Eindpunten beveiligen met Zero Trust

Achtergrond

De moderne onderneming heeft een ongelooflijke diversiteit aan eindpunten die toegang hebben tot gegevens. Niet alle eindpunten worden beheerd of zelfs eigendom van de organisatie, wat leidt tot verschillende apparaatconfiguraties en softwarepatchniveaus. Dit creëert een enorm aanvalsoppervlak en, indien niet opgelost, kan het openen van werkgegevens vanaf niet-vertrouwde eindpunten eenvoudig de zwakste schakel in uw Zero Trust beveiligingsstrategie worden.

Zero Trust houdt zich aan het principe' Nooit vertrouwen, altijd verifiëren'. Wat eindpunten betreft, betekent dit dat u altijd alle eindpunten moet verifiëren. Dit omvat niet alleen apparaten van aannemers, partners en gasten, maar ook apps en apparaten die door werknemers worden gebruikt voor toegang tot werkgegevens, ongeacht het eigendom van het apparaat.

In een Zero Trust benadering wordt hetzelfde beveiligingsbeleid toegepast, ongeacht of het apparaat bedrijfseigendom of persoonlijk eigendom is via BYOD (Bring Your Own Device); of het apparaat volledig wordt beheerd door IT of alleen de apps en gegevens zijn beveiligd. Het beleid is van toepassing op alle eindpunten, of het nu gaat om pc, Mac, smartphone, tablet, wearable of IoT-apparaat, ongeacht waar ze zijn aangesloten, of het nu gaat om het beveiligde bedrijfsnetwerk, breedband thuis of openbaar internet.

Het belangrijkste is dat de status en betrouwbaarheid van apps die op deze eindpunten worden uitgevoerd, van invloed zijn op uw beveiligingspostuur. U moet voorkomen dat bedrijfsgegevens lekken naar niet-vertrouwde of onbekende apps of services, per ongeluk of met kwaadwillende bedoelingen.

Er zijn enkele belangrijke regels voor het beveiligen van apparaten en eindpunten in een Zero Trust-model:

  • Zero Trust beveiligingsbeleid wordt centraal afgedwongen via de cloud en omvat eindpuntbeveiliging, apparaatconfiguratie, app-beveiliging, apparaatnaleving en risicopostuur.

  • Het platform en de apps die op de apparaten worden uitgevoerd, worden veilig ingericht, correct geconfigureerd en up-to-date gehouden.

  • Er is een geautomatiseerd en snel antwoord dat toegang tot bedrijfsgegevens in de apps bevat in het geval van een beveiligingsinbreuk.

  • Het toegangscontrolesysteem zorgt ervoor dat alle beleidsbesturingselementen van kracht zijn voordat de gegevens worden geopend.

Doelstellingen voor de implementatie van eindpunten Zero Trust

Voordat de meeste organisaties het Zero Trust traject starten, wordt hun eindpuntbeveiliging als volgt ingesteld:

  • Eindpunten zijn lid van een domein en worden beheerd met oplossingen zoals groepsbeleid objecten of Configuration Manager. Dit zijn geweldige opties, maar ze maken geen gebruik van moderne Windows 10 CSP's of vereisen geen afzonderlijk cloudbeheergatewayapparaat voor cloudapparaten.

  • Eindpunten moeten zich in een bedrijfsnetwerk bevinden om toegang te krijgen tot gegevens. Dit kan betekenen dat de apparaten fysiek on-site moeten zijn om toegang te krijgen tot het bedrijfsnetwerk, of dat ze VPN-toegang nodig hebben, waardoor het risico wordt vergroot dat een aangetast apparaat toegang heeft tot gevoelige bedrijfsresources.

Bij het implementeren van een end-to-end Zero Trust framework voor het beveiligen van eindpunten, raden we u aan om u eerst te richten op deze initiële implementatiedoelstellingen:

List icon with one checkmark.

I.Endpoints worden geregistreerd bij cloud-id-providers. Als u de beveiliging en risico's wilt bewaken voor meerdere eindpunten die door één persoon worden gebruikt, hebt u zichtbaarheid nodig op alle apparaten en toegangspunten die mogelijk toegang hebben tot uw resources.

II.Toegang wordt alleen verleend aan door de cloud beheerde en compatibele eindpunten en apps. Stel nalevingsregels in om ervoor te zorgen dat apparaten voldoen aan minimale beveiligingsvereisten voordat toegang wordt verleend. Stel ook herstelregels in voor niet-compatibele apparaten, zodat mensen weten hoe ze het probleem kunnen oplossen.

