Common Zero Trust identity and device access policies
Van toepassing op
- Exchange Online Protection
- Abonnement 1 en abonnement 2 voor Microsoft Defender voor Office 365
- Azure
In dit artikel worden de veelgebruikte beleidsregels voor identiteits- en apparaattoegang van Zero Trust beschreven voor het beveiligen van toegang tot Microsoft 365 cloudservices, inclusief on-premises toepassingen die zijn gepubliceerd met Azure Active Directory (Azure AD) Application Proxy.
In deze richtlijn wordt besproken hoe u het aanbevolen beleid implementeert in een nieuwe omgeving. Als u dit beleid in een afzonderlijke labomgeving instelt, kunt u de aanbevolen beleidsregels begrijpen en evalueren voordat u de implementatie naar uw preproductie- en productieomgevingen organiseert. Uw nieuwe inrichtingsomgeving kan alleen in de cloud of hybride zijn om aan uw evaluatiebehoeften te voldoen.
Beleidsset
In het volgende diagram ziet u de aanbevolen set beleidsregels. Hier ziet u op welke beveiligingslaag elk beleid van toepassing is en of het beleid van toepassing is op pc's of telefoons en tablets, of beide categorieën apparaten. Het geeft ook aan waar u dit beleid configureert.
In de rest van dit artikel wordt beschreven hoe u dit beleid configureert.
Notitie
Het is raadzaam om het gebruik van meervoudige verificatie (MFA) te vereisen voordat u apparaten in Intune inschrijft om ervoor te zorgen dat het apparaat in het bezit is van de beoogde gebruiker. U moet apparaten registreren in Intune voordat u het nalevingsbeleid voor apparaten kunt afdwingen.
Om u de tijd te geven om deze taken uit te voeren, raden we u aan het beleid voor het beginpunt te implementeren in de volgorde die in deze tabel wordt vermeld. Het MFA-beleid voor ondernemingen en gespecialiseerde beveiligingsniveaus kan echter op elk moment worden geïmplementeerd.
| Beveiligingsniveau | Beleid | Meer informatie | Licenties |
|---|---|---|---|
| Beginpunt | MFA vereisen wanneer het aanmeldingsrisico gemiddeld of hoog is | Microsoft 365 E5 of Microsoft 365 E3 met de E5-beveiligings-invoegvoegvoeging | |
| Clients blokkeren die moderne verificatie niet ondersteunen | Clients die geen moderne verificatie gebruiken, kunnen beleidsregels voor voorwaardelijke toegang omzeilen, dus het is belangrijk om deze te blokkeren. | Microsoft 365 E3 of E5 | |
| Gebruikers met een hoog risico moeten het wachtwoord wijzigen | Dwingt gebruikers hun wachtwoord te wijzigen wanneer ze zich aanmelden als er activiteit met een hoog risico wordt gedetecteerd voor hun account. | Microsoft 365 E5 of Microsoft 365 E3 met de E5-beveiligings-invoegvoegvoeging | |
| Beleid voor appbeveiliging (Application Protection Policies) voor gegevensbeveiliging toepassen | Eén beleid voor appbeveiliging van Intune per platform (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 of E5 | |
| Goedgekeurde apps en app-beveiliging vereisen | Hiermee wordt beveiliging van mobiele apps afgedwongen voor telefoons en tablets met iOS, iPadOS of Android. | Microsoft 365 E3 of E5 | |
| Enterprise | MFA vereisen wanneer het aanmeldingsrisico laag, gemiddeld of hoog is | Microsoft 365 E5 of Microsoft 365 E3 met de E5-beveiligings-invoegvoegvoeging | |
| Beleidsregels voor apparaat compliance definiëren | Eén beleid voor elk platform. | Microsoft 365 E3 of E5 | |
| Compatibele pc's en mobiele apparaten vereisen | Intune-beheer wordt afgedwongen voor zowel pc's (Windows of macOS) als telefoons of tablets (iOS, iPadOS of Android). | Microsoft 365 E3 of E5 | |
| Gespecialiseerde beveiliging | Altijd MFA vereisen | Microsoft 365 E3 of E5 | |
Beleid toewijzen aan groepen en gebruikers
Voordat u beleid configureert, identificeert u de Azure AD-groepen die u gebruikt voor elke beveiligingslaag. Meestal is de bescherming van het beginpunt van toepassing op iedereen in de organisatie. Een gebruiker die is opgenomen voor zowel het beginpunt als de bedrijfsbeveiliging, heeft alle beleidsregels voor uitgangspunten plus het ondernemingsbeleid toegepast. Beveiliging is cumulatief en het meest beperkende beleid wordt afgedwongen.
