Veelgebruikte manieren om Voorwaardelijke toegang te gebruiken met Intune

Er zijn twee soorten beleid voor voorwaardelijke toegang dat u kunt gebruiken met Intune: op apparaten gebaseerde voorwaardelijke toegang en voorwaardelijke toegang op basis van apps. Om elk beleid te ondersteunen, moet u de gerelateerde Intune beleid configureren. Wanneer het Intune-beleid is geïmplementeerd, kunt u voorwaardelijke toegang gebruiken om bijvoorbeeld toegang tot Exchange toe te staan of te blokkeren, de toegang tot uw netwerk te beheren of te integreren met een Mobile Threat Defense-oplossing.

De informatie in dit artikel kan u helpen inzicht te krijgen in het gebruik van de Intune nalevingsmogelijkheden voor mobiele apparaten en de Intune mam-mogelijkheden (Mobile Application Management).

Notitie

Voorwaardelijke toegang is een Azure Active Directory (Azure AD) die is opgenomen in een Azure AD Premium-licentie. Intune verbetert deze mogelijkheid door naleving van mobiele apparaten en mobile app-beheer toe te voegen aan de oplossing. Het knooppunt voor voorwaardelijke toegang dat vanuit Intune wordt geopend, is hetzelfde knooppunt als het knooppunt dat vanuit Azure AD wordt geopend.

Voorwaardelijke toegang op basis van apparaten

Intune en Azure AD werken samen om ervoor te zorgen dat alleen beheerde en compatibele apparaten toegang hebben tot de e-mail van uw organisatie, Microsoft 365-services, SaaS-apps (Software as a Service) en on-premises apps. Daarnaast kunt u in Azure AD een beleid instellen om alleen computers of mobiele apparaten die zijn ingeschreven bij Intune toegang te geven tot Microsoft 365-services.

Met Intune implementeert u nalevingsbeleid voor apparaten om te bepalen of een apparaat voldoet aan de verwachte configuratie- en beveiligingsvereisten. De evaluatie van het nalevingsbeleid bepaalt de nalevingsstatus van apparaten, die wordt gerapporteerd aan zowel Intune als Azure AD. In Azure AD kunnen beleidsregels voor voorwaardelijke toegang de nalevingsstatus van een apparaat gebruiken om beslissingen te nemen over het toestaan of blokkeren van toegang tot de resources van uw organisatie vanaf dat apparaat.

Op apparaten gebaseerd beleid voor voorwaardelijke toegang voor Exchange online en andere Microsoft 365-producten worden geconfigureerd via het Microsoft Endpoint Manager-beheercentrum.

Notitie

Wanneer u op apparaten gebaseerde toegang inschakelt voor inhoud die gebruikers openen vanuit browser-apps op hun Android-apparaten met een werkprofiel in persoonlijk eigendom, moeten gebruikers die vóór januari 2021 zijn ingeschreven, browsertoegang als volgt inschakelen:

  1. Start de Bedrijfsportal-app.
  2. Ga naar de Instellingen pagina in het menu.
  3. Tik in de sectie Browsertoegang inschakelen op de knop INSCHAKELEN .
  4. Sluit de browser-app en start deze opnieuw.

Hierdoor is toegang mogelijk in browser-apps, maar niet in browserwebweergaven die in apps worden geopend.

Toepassingen die beschikbaar zijn in voorwaardelijke toegang voor het beheren van Microsoft Intune

Wanneer u voorwaardelijke toegang configureert in azure AD Portal, hebt u twee toepassingen waaruit u kunt kiezen:

  1. Microsoft Intune: deze toepassing beheert de toegang tot de Microsoft Endpoint Manager-console en gegevensbronnen. Configureer subsidies/besturingselementen voor deze toepassing wanneer u zich wilt richten op de Microsoft Endpoint Manager-console en gegevensbronnen.
  2. Microsoft Intune-inschrijving: met deze toepassing wordt de inschrijvingswerkstroom bepaald. Configureer subsidies/besturingselementen voor deze toepassing wanneer u zich wilt richten op het inschrijvingsproces. Zie Meervoudige verificatie vereisen voor Intune apparaatinschrijvingen voor meer informatie.

Voorwaardelijke toegang op basis van netwerktoegangsbeheer

Intune integreert met partners zoals Cisco ISE, Aruba Clear Pass en Citrix NetScaler om toegangsbeheer te bieden op basis van de Intune inschrijving en de nalevingsstatus van het apparaat.

Gebruikers kunnen toegang krijgen tot zakelijke Wi-Fi of VPN-resources, afhankelijk van of het apparaat dat ze gebruiken, wordt beheerd en voldoet aan Intune nalevingsbeleid voor apparaten.

Voorwaardelijke toegang op basis van apparaatrisico

Intune werkt samen met Mobile Threat Defense-leveranciers die een beveiligingsoplossing bieden om malware, Trojaanse paarden en andere bedreigingen op mobiele apparaten te detecteren.

Hoe de integratie van Intune en Mobile Threat Defense werkt

Wanneer op mobiele apparaten de Mobile Threat Defense-agent is geïnstalleerd, stuurt de agent berichten over de nalevingsstatus terug naar Intune rapportage wanneer er een bedreiging wordt gevonden op het mobiele apparaat zelf.

De integratie van Intune en Mobile Threat Defense speelt een rol bij de beslissingen voor voorwaardelijke toegang op basis van het apparaatrisico.