III.Beleid voor preventie van gegevensverlies (DLP) wordt afgedwongen voor bedrijfsapparaten en BYOD. Bepalen wat de gebruiker met de gegevens kan doen nadat deze toegang heeft. Beperk bijvoorbeeld het opslaan van bestanden naar niet-vertrouwde locaties (zoals lokale schijf) of beperk het delen van kopiëren en plakken met een communicatie-app voor consumenten of een chat-app om gegevens te beveiligen.

Nadat deze zijn voltooid, richt u zich op deze aanvullende implementatiedoelstellingen:

List icon with two checkmarks.

IV.Detectie van eindpuntbedreigingen wordt gebruikt om het apparaatrisico te bewaken. Gebruik één deelvenster om alle eindpunten op een consistente manier te beheren en gebruik een SIEM om eindpuntlogboeken en transacties te routeren, zodat u minder, maar wel bruikbare, waarschuwingen ontvangt.

V.Access-beheer wordt afgesloten op eindpuntrisico's voor zowel bedrijfsapparaten als BYOD. Integreer gegevens van Microsoft Defender voor Eindpunt of andere MTD-leveranciers (Mobile Threat Defense) als informatiebron voor apparaatnalevingsbeleid en regels voor voorwaardelijke toegang voor apparaten. Het apparaatrisico is vervolgens rechtstreeks van invloed op welke resources toegankelijk zijn voor de gebruiker van dat apparaat.

Implementatiehandleiding voor eindpunten Zero Trust

Deze handleiding begeleidt u bij de stappen die nodig zijn om uw apparaten te beveiligen volgens de principes van een Zero Trust beveiligingsframework.




Checklist icon with one checkmark.

Initiële implementatiedoelstellingen

I. Eindpunten worden geregistreerd bij een cloud-id-provider

Om risicoblootstelling te beperken, moet u elk eindpunt bewaken om ervoor te zorgen dat elk eindpunt een vertrouwde identiteit heeft, beveiligingsbeleid wordt toegepast en het risiconiveau voor zaken als malware of gegevensexfiltratie is gemeten, hersteld of als aanvaardbaar wordt beschouwd.

Nadat een apparaat is geregistreerd, hebben gebruikers toegang tot de beperkte resources van uw organisatie met hun zakelijke gebruikersnaam en wachtwoord om zich aan te melden (of Windows Hello voor Bedrijven).

Diagram of the steps within phase 1 of the initial deployment objectives.

Bedrijfsapparaten registreren met Azure Active Directory (AD)

Volg deze stappen:

Nieuwe Windows 10-apparaten

  1. Start uw nieuwe apparaat en begin met het OOBE-proces (out-of-box-experience).

  2. Typ het e-mailadres van uw werk of school op het scherm Aanmelden met Microsoft .

  3. Typ uw wachtwoord in het scherm Uw wachtwoord invoeren .

  4. Keur uw apparaat goed op uw mobiele apparaat zodat het toegang heeft tot uw account.

  5. Voltooi het OOBE-proces, inclusief het instellen van uw privacyinstellingen en het instellen van Windows Hello (indien nodig).

  6. Uw apparaat is nu gekoppeld aan het netwerk van uw organisatie.

Bestaande Windows 10-apparaten

  1. Open Instellingen en selecteer Vervolgens Accounts.

  2. Selecteer Werk of school openen en selecteer vervolgens Verbinding maken.

    Access work or school in Settings.

  3. Selecteer op het scherm Een werk- of schoolaccount instellen de optie Dit apparaat toevoegen aan Azure AD.

    Set up a work or school account in Settings.

  4. Typ in het scherm Laten we u aanmelden uw e-mailadres (bijvoorbeeld alain@contoso.com) en selecteer vervolgens Volgende.

  5. Typ uw wachtwoord in het scherm Wachtwoord invoeren en selecteer Aanmelden.

  6. Keur uw apparaat goed op uw mobiele apparaat zodat het toegang heeft tot uw account.

  7. Controleer op het scherm Controleren of dit uw organisatie is , controleer de informatie om er zeker van te zijn dat deze juist is en selecteer Vervolgens Deelnemen.

  8. Klik op het scherm U bent helemaal ingesteld op Gereed.

Persoonlijke Windows-apparaten registreren bij Azure AD

Volg deze stappen:

  1. Open Instellingen en selecteer Vervolgens Accounts.

  2. Selecteer Werk of school van Access en selecteer vervolgens Verbinding maken in het werk- of schoolscherm van Access.

    Access work or school in Settings.