Een aanbevolen oefening is het maken van een Azure AD-groep voor uitsluiting van voorwaardelijke toegang. Voeg deze groep toe aan al uw beleidsregels voor Voorwaardelijke toegang in de instelling Uitsluit van de instelling Gebruikers en groepen in de sectie Toewijzingen. Dit geeft u een methode om toegang te bieden tot een gebruiker terwijl u toegangsproblemen oplost. Dit wordt alleen aanbevolen als tijdelijke oplossing. Controleer deze groep op wijzigingen en zorg ervoor dat de uitsluitingsgroep alleen wordt gebruikt zoals bedoeld.
Hier volgen een voorbeeld van groepstoewijzingen en uitsluitingen voor het vereisen van MFA.
Hier zijn de resultaten:
Alle gebruikers moeten MFA gebruiken wanneer het aanmeldingsrisico gemiddeld of hoog is.
Leden van de groep Leidinggevend personeel moeten MFA gebruiken wanneer het aanmeldingsrisico laag, gemiddeld of hoog is.
In dit geval komen leden van de groep Leidinggevend personeel overeen met zowel het beginpunt als het beleid voor zakelijke voorwaardelijke toegang. De toegangsbesturingselementen voor beide beleidsregels worden gecombineerd, wat in dit geval overeenkomt met het beleid voor voorwaardelijke toegang van het bedrijf.
Leden van de groep Top Secret Project X zijn altijd verplicht om MFA te gebruiken
In dit geval komen leden van de groep Top Secret Project X overeen met zowel het beginpunt als het gespecialiseerde beveiligingsbeleid Voorwaardelijke toegang. De toegangsbesturingselementen voor beide beleidsregels worden gecombineerd. Omdat het toegangsbeheer voor het gespecialiseerde beleid voor voorwaardelijke toegang beperkter is, wordt het gebruikt.
Wees voorzichtig bij het toepassen van hogere beveiligingsniveaus op groepen en gebruikers. Leden van de groep Top Secret Project X moeten bijvoorbeeld MFA gebruiken telkens wanneer ze zich aanmelden, zelfs als ze niet werken aan de gespecialiseerde beveiligingsinhoud voor Project X.
Alle Azure AD-groepen die als onderdeel van deze aanbevelingen zijn gemaakt, moeten worden gemaakt als Microsoft 365 groepen. Dit is belangrijk voor de implementatie van gevoeligheidslabels bij het beveiligen van documenten in Microsoft Teams en SharePoint.
MFA vereisen op basis van aanmeldingsrisico
U moet uw gebruikers laten registreren voor MFA voordat ze het moeten gebruiken. Als u Microsoft 365 E5, Microsoft 365 E3 met de E5-beveiligingsinvoeging, Office 365 met EMS E5 of afzonderlijke Azure AD Premium P2-licenties, kunt u het MFA-registratiebeleid met Azure AD Identity Protection gebruiken om te vereisen dat gebruikers zich registreren voor MFA. Het vereiste werk omvat het registreren van alle gebruikers met MFA.
Nadat uw gebruikers zijn geregistreerd, kunt u MFA vereisen voor aanmelding met een nieuw beleid voor voorwaardelijke toegang.
- Ga naar de Azure-portalen meld u aan met uw referenties.
- Kies in de lijst met Azure-services de Azure Active Directory.
- Kies in de lijst Beheren de optie Beveiliging en kies vervolgens Voorwaardelijke toegang.
- Kies Nieuw beleid en typ de naam van het nieuwe beleid.
In de volgende tabellen worden de beleidsinstellingen voor Voorwaardelijke toegang beschreven die MFA vereisen op basis van aanmeldingsrisico.
In de sectie Opdrachten:
| Instelling | Eigenschappen | Waarden | Opmerkingen |
|---|---|---|---|
| Gebruikers en groepen | Opnemen | Selecteer gebruikers en groepen > gebruikers en groepen: Selecteer specifieke groepen met gerichte gebruikersaccounts. | Begin met de groep met testgebruikersaccounts. |
| Uitsluiten | Gebruikers en groepen: selecteer de uitzonderingsgroep Voorwaardelijke toegang; serviceaccounts (app-identiteiten). | Lidmaatschap moet worden gewijzigd op een zo nodig, tijdelijke basis. | |
| Cloud-apps of -acties | Cloud-apps > Include | Apps selecteren: selecteer de apps op wie u dit beleid wilt toepassen. Selecteer bijvoorbeeld Exchange Online. | |
| Voorwaarden | Configureer voorwaarden die specifiek zijn voor uw omgeving en behoeften. | ||
| Aanmeldingsrisico | Zie de richtlijnen in de volgende tabel. | ||
Instellingen voor aanmeldingsrisico
Pas de instellingen voor risiconiveau toe op basis van het beveiligingsniveau dat u wilt instellen.
| Niveau van beveiliging | Waarden op risiconiveau die nodig zijn | Actie |
|---|---|---|
| Beginpunt | Hoog, gemiddeld | Controleer beide. |
| Enterprise | Hoog, gemiddeld, laag | Controleer alle drie. |
| Gespecialiseerde beveiliging | Laat alle opties uitgeschakeld om MFA altijd af te dwingen. | |
In de sectie Besturingselementen van Access:
| Instelling | Eigenschappen | Waarden | Actie |
|---|---|---|---|
| Grant | Grant access | Selecteren | |
| Meervoudige verificatie vereisen | Cheque | ||
| Alle geselecteerde besturingselementen vereisen | Selecteren | ||
Kies Selecteren om de instellingen voor verlenen op te slaan.
