Wat zijn gebruikelijke manieren om voorwaardelijke toegang met Intune te gebruiken?
Er zijn twee soorten voorwaardelijke toegang met Intune: voorwaardelijke toegang op basis van apparaten en voorwaardelijke toegang op basis van apps. U moet het gerelateerde nalevingsbeleid configureren voor naleving van de voorwaardelijke toegang binnen uw organisatie. Voorwaardelijke toegang wordt meestal gebruikt voor zaken als toegang tot Exchange toestaan of blokkeren, toegang tot het netwerk bepalen of integratie realiseren met een Mobile Threat Defense-oplossing.
Met de informatie in dit artikel kunt u meer inzicht krijgen in hoe u de Intune-nalevingsmogelijkheden voor mobiele apparaten kunt gebruiken én in hoe Intune Mobile Application Management (MAM) werkt.
Notitie
Voorwaardelijke toegang is een Azure Active Directory-functie die is opgenomen in een Azure Active Directory Premium-licentie. Deze mogelijkheid wordt verbeterd door Intune door het toevoegen van nalevingsbeleid voor mobiele apparaten en beheer van mobiele apps aan de oplossing. Het knooppunt voor voorwaardelijke toegang dat via Intune wordt geopend, is hetzelfde als het knooppunt dat u opent via Azure AD.
Voorwaardelijke toegang op basis van het apparaat
Intune en Azure Active Directory werken samen om ervoor te zorgen dat alleen beheerde en compatibele apparaten toegang kunnen krijgen tot e-mail, Microsoft 365-services, SaaS-apps (Software as a Service) en on-premises apps. U kunt daarnaast een beleid in Azure Active Directory instellen, zodat alleen computers die zijn toegevoegd aan een domein of mobiele apparaten die zijn ingeschreven in Intune, toegang tot Microsoft 365-services hebben.
Met Intune beschikt u over mogelijkheden voor apparaatnalevingsbeleid waarmee u de nalevingsstatus van het apparaat kunt evalueren. De nalevingsstatus wordt gerapporteerd aan Azure Active Directory om het voorwaardelijke toegangsbeleid af te dwingen dat in Azure Active Directory wordt gemaakt wanneer de gebruiker zich toegang tot uw bedrijfsresources probeert te verschaffen.
Op apparaten gebaseerd beleid voor voorwaardelijke toegang Exchange online en andere Microsoft 365 worden geconfigureerd via het Microsoft Endpoint Manager-beheercentrum.
Meer informatie over het vereisen van beheerde apparaten met voorwaardelijke toegang in Azure Active Directory.
Meer informatie over Intune-apparaatnaleving.
Meer informatie over ondersteunde browsers met voorwaardelijke toegang in Azure Active Directory.
Notitie
Wanneer u Op apparaten gebaseerde toegang inschakelen voor inhoud die gebruikers openen vanuit browser-apps op hun android-apparaten met een werkprofiel die persoonlijk eigendom zijn van Android, moeten gebruikers die vóór januari 2021 zijn ingeschreven browsertoegang als volgt inschakelen:
- Start de app Bedrijfsportal.
- Ga naar de Instellingen pagina in het menu.
- Tik in de sectie Browsertoegang inschakelen op de knop INSCHAKELEN.
- Sluit de browser-app en start deze opnieuw.
Toepassingen die beschikbaar zijn in voorwaardelijke toegang voor het beheren van Microsoft Intune
Wanneer u voorwaardelijke toegang configureert in de Azure Active Directory portal, hebt u twee toepassingen beschikbaar:
- Microsoft Intune: deze toepassing beheert de toegang tot de Microsoft Endpoint Manager-console en gegevensbronnen. Configureer toekenningen/besturingselementen voor deze toepassing wanneer u zich wilt richten op Microsoft Endpoint Manager-console en gegevensbronnen.
- Microsoft Intune: deze toepassing beheert de inschrijvingswerkstroom. Configureer toekenningen/besturingselementen voor deze toepassing wanneer u zich wilt richten op het inschrijvingsproces. Zie Multi-Factor Authentication vereisen voor Intune-apparaatinschrijvingen voor meer informatie.
Voorwaardelijke toegang op basis van netwerktoegangsbeheer
Intune kan worden geïntegreerd met partners als Cisco ISE, Aruba Clear Pass en Citrix NetScaler voor toegangsbeheer op basis van de Intune-inschrijving en de nalevingsstatus van het apparaat.
Gebruikers kan toegang tot het Wi-Fi-netwerk of de VPN-resources worden verleend of geweigerd door te controleren of het apparaat dat ze gebruiken, wordt beheerd met en voldoet aan het Intune-nalevingsbeleid voor apparaten.
- Meer informatie over de NAC-integratie met Intune.
Voorwaardelijk op basis van het apparaatrisico
Intune werkt samen met leveranciers van Mobile Threat Defense, die een beveiligingsoplossing bieden voor het detecteren van malware, Trojaans paarden en andere bedreigingen op mobiele apparaten.
Hoe de integratie van Intune en Mobile Threat Defense werkt
Wanneer de Mobile Threat Defense-agent op een mobiel apparaat is geïnstalleerd, stuurt de agent berichten over de nalevingsstatus naar Intune om te melden wanneer er op het mobiele apparaat zelf een bedreiging wordt gevonden.
De integratie van Intune en Mobile Threat Defense speelt een rol bij de beslissingen die op basis van de apparaatrisico's worden genomen voor de voorwaardelijke toegang.
- Meer informatie over Intune Mobile Threat Defense.