  3. Typ in het scherm Een werk- of schoolaccount toevoegen uw e-mailadres voor uw werk- of schoolaccount en selecteer vervolgens Volgende. Bijvoorbeeld: alain@contoso.com.

  4. Meld u aan bij uw werk- of schoolaccount en selecteer Aanmelden.

  5. Voltooi de rest van het registratieproces, inclusief het goedkeuren van uw identiteitsverificatieaanvraag (als u verificatie in twee stappen gebruikt) en het instellen van Windows Hello (indien nodig).

Windows Hello voor Bedrijven inschakelen en configureren

Als u gebruikers een alternatieve aanmeldingsmethode wilt toestaan die een wachtwoord vervangt, zoals pincode, biometrische verificatie of vingerafdruklezer, schakelt u Windows Hello voor Bedrijven in op de Windows 10-apparaten van gebruikers.

De volgende Microsoft Intune- en Azure AD-acties worden uitgevoerd in het Microsoft Endpoint Manager-beheercentrum:

Maak eerst een Windows Hello voor Bedrijven inschrijvingsbeleid in Microsoft Intune.

  1. Ga naar Apparaten > inschrijven > Enroll devices > Windows enrollment > Windows Hello voor Bedrijven.

    Windows Hello for Business in Microsoft Intune.

  2. Selecteer een van de volgende opties voor het configureren van Windows Hello voor Bedrijven:

    1. Handicap. Als u Windows Hello voor Bedrijven niet wilt gebruiken, selecteert u deze instelling. Als deze optie is uitgeschakeld, kunnen gebruikers Windows Hello voor Bedrijven niet inrichten, behalve op mobiele telefoons die zijn toegevoegd aan Azure AD, waar inrichting mogelijk vereist is.

    2. Ingeschakeld. Selecteer deze instelling als u Windows Hello voor Bedrijven instellingen wilt configureren. Wanneer u Ingeschakeld selecteert, worden aanvullende instellingen voor Windows Hello zichtbaar.

    3. Niet geconfigureerd. Selecteer deze instelling als u Intune niet wilt gebruiken om Windows Hello voor Bedrijven instellingen te beheren. Bestaande Windows Hello voor Bedrijven-instellingen op Windows 10 apparaten worden niet gewijzigd. Alle andere instellingen in het deelvenster zijn niet beschikbaar.

Als u Ingeschakeld hebt geselecteerd, configureert u de vereiste instellingen die worden toegepast op alle ingeschreven Windows 10-apparaten en Windows 10 mobiele apparaten.

  1. Gebruik een Trusted Platform Module (TPM). Een TPM-chip biedt een extra laag gegevensbeveiliging. Kies een van de volgende waarden:

    1. Vereist. Alleen apparaten met een toegankelijke TPM kunnen Windows Hello voor Bedrijven inrichten.

    2. Voorkeur. Apparaten proberen eerst een TPM te gebruiken. Als deze optie niet beschikbaar is, kunnen ze softwareversleuteling gebruiken.

  2. Stel een minimale lengte en maximale lengte van de pincode in. Hiermee configureert u apparaten voor het gebruik van de minimale en maximale lengte van de pincode die u opgeeft om een veilige aanmelding te garanderen. De standaardlengte voor pincodes is zes tekens, maar u kunt een minimale lengte van vier tekens afdwingen. De maximale lengte van de pincode is 127 tekens.

  3. Stel een pincodeverlooptijd (dagen) in. Het is raadzaam om een verloopperiode voor een pincode op te geven, waarna gebruikers deze moeten wijzigen. De standaardwaarde is 41 dagen.

  4. Onthoud de pincodegeschiedenis. Hiermee beperkt u het hergebruik van eerder gebruikte pincodes. De laatste 5 pincodes kunnen standaard niet opnieuw worden gebruikt.

  5. Gebruik, indien beschikbaar, verbeterde anti-adresvervalsing. Dit wordt geconfigureerd wanneer de anti-adresvervalsingsfuncties van Windows Hello worden gebruikt op apparaten die dit ondersteunen. Bijvoorbeeld het detecteren van een foto van een gezicht in plaats van een echt gezicht.

  6. Aanmelden via de telefoon toestaan. Als deze optie is ingesteld op Ja, kunnen gebruikers een extern paspoort gebruiken om te fungeren als een draagbaar secundair apparaat voor verificatie van desktopcomputers. De desktopcomputer moet lid zijn van Azure AD en het bijbehorende apparaat moet worden geconfigureerd met een Windows Hello voor Bedrijven pincode.

Nadat u deze instellingen hebt geconfigureerd, selecteert u Opslaan.