Selecteer ten slotte Aan voor beleid inschakelen en kies vervolgens Maken.
U kunt ook het hulpprogramma Wat als gebruiken om het beleid te testen.
Clients blokkeren die geen ondersteuning bieden voor meerdere factoren
Gebruik de instellingen in deze tabellen voor een beleid voor Voorwaardelijke toegang om clients te blokkeren die geen ondersteuning bieden voor meervoudige verificatie.
Zie dit artikel voor een lijst met clients in Microsoft 365 die meervoudige verificatie ondersteunen.
In de sectie Opdrachten:
| Instelling | Eigenschappen | Waarden | Opmerkingen |
|---|---|---|---|
| Gebruikers en groepen | Opnemen | Selecteer gebruikers en groepen > gebruikers en groepen: Selecteer specifieke groepen met gerichte gebruikersaccounts. | Begin met de groep met testgebruikersaccounts. |
| Uitsluiten | Gebruikers en groepen: selecteer de uitzonderingsgroep Voorwaardelijke toegang; serviceaccounts (app-identiteiten). | Lidmaatschap moet worden gewijzigd op een zo nodig, tijdelijke basis. | |
| Cloud-apps of -acties | Cloud-apps > Include | Selecteer apps: Selecteer de apps die overeenkomen met de clients die geen ondersteuning bieden voor moderne verificatie. | |
| Voorwaarden | Client-apps | Kies Ja voor Configureren De vinkjes voor browser- en mobiele apps en desktopcl clients verwijderen |
|
In de sectie Besturingselementen van Access:
| Instelling | Eigenschappen | Waarden | Actie |
|---|---|---|---|
| Grant | Toegang blokkeren | Selecteren | |
| Alle geselecteerde besturingselementen vereisen | Selecteren | ||
Kies Selecteren om de instellingen voor verlenen op te slaan.
Selecteer ten slotte Aan voor beleid inschakelen en kies vervolgens Maken.
U kunt het hulpprogramma Wat als gebruiken om het beleid te testen.
Voor Exchange Online kunt u verificatiebeleid gebruiken om Basisverificatie uit te schakelen,waardoor alle aanvragen voor clienttoegang moderne verificatie moeten gebruiken.
Gebruikers met een hoog risico moeten het wachtwoord wijzigen
Als u ervoor wilt zorgen dat de gecompromitteerde accounts van alle gebruikers met een hoog risico worden gedwongen een wachtwoordwijziging uit te voeren wanneer u zich aanmeldt, moet u het volgende beleid toepassen.
Meld u aan bij de https://portal.azure.com) Microsoft Azure portal ( met uw beheerdersreferenties en ga naar Azure AD Identity Protection > User Risk Policy.
In de sectie Opdrachten:
| Type | Eigenschappen | Waarden | Actie |
|---|---|---|---|
| Gebruikers | Opnemen | Alle gebruikers | Selecteren |
| Gebruikersrisico | Hoog | Selecteren | |
In de tweede sectie Opdrachten:
| Type | Eigenschappen | Waarden | Actie |
|---|---|---|---|
| Toegang | Toegang toestaan | Selecteren | |
| Wachtwoordwijziging vereisen | Cheque | ||
Kies Klaar om de Access-instellingen op te slaan.
Selecteer ten slotte Aan voor afdwingen beleid en kies vervolgens Opslaan.
U kunt het hulpprogramma Wat als gebruiken om het beleid te testen.
Gebruik dit beleid in combinatie met Azure AD-wachtwoordbeveiligingconfigureren, waarmee bekende zwakke wachtwoorden en hun varianten en aanvullende zwakke termen worden gedetecteerd en blokkeert die specifiek zijn voor uw organisatie. Als u Azure AD-wachtwoordbeveiliging gebruikt, zorgt u ervoor dat gewijzigde wachtwoorden sterke wachtwoorden zijn.
APP-beleid voor gegevensbescherming toepassen
APP's definiëren welke apps zijn toegestaan en welke acties ze kunnen uitvoeren met de gegevens van uw organisatie. Met de beschikbare opties in APP kunnen organisaties de beveiliging aanpassen aan hun specifieke behoeften. Voor sommige is het mogelijk niet duidelijk welke beleidsinstellingen nodig zijn om een volledig scenario te implementeren. Om organisaties te helpen prioriteit te geven aan het uitharden van mobiele client-eindpunten, heeft Microsoft taxonomie geïntroduceerd voor het APP-gegevensbeveiligingskader voor het beheer van mobiele apps voor iOS en Android.
