intune ondersteunt integratie met:

Microsoft Defender voor Eindpunten

Microsoft Defender for Endpoint biedt op zichzelf verschillende beveiligingsvoordelen. Microsoft Defender for Endpoint kan ook worden geïntegreerd met Intune en wordt ondersteund op verschillende apparaatplatforms. Met integratie krijgt u een Mobile Threat Defense-app en voegt u mogelijkheden toe aan Intune om gegevens en apparaten veilig te houden. Deze mogelijkheden omvatten:

  • Ondersteuning voor Microsoft Tunnel: op Android-apparaten is Microsoft Defender for Endpoint de clienttoepassing die u gebruikt met Microsoft Tunnel,een VPN-gatewayoplossing voor Intune. Wanneer u de client-app Microsoft Tunnel, hebt u geen abonnement voor Microsoft Defender for Endpoint nodig.

  • Beveiligingstaken: met beveiligingstakenkunnen Intune-beheerders profiteren van de mogelijkheden van Microsoft Defender voor Threat and Vulnerability Management eindpunt. Hoe werkt het?

    • Uw Defender for Endpoint-team identificeert apparaten met risico's en maakt de beveiligingstaken voor Intune in het Defender for Endpoint Security Center.
    • Deze taken worden in Intune met een oplossingsadvies dat Intune-beheerders kunnen gebruiken om het risico te beperken.
    • Wanneer een taak is opgelost in Intune, wordt die status terugverplaatst naar het Defender for Endpoint Security Center, waar de resultaten van de oplossing kunnen worden geëvalueerd.

  • Eindpuntbeveiligingsbeleid: voor de volgende Intune-eindpuntbeveiligingsbeleidsregels is integratie met Microsoft Defender voor eindpunten vereist. Wanneer u tenant koppelen gebruikt,kunt u dit beleid implementeren op apparaten die u beheert met Intune of Configuration Manager.

    • Antivirusbeleid: beheer de instellingen voor Microsoft Defender Antivirus en de Windows-beveiliging-ervaring op ondersteunde apparaten, zoals Windows 10 en macOS.

    • Beleid voor eindpuntdetectie en -respons: gebruik dit beleid om eindpuntdetectie en -respons (EDR) te configureren. Dit is een functie van Microsoft Defender voor eindpunten.

Voorwaardelijke toegang

Voorwaardelijke toegang is een Azure Active Directory (Azure AD) die met Intune werkt om apparaten te beveiligen. Voor apparaten die worden geregistreerd bij Azure AD, kan het beleid voor voorwaardelijke toegang apparaat- en nalevingsgegevens van Intune gebruiken om toegangsbeslissingen af te dwingen voor gebruikers en apparaten.

Combineer beleid voor voorwaardelijke toegang met:

  • Nalevingsbeleid voor apparaten kan vereisen dat een apparaat wordt gemarkeerd als compatibel voordat dat apparaat kan worden gebruikt voor toegang tot de resources van uw organisatie. Het beleid voor voorwaardelijke toegang geeft de apps-services op die u wilt beveiligen, voorwaarden waaronder de apps of services toegankelijk zijn en de gebruikers waarop het beleid van toepassing is.

  • App-beveiliging-beleid kan een beveiligingslaag toevoegen die ervoor zorgt dat alleen client-apps die ondersteuning bieden voor app-beveiligingsbeleid van Intune toegang hebben tot uw onlineresources, zoals Exchange of andere Microsoft 365 services.

Voorwaardelijke toegang werkt ook met het volgende om apparaten veilig te houden:

  • Microsoft Defender voor eindpunt- en MTD-apps van derden
  • Apps van partners voor apparaat naleving
  • Microsoft Tunnel

Volgende stappen

Plan het gebruik van de mogelijkheden van Intune ter ondersteuning van uw traject naar een omgeving zonder vertrouwen door uw gegevens te beveiligen en apparaten te beveiligen. Naast de vorige in-line koppelingen voor meer informatie over deze mogelijkheden, kunt u meer leren over gegevensbeveiliging en delen in Intune.