Nadat u de instellingen hebt geconfigureerd die van toepassing zijn op alle ingeschreven Windows 10-apparaten en Windows 10 mobiele apparaten, stelt u Windows Hello voor Bedrijven Identity Protection-profielen in om Windows Hello voor Bedrijven beveiligingsinstellingen voor specifieke eindgebruikers aan te passen Apparaten.

  1. Selecteer Apparaatconfiguratieprofielen >> Profiel maken > Windows 10 en Later > Identity Protection.

    Screenshot of Create a profile with platform set to Windows 10 and profile set to Identity protection.

  2. Configureer Windows Hello voor Bedrijven. Kies hoe u Windows Hello voor Bedrijven wilt configureren.

    Screenshot of Configuration settings under Identity protection in Configuration profiles.

    1. Minimale lengte van pincode.

    2. Kleine letters in pincode.

    3. Hoofdletters in pincode.

    4. Speciale tekens in pincode.

    5. Vervaldatum pincode (dagen).

    6. Onthoud de pincodegeschiedenis.

    7. Herstel van pincode inschakelen. Hiermee kan de gebruiker de Windows Hello voor Bedrijven-service voor het herstellen van pincodes gebruiken.

    8. Gebruik een Trusted Platform Module (TPM). Een TPM-chip biedt een extra laag gegevensbeveiliging.

    9. Biometrische verificatie toestaan. Hiermee schakelt u biometrische verificatie in, zoals gezichtsherkenning of vingerafdruk, als alternatief voor een pincode voor Windows Hello voor Bedrijven. Gebruikers moeten nog steeds een pincode configureren als biometrische verificatie mislukt.

    10. Gebruik, indien beschikbaar, verbeterde anti-adresvervalsing. Hiermee wordt geconfigureerd wanneer de anti-adresvervalsingsfuncties van Windows Hello worden gebruikt op apparaten die dit ondersteunen (bijvoorbeeld het detecteren van een foto van een gezicht in plaats van een echt gezicht).

    11. Gebruik beveiligingssleutels voor aanmelding. Deze instelling is beschikbaar voor apparaten met Windows 10 versie 1903 of later. Gebruik dit om ondersteuning te beheren voor het gebruik van Windows Hello beveiligingssleutels voor aanmelding.

Ten slotte kunt u extra apparaatbeperkingsbeleid maken om apparaten in bedrijfseigendom verder te vergrendelen.

II. Toegang wordt alleen verleend aan door de cloud beheerde en compatibele eindpunten en apps

Zodra u identiteiten hebt voor alle eindpunten die toegang hebben tot bedrijfsresources en voordat toegang wordt verleend, wilt u ervoor zorgen dat ze voldoen aan de minimale beveiligingsvereisten die door uw organisatie zijn ingesteld.

Nadat nalevingsbeleid is ingesteld om de toegang van bedrijfsresources tot vertrouwde eindpunten en mobiele en desktoptoepassingen te beperken, hebben alle gebruikers toegang tot organisatiegegevens op mobiele apparaten en wordt op alle apparaten een minimale of maximale versie van het besturingssysteem geïnstalleerd. Apparaten zijn niet jail-broken of rooted.

Stel ook herstelregels in voor niet-compatibele apparaten, zoals het blokkeren van een niet-compatibel apparaat of het aanbieden van een respijtperiode om compatibel te worden.

Diagram of the steps within phase 2 of the initial deployment objectives.

Een nalevingsbeleid maken met Microsoft Intune (alle platforms)

Volg deze stappen om een nalevingsbeleid te maken:

  1. Selecteer Beleid voor apparaatnalevingsbeleid >>> maken.

  2. Selecteer een platform voor dit beleid (Windows 10 hieronder gebruikt).

  3. Selecteer de gewenste apparaatstatusconfiguratie.

    Screenshot of Device Health in Windows 10 compliance policy settings.

  4. Configureer de minimale of maximale apparaateigenschappen.

    Screenshot of Device Properties in Windows 10 compliance policy settings.

  5. Configureer Configuration Manager naleving. Hiervoor is vereist dat alle nalevingsevaluaties in Configuration Manager compatibel zijn en alleen van toepassing zijn op Windows 10 apparaten die comanaged zijn. Alle apparaten met alleen Intune retourneren N.v.t.

  6. System Security-Instellingen configureren.

    Screenshot of System Security in Windows 10 compliance policy settings.

  7. Configureer Microsoft Defender Antimalware.

    Screenshot of Microsoft Defender for Cloud in Windows 10 compliance policy settings.