Het FRAMEWORK VOOR APP-gegevensbescherming is ingedeeld in drie verschillende configuratieniveaus, met elk niveau dat van het vorige niveau is afgebouwd:
- Niveau 1: Enterprise Basic Data Protection zorgt ervoor dat apps worden beveiligd met een pincode en versleuteld zijn en selectieve veegbewerkingen uitvoeren. Voor Android-apparaten valideert dit niveau de bevestiging van Android-apparaten. Dit is een configuratie op invoerniveau die vergelijkbare gegevensbescherming biedt in Exchange Online postvakbeleid en waarmee IT en de gebruikerspopulatie app worden gebruikt.
- Niveau 2: Verbeterde gegevensbescherming voor ondernemingen introduceert preventiemechanismen voor APP-gegevenslekken en minimale osvereisten. Dit is de configuratie die van toepassing is op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens.
- Niveau 3: Enterprise High Data Protection introduceert geavanceerde mechanismen voor gegevensbeveiliging, verbeterde pincodeconfiguratie en APP Mobile Threat Defense. Deze configuratie is wenselijk voor gebruikers die toegang hebben tot gegevens met een hoog risico.
Als u de specifieke aanbevelingen wilt zien voor elk configuratieniveau en de minimale apps die moeten worden beveiligd, bekijkt u Het kader voor gegevensbescherming met behulp van beleid voor app-beveiliging.
Met behulp van de principes die worden beschreven in configuraties voor identiteits- en apparaattoegang van Zero Trust,worden de niveaus Uitgangspunt en Enterprise-beveiliging nauw verbonden met de verbeterde instellingen voor gegevensbescherming op niveau 2. De laag Gespecialiseerde beveiligingsbeveiliging wordt nauw verbonden met de instellingen voor hoge gegevensbeveiliging op niveau 3 van het bedrijf.
| Beveiligingsniveau | App-beveiligingsbeleid | Meer informatie |
|---|---|---|
| Beginpunt | Verbeterde gegevensbescherming op niveau 2 | De beleidsinstellingen die in niveau 2 zijn afgedwongen, bevatten alle beleidsinstellingen die worden aanbevolen voor niveau 1 en worden alleen toegevoegd aan of bijgewerkt aan de onderstaande beleidsinstellingen om meer besturingselementen en een geavanceerdere configuratie dan niveau 1 te implementeren. |
| Enterprise | Verbeterde gegevensbescherming op niveau 2 | De beleidsinstellingen die in niveau 2 zijn afgedwongen, bevatten alle beleidsinstellingen die worden aanbevolen voor niveau 1 en worden alleen toegevoegd aan of bijgewerkt aan de onderstaande beleidsinstellingen om meer besturingselementen en een geavanceerdere configuratie dan niveau 1 te implementeren. |
| Gespecialiseerde beveiliging | Niveau 3 enterprise high data protection | De beleidsinstellingen die in niveau 3 zijn afgedwongen, bevatten alle beleidsinstellingen die worden aanbevolen voor niveau 1 en 2 en worden alleen toegevoegd aan of bijgewerkt aan de onderstaande beleidsinstellingen om meer besturingselementen en een geavanceerdere configuratie dan niveau 2 te implementeren. |
Als u een nieuw beleid voor app-beveiliging wilt maken voor elk platform (iOS en Android) binnen Microsoft Endpoint Manager met de instellingen voor het gegevensbeveiligingskader, kunt u het volgende doen:
- Maak het beleid handmatig door de stappen te volgen in Het maken en implementeren van app-beveiligingsbeleid met Microsoft Intune.
- Importeer de voorbeeld-Intune App Protection Policy Configuration Framework JSON-sjablonen met PowerShell-scripts van Intune.
Goedgekeurde apps en APP-beveiliging vereisen
Als u het APP-beveiligingsbeleid wilt afdwingen dat u hebt toegepast in Intune, moet u een beleid voor voorwaardelijke toegang maken om goedgekeurde client-apps en de voorwaarden te vereisen die zijn ingesteld in het APP-beveiligingsbeleid.
Voor het afdwingen van APP-beveiligingsbeleid is een set beleidsregels vereist die worden beschreven in App-beveiligingsbeleid vereisen voor toegang tot cloud-apps met voorwaardelijke toegang. Dit beleid wordt elk opgenomen in deze aanbevolen set identiteits- en toegangsconfiguratiebeleid.
Als u het beleid voor voorwaardelijke toegang wilt maken waarvoor goedgekeurde apps en APP-beveiliging vereist zijn, volgt u 'Stap 1: Een Beleid voor voorwaardelijke toegang van Azure AD configureren voor Microsoft 365' in scenario 1: voor Microsoft 365-appszijn goedgekeurde apps vereist met app-beveiligingsbeleid, waarmee Outlook voor iOS en Android kan worden gebruikt, maar OAuth niet meer kan worden gebruikt Exchange ActiveSync clients geen verbinding maken met Exchange Online.