Voorwaardelijke toegang voor Windows pc's

Voorwaardelijke toegang voor pc's biedt mogelijkheden die vergelijkbaar zijn met de mogelijkheden die beschikbaar zijn voor mobiele apparaten. Laten we eens kijken hoe u voorwaardelijke toegang kunt gebruiken bij het beheren van pc's met Intune.

Bedrijfseigendom

  • Hybride Azure AD toegevoegd: Deze optie wordt vaak gebruikt door organisaties die redelijk vertrouwd zijn met hoe ze hun pc's al beheren via AD-groepsbeleid of Configuration Manager.

  • Azure AD-domein toegevoegd en Intune-beheer: dit scenario is bedoeld voor organisaties die cloud-first willen zijn (dat wil namelijk voornamelijk cloudservices gebruiken, met als doel het gebruik van een on-premises infrastructuur te verminderen) of alleen-cloud (geen on-premises infrastructuur). Azure AD Join werkt goed in een hybride omgeving, waardoor toegang tot zowel cloud- als on-premises apps en resources mogelijk is. Het apparaat wordt gekoppeld aan Azure AD en wordt geregistreerd bij Intune, dat kan worden gebruikt als criteria voor voorwaardelijke toegang bij het openen van bedrijfsresources.

Bring Your Own Device (BYOD)

  • Werkplek toevoegen en Intune-beheer: hier kan de gebruiker zijn of haar persoonlijke apparaten koppelen om toegang te krijgen tot bedrijfsresources en -services. U kunt Workplace Join gebruiken en apparaten registreren in Intune MDM om beleid op apparaatniveau te ontvangen. Dit is een andere optie om criteria voor voorwaardelijke toegang te evalueren.

Meer informatie over Apparaatbeheer in Azure Active Directory.

Voorwaardelijke toegang op basis van apps

Intune en Azure AD werken samen om ervoor te zorgen dat alleen beheerde apps toegang hebben tot zakelijke e-mail of andere Microsoft 365-services.

voorwaardelijke toegang voor Exchange on-premises Intune

Voorwaardelijke toegang kan worden gebruikt om toegang tot Exchange on-premises toe te staan of te blokkeren op basis van het nalevingsbeleid voor apparaten en de inschrijvingsstatus. Wanneer voorwaardelijke toegang wordt gebruikt in combinatie met een nalevingsbeleid voor apparaten, hebben alleen compatibele apparaten toegang tot Exchange on-premises.

U kunt geavanceerde instellingen in voorwaardelijke toegang configureren voor gedetailleerdere controle, zoals:

  • Bepaalde platforms toestaan of blokkeren.

  • Blokkeer onmiddellijk apparaten die niet worden beheerd door Intune.

Elk apparaat dat wordt gebruikt voor toegang tot Exchange on-premises, wordt gecontroleerd op naleving wanneer apparaatnaleving en beleid voor voorwaardelijke toegang worden toegepast.

Wanneer apparaten niet voldoen aan de gestelde voorwaarden, wordt de eindgebruiker begeleid bij het registreren van het apparaat om het probleem op te lossen waardoor het apparaat niet compatibel is.

Notitie

Vanaf juli 2020 wordt ondersteuning voor de Exchange-connector afgeschaft en vervangen door Exchange hybride moderne verificatie (HMA). Het gebruik van HMA vereist geen Intune voor het instellen en gebruiken van de Exchange Connector. Met deze wijziging is de gebruikersinterface voor het configureren en beheren van de Exchange-connector voor Intune verwijderd uit het Microsoft Endpoint Manager-beheercentrum, tenzij u al een Exchange connector gebruikt voor uw abonnement.

Als u een Exchange Connector hebt ingesteld in uw omgeving, blijft uw Intune-tenant ondersteund voor het gebruik ervan en blijft u toegang hebben tot de gebruikersinterface die de configuratie ervan ondersteunt. Zie Exchange on-premises connector installeren voor meer informatie. U kunt de connector blijven gebruiken of HMA configureren en vervolgens de connector verwijderen.

Hybride moderne verificatie biedt functionaliteit die eerder werd geleverd door de Exchange Connector voor Intune: Het toewijzen van een apparaat-id aan de Exchange record. Deze toewijzing vindt nu plaats buiten een configuratie die u in Intune maakt of de vereiste van de Intune-connector om Intune en Exchange te overbruggen. Met HMA is de vereiste voor het gebruik van de specifieke Intune-configuratie (de connector) verwijderd.

Wat is de Intune rol?

Intune evalueert en beheert de apparaatstatus.

Wat is de Exchange serverfunctie?

Exchange server biedt API en infrastructuur om apparaten in quarantaine te plaatsen.

Belangrijk

Houd er rekening mee dat aan de gebruiker die het apparaat gebruikt, een nalevingsprofiel en Intune licentie moet zijn toegewezen, zodat het apparaat kan worden geëvalueerd op naleving. Als er geen nalevingsbeleid voor de gebruiker wordt geïmplementeerd, wordt het apparaat behandeld als compatibel en worden er geen toegangsbeperkingen toegepast.

Volgende stappen

Voorwaardelijke toegang configureren in Azure Active Directory

Beleid voor voorwaardelijke toegang op basis van apps instellen

Beleid voor voorwaardelijke toegang maken voor Exchange on-premises