  8. Configureer de vereiste Microsoft Defender voor Eindpunt machinerisicoscore.

    Screenshot of Defender for Endpoint in Windows 10 compliance policy settings.

  9. Geef op het tabblad Acties voor niet-naleving een reeks acties op die automatisch moeten worden toegepast op apparaten die niet voldoen aan dit nalevingsbeleid.

    Screenshot of Actions for noncompliance in compliance policy settings.

E-mailmeldingen automatiseren en extra herstelacties toevoegen voor niet-compatibele apparaten in Intune (alle platforms)

Wanneer hun eindpunten of apps niet-compatibel worden, worden gebruikers door zelfherstel geleid. Waarschuwingen worden automatisch gegenereerd met extra waarschuwingen en geautomatiseerde acties die zijn ingesteld voor bepaalde drempelwaarden. U kunt herstelacties voor niet-naleving instellen.

Voer de volgende stappen uit:

  1. Selecteer Meldingen over het maken van meldingen > voor nalevingsbeleid > voor apparaten>.

  2. Maak een meldingsberichtsjabloon.

    Screenshot of Create notification in compliance policy settings.

  3. Selecteer Beleidsregels voor apparaatnaleving >>, selecteer een van uw beleidsregels en selecteer vervolgens Eigenschappen.

  4. Selecteer Acties voor toevoegen aan niet-naleving>.

  5. Acties voor niet-naleving toevoegen:

    Screenshot of Actions for noncompliance in compliance policy settings.

    1. Stel een geautomatiseerde e-mail in voor gebruikers met niet-compatibele apparaten.

    2. Een actie instellen om niet-compatibele apparaten op afstand te vergrendelen.

    3. Stel een actie in om een niet-compatibel apparaat na een bepaald aantal dagen automatisch buiten gebruik te stellen.

III. Beleid voor preventie van gegevensverlies (DLP) wordt afgedwongen voor bedrijfsapparaten en BYOD

Zodra gegevenstoegang is verleend, wilt u bepalen wat de gebruiker met de gegevens kan doen. Als een gebruiker bijvoorbeeld een document met een bedrijfsidentiteit opent, wilt u voorkomen dat dat document wordt opgeslagen op een niet-beveiligde opslaglocatie voor consumenten of dat het wordt gedeeld met een communicatie- of chat-app voor consumenten.

Diagram of the steps within phase 3 of the initial deployment objectives.

Pas eerst beveiligingsinstellingen toe die door Microsoft worden aanbevolen op Windows 10 apparaten om bedrijfsgegevens te beveiligen (vereist Windows 10 1809 en later):

Gebruik Intune beveiligingsbasislijnen om uw gebruikers en apparaten te beveiligen en te beveiligen. Beveiligingsbasislijnen zijn vooraf geconfigureerde groepen Windows instellingen waarmee u een bekende groep instellingen en standaardwaarden kunt toepassen die worden aanbevolen door de relevante beveiligingsteams.

Volg deze stappen:

  1. Selecteer eindpuntbeveiligingsbeveiligingsbasislijnen > om de lijst met beschikbare basislijnen weer te geven.

  2. Selecteer de basislijn die u wilt gebruiken en selecteer vervolgens Profiel maken.

  3. Bekijk op het tabblad Configuratie-instellingen de groepen Instellingen die beschikbaar zijn in de basislijn die u hebt geselecteerd. U kunt een groep uitvouwen om de instellingen in die groep en de standaardwaarden voor die instellingen in de basislijn weer te geven. Specifieke instellingen zoeken:

    1. Selecteer een groep om de beschikbare instellingen uit te vouwen en te controleren.

    2. Gebruik de zoekbalk en geef trefwoorden op die de weergave filteren om alleen de groepen weer te geven die uw zoekcriteria bevatten.

    3. Configureer de standaardinstellingen opnieuw om te voldoen aan de behoeften van uw bedrijf.

      Screenshot of Application Management settings in Create Profile.

  4. Selecteer op het tabblad Toewijzingen groepen die u wilt opnemen en wijs vervolgens de basislijn toe aan een of meer groepen. Als u de toewijzing wilt verfijnen, gebruikt u Groepen selecteren om uit te sluiten.

Controleren of updates automatisch worden geïmplementeerd op eindpunten

Windows 10-apparaten configureren

Configureer Windows Updates voor Bedrijven om de updatebeheerervaring voor gebruikers te vereenvoudigen en ervoor te zorgen dat apparaten automatisch worden bijgewerkt om te voldoen aan het vereiste nalevingsniveau.