Notitie
Dit beleid zorgt ervoor dat mobiele gebruikers toegang hebben tot alle Office eindpunten met de toepasselijke apps.
Als u mobiele toegang tot Exchange Online inschakelen, implementeert u Block ActiveSync-clients,waardoor Exchange ActiveSync clients die gebruikmaken van basisverificatie, geen verbinding kunnen maken met Exchange Online. Dit beleid wordt niet in de afbeelding boven aan dit artikel beschreven. Het wordt beschreven en afgebeeld in beleidsaanbevelingen voor het beveiligen van e-mail.
Als u het beleid Voorwaardelijke toegang wilt maken waarvoor Edge voor iOS en Android vereist is, volgt u 'Stap 2: Een Azure AD Conditional Access-beleid configureren voor Microsoft 365' in scenario 2: Browser-appsvereisen goedgekeurde apps met app-beveiligingsbeleid, waardoor Edge voor iOS en Android mogelijk is, maar andere webbrowsers op mobiele apparaten geen verbinding maken met Microsoft 365-eindpunten.
Deze beleidsregels maken gebruik van de grant-besturingselementen Vereist goedgekeurde client-app en Beleid voor app-beveiliging vereisen.
Ten slotte zorgt het blokkeren van oudere verificatie voor andere client-apps op iOS- en Android-apparaten ervoor dat deze clients beleidsregels voor voorwaardelijke toegang niet kunnen omzeilen. Als u de richtlijnen in dit artikel volgt, hebt u Al Block-clientsgeconfigureerd die geen ondersteuning bieden voor moderne verificatie.
Beleidsregels voor apparaat compliance definiëren
Apparaatconforme beleidsregels definiëren de vereisten waar apparaten aan moeten voldoen om te worden bepaald als compatibel. U maakt Intune-beleid voor apparaat compliance vanuit het Microsoft Endpoint Manager beheercentrum.
U moet een beleid maken voor elk pc-, telefoon- of tabletplatform:
- Android-apparaatbeheerder
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 8.1 en hoger
- Windows 10 en hoger
Als u beleidsregels voor apparaat compliance wilt maken, meld u zich aan bij het Microsoft Endpoint Manager beheercentrum met uw beheerdersreferenties en gaat u vervolgens naar Beleidsregels voor apparaten > > compliancebeleid. Selecteer Beleid maken.
Als u beleidsregels voor apparaat compliance wilt geïmplementeerd, moeten ze worden toegewezen aan gebruikersgroepen. U wijst een beleid toe nadat u het hebt maken en opslaan. Selecteer in het beheercentrum het beleid en selecteer vervolgens Toewijzingen. Nadat u de groepen hebt geselecteerd die u het beleid wilt ontvangen, selecteert u Opslaan om die groepstoewijzing op te slaan en het beleid te implementeren.
Zie Een compliancebeleid maken in Microsoft Intune in de Intune-documentatie voor stapsgewijse richtlijnen voor het maken van compliancebeleid in Intune.
Aanbevolen instellingen voor iOS
iOS/iPadOS ondersteunt verschillende registratiescenario's, waarvan er twee worden behandeld als onderdeel van dit framework:
- Apparaatinschrijving voor persoonlijke apparaten: deze apparaten zijn persoonlijk eigendom van en worden gebruikt voor zowel werk als persoonlijk gebruik.
- Gecontroleerde automatische apparaatinschrijving voor apparaten die eigendom zijn van het bedrijf: deze apparaten zijn eigendom van het bedrijf, zijn gekoppeld aan één gebruiker en worden uitsluitend gebruikt voor werk en niet voor persoonlijk gebruik.
Het beveiligingsconfiguratiekader voor iOS/iPadOS is ingedeeld in verschillende configuratiescenario's, die richtlijnen bieden voor apparaten die persoonlijk eigendom zijn en onder toezicht staan.
Voor apparaten die persoonlijk eigendom zijn:
- Basisbeveiliging (niveau 1) : Microsoft raadt deze configuratie aan als de minimale beveiligingsconfiguratie voor persoonlijke apparaten waar gebruikers toegang hebben tot werk- of schoolgegevens. Dit gebeurt door wachtwoordbeleid, apparaatvergrendelingskenmerken en het uitschakelen van bepaalde apparaatfuncties (bijvoorbeeld niet-vertrouwde certificaten) uit te voeren.
- Verbeterde beveiliging (niveau 2) : Microsoft raadt deze configuratie aan voor apparaten waar gebruikers toegang hebben tot gevoelige of vertrouwelijke informatie. Met deze configuratie worden besturingselementen voor het delen van gegevens gebruikt. Deze configuratie is van toepassing op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens op een apparaat.