Voorwaardelijke toegang voor Windows-pc's
Voorwaardelijke toegang voor pc's biedt mogelijkheden die vergelijkbaar zijn met de mogelijkheden voor mobiele apparaten. Laten we eens kijken op welke manieren u voorwaardelijke toegang kunt gebruiken wanneer u pc's met Intune beheert.
In bedrijfseigendom
Hybrid Azure AD joined: Deze optie wordt doorgaans gebruikt door organisaties die redelijk tevreden zijn over de manier waarop hun pc's al worden beheerd met AD-groepsbeleid of Configuration Manager.
Azure AD-domein toegevoegd en Intune-beheerprogramma: Dit scenario is bedoeld voor organisaties die voornamelijk cloudservices gebruiken, met het doel om het gebruik van een on-premises infrastructuur te beperken, of alleen cloudservices gebruiken (geen on-premises infrastructuur). Azure AD Join werkt goed in een hybride omgeving en biedt toegang tot zowel cloud- als on-premises apps en bronnen. Het apparaat wordt toegevoegd aan Azure AD en wordt geregistreerd bij Intune, dat kan worden gebruikt als criterium voor voorwaardelijke toegang bij het openen van bedrijfsresources.
BYOD (Bring Your Own Device)
- Workplace join en Intune-beheer: Hier kan de gebruiker de eigen persoonlijke apparaten toevoegen voor toegang tot bedrijfsresources en -services. U kunt Workplace Join gebruiken en apparaten bij Intune MDM registreren om beleidsregels op apparaatniveau te ontvangen. Dit is een alternatieve optie om de criteria voor voorwaardelijke toegang te evalueren.
Meer informatie over apparaatbeheer in Azure Active Directory.
Voorwaardelijke toegang op basis van apps
Intune en Azure Active Directory werken samen om ervoor te zorgen dat alleen beheerde apps toegang hebben tot de bedrijfs-e-mail of andere Microsoft 365-services.
- Meer informatie over op apps gebaseerde voorwaardelijke toegang met Intune.
Voorwaardelijke toegang van Intune voor Exchange On-Premises
Voorwaardelijke toegang kan worden gebruikt de toegang tot Exchange On-Premises toe te staan of te blokkeren op basis van de beleidsregels voor apparaatcompatibiliteit en de registratiestatus. Wanneer voorwaardelijke toegang wordt gebruikt in combinatie met een nalevingsbeleid voor apparaten, hebben alleen apparaten die voldoen aan het beleid toegang voor Exchange On-Premises.
U kunt geavanceerde instellingen configureren voor de voorwaardelijke toegang. Zodoende hebt u voor gedetailleerdere controle over onder meer het volgende:
Toestaan of blokkeren van bepaalde platforms.
Onmiddellijk blokkeren van apparaten die niet worden beheerd door Intune.
Wanneer er beleidsregels voor apparaatcompatibiliteit en voorwaardelijke toegang zijn toegepast, wordt voor elk apparaat dat wordt gebruikt voor toegang tot Exchange On-Premises gecontroleerd of de beleidsregels worden nageleefd.
Wanneer apparaten niet voldoen aan de gestelde voorwaarden, wordt de eindgebruiker door de registratieprocedure voor het apparaat geleid om het probleem te verhelpen dat ervoor zorgt dat het apparaat niet-compatibel is.
Notitie
Vanaf juli 2020 wordt de ondersteuning voor de Exchange connector afgeschaft en vervangen door Exchange HMA (Hybrid Modern Authentication, hybride moderne verificatie). Voor het gebruik van HMA hebt u Intune niet nodig om de Exchange-connector in te stellen en te gebruiken. Met deze wijziging wordt de gebruikersinterface voor het configureren en beheren van de Exchange-connector voor Intune verwijderd uit het Microsoft Endpoint Manager-beheercentrum, tenzij u al een Exchange-connector gebruikt met uw abonnement.
Als u een Exchange-connector hebt ingesteld in uw omgeving, blijft de Intune-tenant ondersteund voor het gebruik ervan en houdt u toegang tot de gebruikersinterface die de configuratie ervan ondersteunt. Raadpleeg Exchange on-premises-connector installeren voor meer informatie. U kunt de connector blijven gebruiken of HMA configureren en vervolgens de connector verwijderen.
Hybrid Modern Authentication biedt functionaliteit die eerder is geleverd door de Exchange connector voor Intune: Toewijzing van een apparaat-id aan het Exchange-record. Deze toewijzing vindt nu plaats buiten een configuratie die u in Intune maakt of de vereiste van de Intune-connector om Intune en Exchange te koppelen. Met HMA is de vereiste voor het gebruik van de specifieke configuratie voor ‘Intune’ (de connector) verwijderd.
Wat is de rol van Intune?
Met Intune wordt de apparaatstatus beoordeeld en beheerd.
Wat is de rol van de Exchange-server?
De Exchange-server biedt de API en infrastructuur om apparaten in quarantaine te plaatsen.
Belangrijk
Houd er rekening mee dat er een nalevingsprofiel en Intune-licentie moet worden toegewezen aan de gebruiker van het apparaat, zodat het apparaat op naleving kan worden gecontroleerd. Als er geen nalevingsbeleid wordt geïmplementeerd voor de gebruiker, wordt het apparaat beschouwd als een apparaat dat voldoet aan het beleid en worden er geen toegangsbeperkingen toegepast.
Volgende stappen
Voorwaardelijke toegang in Azure Active Directory configureren
Op apps gebaseerd beleid voor voorwaardelijke toegang instellen
Beleid maken voor voorwaardelijke toegang voor Exchange On-premises