Volg deze stappen:

  1. Beheer Windows 10 software-updates in Intune door updateringen te maken en een verzameling instellingen in te schakelen die configureren wanneer Windows 10 updates worden geïnstalleerd.

    1. Selecteer apparaten > Windows > Windows 10 updateringen > maken.

    2. Configureer instellingen voor uw bedrijfsbehoeften onder Ringinstellingen bijwerken.

      Screenshot of Update settings and User experience settings.

    3. Kies onder Toewijzingen de optie + Groepen selecteren die u wilt opnemen en wijs vervolgens de updatering toe aan een of meer groepen. Als u de toewijzing wilt verfijnen, gebruikt u + Groepen selecteren om uit te sluiten.

  2. Beheer Windows 10 functie-updates in Intune om apparaten naar de Windows versie te brengen die u opgeeft (bijvoorbeeld 1803 of 1809) en blokkeer de functieset op die apparaten totdat u ervoor kiest om ze bij te werken naar een latere Windows versie.

    1. Selecteer Apparaten > Windows > Windows 10 Functie-updates > maken.

    2. Geef onder Basisbeginselen een naam, een beschrijving (optioneel) op en selecteer de versie van Windows met de gewenste functieset en selecteer vervolgens Volgende om onderdelenupdates te implementeren.

    3. Kies en selecteer onder Toewijzingen groepen die u wilt opnemen en wijs vervolgens de implementatie van de functie-update toe aan een of meer groepen.

iOS-apparaten configureren

Voor apparaten die zijn ingeschreven bij het bedrijf configureert u iOS-updates om het updatebeheer voor gebruikers te vereenvoudigen en ervoor te zorgen dat apparaten automatisch worden bijgewerkt om te voldoen aan het vereiste nalevingsniveau. IOS-updatebeleid configureren.

Volg deze stappen:

  1. Selecteer Beleid voor apparaatupdates > voor iOS/iPadOS > Profiel maken.

  2. Geef op het tabblad Basisinformatie een naam op voor dit beleid, geef een beschrijving op (optioneel) en selecteer vervolgens Volgende.

  3. Configureer het volgende op het tabblad Beleidsinstellingen bijwerken:

    1. Selecteer de versie die u wilt installeren. U kunt kiezen uit:

      1. Nieuwste update: Hiermee wordt de meest recent uitgebrachte update voor iOS/iPadOS geïmplementeerd.

      2. Een eerdere versie die beschikbaar is in de vervolgkeuzelijst. Als u een vorige versie selecteert, moet u ook een apparaatconfiguratiebeleid implementeren om de zichtbaarheid van software-updates te vertragen.

    2. Planningstype: Configureer de planning voor dit beleid:

      1. Bijwerken bij volgende check-in. De update wordt de volgende keer dat deze met Intune incheckt op het apparaat geïnstalleerd. Dit is de eenvoudigste optie en heeft geen aanvullende configuraties.

      2. Bijwerken tijdens geplande tijd. U configureert een of meer tijdvensters waarin de update wordt geïnstalleerd bij het inchecken.

      3. Bijwerken buiten de geplande tijd. U configureert een of meer tijdvensters waarin de updates niet worden geïnstalleerd bij het inchecken.

    3. Wekelijkse planning: Als u een ander schematype kiest dan bijwerken bij de volgende check-in, configureert u de volgende opties:

      Screenshot of Update policy settings in Create profile.

  4. Kies een tijdzone.

  5. Definieer een tijdvenster. Definieer een of meer tijdsblokken die beperken wanneer de updates worden geïnstalleerd. Opties zijn de begindag, de begintijd, de einddag en de eindtijd. Door een begin- en einddag te gebruiken, worden 's nachts blokken ondersteund. Als u geen begin- of eindtijden configureert, resulteert de configuratie in geen beperking en kunnen updates op elk gewenst moment worden geïnstalleerd.

Controleren of apparaten zijn versleuteld

Bitlocker configureren om Windows 10 apparaten te versleutelen

  1. Selecteer Profielen voor apparaatconfiguratie >> maken.

  2. Stel de volgende opties in:

    1. Platform: Windows 10 en later

    2. Profieltype: Eindpuntbeveiliging

      Screenshot of Create a profile in Devices Configuration profiles for Windows 10.

  3. Selecteer Instellingen > Windows-versleuteling.

    Screenshot of Endpoint protection in Create profile.