- Hoge beveiliging (niveau 3) : Microsoft raadt deze configuratie aan voor apparaten die worden gebruikt door specifieke gebruikers of groepen met een uniek hoog risico (gebruikers die zeer gevoelige gegevens verwerken waarbij onbevoegde openbaarmaking aanzienlijke materiaalverlies veroorzaakt voor de organisatie). Met deze configuratie worden sterkere wachtwoordbeleidsregels ingesteld, worden bepaalde apparaatfuncties uitgeschakeld en worden extra beperkingen voor gegevensoverdracht afgedwongen.
Voor apparaten met toezicht:
- Basisbeveiliging (niveau 1) : Microsoft raadt deze configuratie aan als de minimale beveiligingsconfiguratie voor apparaten met toezicht waarin gebruikers toegang hebben tot werk- of schoolgegevens. Dit gebeurt door wachtwoordbeleid, apparaatvergrendelingskenmerken en het uitschakelen van bepaalde apparaatfuncties (bijvoorbeeld niet-vertrouwde certificaten) uit te voeren.
- Verbeterde beveiliging (niveau 2) : Microsoft raadt deze configuratie aan voor apparaten waar gebruikers toegang hebben tot gevoelige of vertrouwelijke informatie. Deze configuratie bepaalt besturingselementen voor het delen van gegevens en blokkeert de toegang tot USB-apparaten. Deze configuratie is van toepassing op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens op een apparaat.
- Hoge beveiliging (niveau 3) : Microsoft raadt deze configuratie aan voor apparaten die worden gebruikt door specifieke gebruikers of groepen met een uniek hoog risico (gebruikers die zeer gevoelige gegevens verwerken waarbij onbevoegde openbaarmaking aanzienlijke materiaalverlies veroorzaakt voor de organisatie). Deze configuratie stelt krachtiger wachtwoordbeleid in, schakelt bepaalde apparaatfuncties uit, dwingt extra beperkingen voor gegevensoverdracht af en vereist dat apps worden geïnstalleerd via het volumeaankoopprogramma van Apple.
Met behulp van de principes die worden beschreven in identiteits- en apparaattoegangsconfiguratiesvoor Zero Trust, worden de niveaus Uitgangspunt en Enterprise-beveiliging nauw verbonden met de verbeterde beveiligingsinstellingen van niveau 2. De laag Gespecialiseerde beveiligingsbeveiliging wordt nauw verbonden met de hoge beveiligingsinstellingen van niveau 3.
| Beveiligingsniveau | Apparaatbeleid | Meer informatie |
|---|---|---|
| Beginpunt | Verbeterde beveiliging (niveau 2) | De beleidsinstellingen die in niveau 2 zijn afgedwongen, bevatten alle beleidsinstellingen die worden aanbevolen voor niveau 1 en worden alleen toegevoegd aan of bijgewerkt aan de onderstaande beleidsinstellingen om meer besturingselementen en een geavanceerdere configuratie dan niveau 1 te implementeren. |
| Enterprise | Verbeterde beveiliging (niveau 2) | De beleidsinstellingen die in niveau 2 zijn afgedwongen, bevatten alle beleidsinstellingen die worden aanbevolen voor niveau 1 en worden alleen toegevoegd aan of bijgewerkt aan de onderstaande beleidsinstellingen om meer besturingselementen en een geavanceerdere configuratie dan niveau 1 te implementeren. |
| Gespecialiseerde beveiliging | Hoge beveiliging (niveau 3) | De beleidsinstellingen die in niveau 3 zijn afgedwongen, bevatten alle beleidsinstellingen die worden aanbevolen voor niveau 1 en 2 en worden alleen toegevoegd aan of bijgewerkt aan de onderstaande beleidsinstellingen om meer besturingselementen en een geavanceerdere configuratie dan niveau 2 te implementeren. |
Als u de specifieke aanbevelingen voor apparaat compliance en apparaatbeperkingen voor elk configuratieniveau wilt bekijken, bekijkt u het beveiligingsconfiguratiekader voor iOS/iPadOS.
Aanbevolen instellingen voor Android
Android Enterprise ondersteunt verschillende registratiescenario's, waarvan er twee worden behandeld als onderdeel van dit framework:
- Android Enterprise-werkprofiel: dit inschrijvingsmodel wordt meestal gebruikt voor apparaten van persoonlijk eigendom, waar IT een duidelijke scheidingsgrens tussen werk en persoonlijke gegevens wil bieden. Beleidsregels die door IT worden beheerd, zorgen ervoor dat de werkgegevens niet kunnen worden overgebracht naar het persoonlijke profiel.
- Volledig beheerde apparaten van Android Enterprise: deze apparaten zijn eigendom van het bedrijf, zijn gekoppeld aan één gebruiker en worden uitsluitend gebruikt voor werk en niet voor persoonlijk gebruik.
Het beveiligingsconfiguratiekader voor Android Enterprise is ingedeeld in verschillende configuratiescenario's, met richtlijnen voor werkprofiel en volledig beheerde scenario's.