  4. Configureer instellingen voor BitLocker om te voldoen aan de behoeften van uw bedrijf en selecteer vervolgens OK.

FileVault-versleuteling configureren op macOS-apparaten

  1. Selecteer Profielen voor apparaatconfiguratie >> maken.

  2. Stel de volgende opties in:

    1. Platform: macOS.

    2. Profieltype: Eindpuntbeveiliging.

      Screenshot of Create a profile in Devices Configuration profiles for mac OS.

  3. Selecteer Instellingen > FileVault.

    Screenshot of File Vault under Endpoint protection in Create profile.

  4. Selecteer Inschakelen voor FileVault.

  5. Voor het type herstelsleutel wordt alleen persoonlijke sleutel ondersteund.

  6. Configureer de resterende FileVault-instellingen om te voldoen aan de behoeften van uw bedrijf en selecteer OK.

Beveiligingsbeleid voor toepassingen maken om bedrijfsgegevens op app-niveau te beveiligen

Maak app-beveiligingsbeleid (APP) om ervoor te zorgen dat uw gegevens veilig blijven of zijn opgenomen in een beheerde app. Een beleid kan een regel zijn die wordt afgedwongen wanneer de gebruiker 'zakelijke' gegevens probeert te openen of verplaatsen, of een reeks acties die niet zijn toegestaan of worden bewaakt wanneer de gebruiker zich in de app bevindt.

Het APP-framework voor gegevensbeveiliging is ingedeeld in drie verschillende configuratieniveaus, waarbij elk niveau is gebaseerd op het vorige niveau:

  • Enterprise Basic Data Protection (Niveau 1) zorgt ervoor dat apps worden beveiligd met een pincode en versleuteld, en voert selectief wissen uit. Voor Android-apparaten valideert dit niveau de attestation van Android-apparaten. Dit is een configuratie op instapniveau die vergelijkbaar beheer van gegevensbescherming biedt in Exchange Online postvakbeleid en IT en de gebruikerspopulatie introduceert in APP.

  • Met verbeterde gegevensbescherming (niveau 2) voor ondernemingen worden mechanismen voor het voorkomen van lekkage van APP-gegevens en minimale vereisten voor het besturingssysteem geïntroduceerd. Dit is de configuratie die van toepassing is op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens.

  • Enterprise High Data Protection (Niveau 3) introduceert geavanceerde mechanismen voor gegevensbeveiliging, verbeterde configuratie van pincodes en APP Mobile Threat Defense. Deze configuratie is wenselijk voor gebruikers die toegang hebben tot gegevens met een hoog risico.

Volg deze stappen:

  1. Kies in Intune portal apps>App-beveiliging beleidsregels. Met deze selectie opent u de App-beveiliging beleidsdetails, waar u nieuwe beleidsregels maakt en bestaande beleidsregels bewerkt.

  2. Selecteer Beleid maken en selecteer iOS/iPadOS of Android. Het deelvenster Beleid maken wordt weergegeven.

  3. Kies de apps waarop u het app-beveiligingsbeleid wilt toepassen.

  4. Gegevensbeveiliging configureren Instellingen:

    1. iOS-/iPadOS-gegevensbeveiliging. Zie de beveiligingsbeleidsinstellingen voor iOS-/iPadOS-apps - Gegevensbeveiliging voor meer informatie.

    2. Android-gegevensbeveiliging. Zie de beveiligingsbeleidsinstellingen voor Android-apps - Gegevensbeveiliging voor meer informatie.

  5. Toegangsvereiste configureren Instellingen:

    1. Toegangsvereisten voor iOS/iPadOS. Zie de beveiligingsbeleidsinstellingen voor iOS-/iPadOS-apps - Toegangsvereisten voor meer informatie.

    2. Toegangsvereisten voor Android. Zie de beveiligingsbeleidsinstellingen voor Android-apps - Toegangsvereisten voor meer informatie.

  6. Voorwaardelijk starten configureren Instellingen:

    1. Voorwaardelijk starten van iOS/iPadOS. Zie de beveiligingsbeleidsinstellingen voor iOS-/iPadOS-apps - Voorwaardelijk starten voor meer informatie.

    2. Voorwaardelijk starten met Android. Zie de beveiligingsbeleidsinstellingen voor Android-apps - Voorwaardelijk starten voor meer informatie.

  7. Klik op Volgende om de pagina Opdrachten weer te geven.

  8. Wanneer u klaar bent, klikt u op Maken om het app-beveiligingsbeleid te maken in Intune.




Checklist icon with two checkmarks.