Voor Android Enterprise-werkprofielapparaten:
- Verbeterde beveiliging van werkprofiel (niveau 2) : Microsoft raadt deze configuratie aan als de minimale beveiligingsconfiguratie voor persoonlijke apparaten waar gebruikers toegang hebben tot werk- of schoolgegevens. Deze configuratie introduceert wachtwoordvereisten, scheidt werk- en persoonlijke gegevens en valideert de bevestiging van Android-apparaten.
- Werkprofiel met hoge beveiliging (niveau 3) : Microsoft raadt deze configuratie aan voor apparaten die worden gebruikt door specifieke gebruikers of groepen die een uniek hoog risico hebben (gebruikers die zeer gevoelige gegevens verwerken waarbij onbevoegde openbaarmaking aanzienlijke materiaalverlies veroorzaakt voor de organisatie). Deze configuratie introduceert mobiele bedreigingsdefensie of Microsoft Defender voor Eindpunt, stelt de minimale Android-versie in, voert sterkere wachtwoordbeleidsregels in en beperkt werk en persoonlijke scheiding verder.
Voor volledig beheerde Android Enterprise-apparaten:
- Volledig beheerde basisbeveiliging (niveau 1) : Microsoft raadt deze configuratie aan als de minimale beveiligingsconfiguratie voor een ondernemingsapparaat. Deze configuratie is van toepassing op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens. Deze configuratie introduceert wachtwoordvereisten, stelt de minimale Android-versie in en voert bepaalde apparaatbeperkingen uit.
- Volledig beheerde verbeterde beveiliging (niveau 2) : Microsoft raadt deze configuratie aan voor apparaten waar gebruikers toegang hebben tot gevoelige of vertrouwelijke informatie. Met deze configuratie worden sterkere wachtwoordbeleidsregels ingesteld en worden de mogelijkheden voor gebruikers/account uitgeschakeld.
- Volledig beheerde hoge beveiliging (niveau 3) - Microsoft raadt deze configuratie aan voor apparaten die worden gebruikt door specifieke gebruikers of groepen die een uniek hoog risico hebben (gebruikers die zeer gevoelige gegevens verwerken waarbij ongeautoriseerde openbaarmaking aanzienlijke materiaalverlies veroorzaakt voor de organisatie). Deze configuratie verhoogt de minimale Android-versie, introduceert mobiele bedreigingsdefensie of Microsoft Defender voor Eindpunt en dwingt extra apparaatbeperkingen af.
Met behulp van de principes die worden beschreven in configuraties voor identiteits- en apparaattoegang van Zero Trust,worden de niveaus Startpunt en Enterprise-beveiliging nauw verbonden met de basisbeveiliging op niveau 1 voor apparaten van persoonlijk eigendom en verbeterde beveiligingsinstellingen op niveau 2 voor volledig beheerde apparaten. De laag Gespecialiseerde beveiligingsbeveiliging wordt nauw verbonden met de hoge beveiligingsinstellingen van niveau 3.
Voor Android Enterprise-werkprofielapparaten:
| Beveiligingsniveau | Apparaatbeleid | Meer informatie |
|---|---|---|
| Beginpunt | Werkprofiel: Basisbeveiliging (niveau 1) | N.v.t. |
| Enterprise | Werkprofiel: Basisbeveiliging (niveau 1) | N.v.t. |
| Beginpunt | Volledig beheerd: verbeterde beveiliging (niveau 2) | De beleidsinstellingen die in niveau 2 zijn afgedwongen, bevatten alle beleidsinstellingen die worden aanbevolen voor niveau 1 en worden alleen toegevoegd aan of bijgewerkt aan de onderstaande beleidsinstellingen om meer besturingselementen en een geavanceerdere configuratie dan niveau 1 te implementeren. |
| Enterprise | Volledig beheerd: verbeterde beveiliging (niveau 2) | De beleidsinstellingen die in niveau 2 zijn afgedwongen, bevatten alle beleidsinstellingen die worden aanbevolen voor niveau 1 en worden alleen toegevoegd aan of bijgewerkt aan de onderstaande beleidsinstellingen om meer besturingselementen en een geavanceerdere configuratie dan niveau 1 te implementeren. |
| Gespecialiseerde beveiliging | Hoge beveiliging (niveau 3) | De beleidsinstellingen die in niveau 3 zijn afgedwongen, bevatten alle beleidsinstellingen die worden aanbevolen voor niveau 1 en 2 en worden alleen toegevoegd aan of bijgewerkt aan de onderstaande beleidsinstellingen om meer besturingselementen en een geavanceerdere configuratie dan niveau 2 te implementeren. |
Als u de specifieke aanbevelingen voor apparaat compliance en apparaatbeperkingen voor elk configuratieniveau wilt bekijken, bekijkt u het Android Enterprise Security Configuration Framework.
Aanbevolen instellingen voor Windows 10 en hoger
De volgende instellingen worden aanbevolen voor pc's met Windows 10 en hoger, zoals geconfigureerd in stap 2: Nalevingsinstellingen, van het proces voor het maken van beleid.
Zie deze tabel voor > Windows evaluatieregels voor gezondheidsattests.
| Eigenschappen | Waarde | Actie |
|---|---|---|
| BitLocker vereisen | Vereisen | Selecteren |
| Secure Boot vereisen om te worden ingeschakeld op het apparaat | Vereisen | Selecteren |
| Codeintegriteit vereisen | Vereisen | Selecteren |
Geef voor apparaateigenschappen de juiste waarden op voor besturingssysteemversies op basis van uw IT- en beveiligingsbeleid.
Selecteer Vereisen voor compliance door Configuration Manager.
Zie deze tabel voor systeembeveiliging.
| Type | Eigenschappen | Waarde | Actie |
|---|---|---|---|
| Wachtwoord | Een wachtwoord vereisen om mobiele apparaten te ontgrendelen | Vereisen | Selecteren |
| Eenvoudige wachtwoorden | Blokkeren | Selecteren | |
| Wachtwoordtype | Apparaat standaard | Selecteren | |
| Minimale wachtwoordlengte | 6 | Type | |
| Maximumminuten van inactiviteit voordat wachtwoord is vereist | 15 | Type Deze instelling wordt ondersteund voor Android-versies 4.0 en hoger of KNOX 4.0 en hoger. Voor iOS-apparaten wordt deze ondersteund voor iOS 8.0 en hoger. |
|
| Wachtwoordverloop (dagen) | 41 | Type | |
| Aantal eerdere wachtwoorden om hergebruik te voorkomen | 5 | Type | |
| Wachtwoord vereisen wanneer het apparaat terugkomt uit de niet-actieve status (mobiel en holografische toestand) | Vereisen | Beschikbaar voor Windows 10 en hoger | |
| Versleuteling | Versleuteling van gegevensopslag op apparaat | Vereisen | Selecteren |
| Apparaatbeveiliging | Firewall | Vereisen | Selecteren |
| Antivirus | Vereisen | Selecteren | |
| Antispyware | Vereisen | Selecteren Voor deze instelling is een anti-spywareoplossing vereist die is geregistreerd Windows-beveiliging app. |
|
| Defender voor cloud | Microsoft Defender Antimalware | Vereisen | Selecteren |
| Microsoft Defender Antimalware minimumversie | Type Alleen ondersteund voor Windows 10 bureaublad. Microsoft raadt versies aan die niet meer dan vijf van de meest recente versie achterblijven. |
||
| Microsoft Defender Antimalware-handtekening up-to-date | Vereisen | Selecteren | |
| Realtime beveiliging | Vereisen | Selecteren Alleen ondersteund voor Windows 10 en hoger bureaublad |
|
Microsoft Defender voor Eindpunt
| Type | Eigenschappen | Waarde | Actie |
|---|---|---|---|
| Microsoft Defender voor eindpuntregels in het Microsoft Endpoint Manager beheercentrum | Vereisen dat het apparaat zich op of onder de machinerisicoscore | Gemiddeld | Selecteren |
Compatibele pc's en mobiele apparaten vereisen
Naleving vereisen voor alle apparaten:
Ga naar de Azure-portalen meld u aan met uw referenties.
Kies in de lijst met Azure-services de Azure Active Directory.
Kies in de lijst Beheren de optie Beveiliging en kies vervolgens Voorwaardelijke toegang.
Kies Nieuw beleid en typ de naam van het nieuwe beleid.
Kies onder Opdrachten de optie Gebruikers en groepen en vermeld op wie u het beleid wilt toepassen. Sluit ook de uitsluitingsgroep Voorwaardelijke toegang uit.
Kies onder Opdrachten de optie Cloud-apps of -acties.
Kies voor Opnemen de optie Apps > Selecteren en selecteer vervolgens de gewenste apps in de lijst met cloud-apps. Selecteer bijvoorbeeld Office 365. Kies Selecteren wanneer u klaar bent.
Kies onder Access-besturingselementen de optie Grant .
Kies Toegang verlenen en controleer vervolgens Apparaat vereisen dat moet worden gemarkeerd als compatibel. Selecteer Alle geselecteerde besturingselementen vereisen voor meerdere besturingselementen. Als u klaar is, kiest u Selecteren.
Selecteer Aan voor beleid inschakelen en kies vervolgens Maken.
Notitie
Zorg ervoor dat uw apparaat voldoet voordat u dit beleid inschakelen. Anders kunt u niet meer worden vergrendeld en kunt u dit beleid pas wijzigen als uw gebruikersaccount is toegevoegd aan de uitsluitingsgroep Voorwaardelijke toegang.
Volgende stap
Meer informatie over beleidsaanbevelingen voor gast- en externe gebruikers