Aanvullende implementatiedoelstellingen

IV. Detectie van eindpuntbedreigingen wordt gebruikt om apparaatrisico's te bewaken

Zodra u de eerste drie doelstellingen hebt bereikt, is de volgende stap het configureren van eindpuntbeveiliging zodat geavanceerde beveiliging wordt ingericht, geactiveerd en bewaakt. Eén deelvenster glas wordt gebruikt om alle eindpunten consistent samen te beheren.

Eindpuntlogboeken en transacties routeren naar een SIEM of Power BI

Verzend met behulp van het Intune Data Warehouse apparaat- en app-beheergegevens naar rapportage- of SIEM-hulpprogramma's voor intelligent filteren van waarschuwingen om ruis te verminderen.

Volg deze stappen:

  1. Selecteer Rapporten > Intune Datawarehouse-datawarehouse>.

  2. Kopieer de URL van de aangepaste feed. Bijvoorbeeld: https://fef.tenant.manage.microsoft.com/ReportingService/DataWarehouseFEService?api-version=v1.0

  3. Open Power BI Desktop of uw SIEM-oplossing.

Vanuit uw SIEM-oplossing

Kies de optie voor het importeren of ophalen van gegevens uit een Odata-feed.

Vanuit PowerBI

  1. Selecteer in het menu de OData-feed Voor > het ophalen van gegevens>.

  2. Plak de aangepaste feed-URL die u uit de vorige stap hebt gekopieerd in het URL-vak in het venster OData-feed.

  3. Selecteer Basic.

  4. Selecteer OK.

  5. Selecteer Organisatieaccount en meld u vervolgens aan met uw Intune referenties.

    Screenshot of OData feed setting in Organizational account.

  6. Selecteer Verbinding maken. De Navigator wordt geopend en toont u de lijst met tabellen in de Intune Data Warehouse.

  7. Selecteer de apparaten en de tabellen ownerTypes. Selecteer Laden. Power BI laadt gegevens naar het model.

  8. Een relatie maken. U kunt meerdere tabellen importeren om niet alleen de gegevens in één tabel te analyseren, maar ook gerelateerde gegevens in verschillende tabellen. Power BI heeft een functie met de naam autodetectie waarmee wordt geprobeerd relaties voor u te zoeken en te maken. De tabellen in de Data Warehouse zijn gebouwd om te werken met de functie voor automatisch detecteren in Power BI. Zelfs als Power BI de relaties niet automatisch vindt, kunt u de relaties nog steeds beheren.

  9. Selecteer Relaties beheren.

  10. Selecteer Automatisch detecteren als Power BI de relaties nog niet heeft gedetecteerd.

  11. Meer informatie over geavanceerde manieren om PowerBI-visualisaties in te stellen.

V. Toegangsbeheer wordt afgesloten voor eindpuntrisico's voor zowel bedrijfsapparaten als BYOD

Bedrijfsapparaten worden ingeschreven met een cloudinschrijvingsservice zoals DEP, Android Enterprise of Windows AutoPilot

Het bouwen en onderhouden van aangepaste installatiekopieën van besturingssystemen is een tijdrovend proces. Het kan ook tijd kosten om aangepaste installatiekopieën van besturingssystemen toe te passen op nieuwe apparaten om ze voor te bereiden op gebruik.

  • Met Microsoft Intune cloudinschrijvingsservices kunt u nieuwe apparaten aan uw gebruikers geven zonder dat u aangepaste installatiekopieën van besturingssystemen hoeft te bouwen, onderhouden en toepassen op de apparaten.

  • Windows Autopilot is een verzameling technologieën die worden gebruikt om nieuwe apparaten in te stellen en vooraf te configureren, zodat ze klaar zijn voor productief gebruik. U kunt ook Windows Autopilot gebruiken om apparaten opnieuw in te stellen, te hergebruiken en te herstellen.

  • Configureer Windows Autopilot om Azure AD Join te automatiseren en nieuwe apparaten in bedrijfseigendom in te schrijven bij Intune.

  • Configureer Apple DEP om iOS- en iPadOS-apparaten automatisch in te schrijven.

Producten die in deze handleiding worden behandeld

Microsoft Azure

Azure Active Directory

Microsoft 365

Microsoft Endpoint Manager (inclusief Microsoft Intune en Configuration Manager)

Microsoft Defender voor Eindpunt

Bitlocker

Conclusie

Een Zero Trust aanpak kan de beveiligingspostuur van uw apparaten en eindpunten aanzienlijk verbeteren. Neem voor meer informatie of hulp bij de implementatie contact op met uw klantsuccesteam of lees verder in de andere hoofdstukken van deze handleiding die alle Zero Trust pijlers beslaat.



De reeks Zero Trust-implementatiehandleiding

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration