Gegevens en apparaten beveiligen met Microsoft Intune

  • Artikel

Microsoft Intune kunt u helpen uw beheerde apparaten veilig en up-to-date te houden en tegelijkertijd de gegevens van uw organisatie te beschermen tegen gecompromitteerde apparaten. Gegevensbescherming omvat het beheren van wat gebruikers doen met de gegevens van een organisatie op zowel beheerde als onbeheerde apparaten. Gegevensbescherming breidt zich ook uit tot het blokkeren van de toegang tot gegevens van apparaten die mogelijk zijn aangetast.

In dit artikel worden veel van de ingebouwde mogelijkheden en partnertechnologieën van Intune beschreven die u met Intune kunt integreren. Naarmate u er meer over te weten komt, kunt u er verschillende samenbrengen voor uitgebreidere oplossingen tijdens uw reis naar een omgeving zonder vertrouwen.

Vanuit het Microsoft Intune-beheercentrum ondersteunt Intune beheerde apparaten met Android, iOS/iPad, Linux, macOS en Windows 10 en Windows 11.

Wanneer u Configuration Manager gebruikt om on-premises apparaten te beheren, kunt u Intune-beleid uitbreiden naar deze apparaten door tenantkoppeling of co-beheer te configureren.

Intune kan ook werken met informatie van apparaten die u beheert met producten van derden die naleving van apparaten en bescherming tegen mobiele bedreigingen bieden.

Apparaten beveiligen via beleid

Implementeer het eindpuntbeveiligings-, apparaatconfiguratie- en apparaatnalevingsbeleid van Intune om apparaten te configureren om te voldoen aan de beveiligingsdoelen van uw organisatie. Beleidsregels ondersteunen een of meer profielen. Dit zijn de afzonderlijke sets platformspecifieke regels die u implementeert voor groepen geregistreerde apparaten.

  • Met eindpuntbeveiligingsbeleid implementeert u beveiligingsbeleid dat is ontworpen om u te helpen zich te concentreren op de beveiliging van uw apparaten en risico's te beperken. De beschikbare taken kunnen u helpen bij het identificeren van apparaten die risico lopen, om deze apparaten te herstellen en ze te herstellen naar een compatibele of veiligere status.

  • Met apparaatconfiguratiebeleid beheert u profielen die de instellingen en functies definiëren die apparaten in uw organisatie gebruiken. Apparaten configureren voor eindpuntbeveiliging, certificaten inrichten voor verificatie, gedrag voor software-updates instellen en meer.

  • Met nalevingsbeleid voor apparaten maakt u profielen voor verschillende apparaatplatforms die apparaatvereisten vaststellen. Vereisten kunnen versies van besturingssystemen, het gebruik van schijfversleuteling of specifieke bedreigingsniveaus hebben, zoals gedefinieerd door software voor bedreigingsbeheer.

    Intune kan apparaten beveiligen die niet voldoen aan uw beleid en de gebruiker van het apparaat waarschuwen zodat deze het apparaat in overeenstemming kan brengen.

    Wanneer u voorwaardelijke toegang toevoegt aan de mix, configureert u beleid waarmee alleen compatibele apparaten toegang hebben tot uw netwerk en de resources van uw organisatie. Toegangsbeperkingen kunnen bestandsshares en bedrijfs-e-mail omvatten. Beleid voor voorwaardelijke toegang werkt ook met de apparaatstatusgegevens die zijn gerapporteerd door externe apparaatnalevingspartners die u integreert met Intune.

Hier volgen enkele beveiligingsinstellingen en -taken die u kunt beheren via beschikbare beleidsregels:

  • Apparaatversleuteling: beheer BitLocker op Windows 10 apparaten en FileVault op macOS.

  • Verificatiemethoden : configureer hoe uw apparaten worden geverifieerd bij de resources, e-mail en toepassingen van uw organisatie.

    • Gebruik certificaten voor verificatie voor toepassingen, de resources van uw organisatie en voor het ondertekenen en versleutelen van e-mail met behulp van S/MIME. U kunt ook afgeleide referenties instellen wanneer uw omgeving het gebruik van smartcards vereist.

    • Configureer instellingen die helpen risico's te beperken, zoals:

      • Meervoudige verificatie (MFA) vereisen om een extra verificatielaag toe te voegen voor gebruikers.
      • Stel pincode- en wachtwoordvereisten in waaraan moet worden voldaan voordat u toegang kunt krijgen tot resources.
      • Schakel Windows Hello voor Bedrijven in voor Windows 10 apparaten.

  • Virtuele particuliere netwerken (VPN's): met VPN-profielen wijst u VPN-instellingen toe aan apparaten, zodat deze eenvoudig verbinding kunnen maken met het netwerk van uw organisatie. Intune ondersteunt verschillende TYPEN VPN-verbindingen en apps die zowel ingebouwde mogelijkheden voor sommige platforms als VPN-apps van derden voor apparaten bevatten.

  • Software-updates : beheren hoe en wanneer apparaten software-updates ontvangen. Het volgende wordt ondersteund:

    • Android-firmware-updates:
    • iOS : beheer versies van het besturingssysteem van apparaten en wanneer apparaten controleren op updates en deze installeren.
    • macOS : beheer software-updates voor macOS-apparaten die zijn ingeschreven als apparaten onder supervisie.
    • Windows 10 kunt u de Windows Update ervaring voor apparaten beheren. U kunt configureren wanneer apparaten updates scannen of installeren, een set van uw beheerde apparaten bij specifieke functieversies bewaren en meer.

  • Beveiligingsbasislijnen: implementeer beveiligingsbasislijnen om een kernbeveiligingspostuur op uw Windows 10 apparaten tot stand te brengen. Beveiligingsbasislijnen zijn vooraf geconfigureerde groepen Windows-instellingen die worden aanbevolen door de relevante productteams. U kunt basislijnen gebruiken zoals opgegeven of exemplaren ervan bewerken om te voldoen aan uw beveiligingsdoelen voor doelgroepen van apparaten.

Gegevens beveiligen via beleid

Door Intune beheerde apps en het app-beveiligingsbeleid van Intune kunnen helpen gegevenslekken te stoppen en de gegevens van uw organisatie veilig te houden. Deze beveiligingen kunnen van toepassing zijn op apparaten die zijn ingeschreven bij Intune en op apparaten die dat niet zijn.

  • Door Intune beheerde apps (of kort gezegd beheerde apps), zijn apps die zijn geïntegreerd met de Intune App SDK of die zijn verpakt door de Intune-App Wrapping Tool. Deze apps kunnen worden beheerd met intune-beveiligingsbeleid voor apps. Zie Beveiligde apps van Intune voor een lijst met openbaar beschikbare beheerde apps.

    Gebruikers kunnen beheerde apps gebruiken om te werken met zowel de gegevens van uw organisatie als hun eigen persoonlijke gegevens. Wanneer het beveiligingsbeleid voor apps echter het gebruik van een beheerde app vereist, is de beheerde app de enige app die kan worden gebruikt voor toegang tot de gegevens van uw organisatie. App-beveiliging regels zijn niet van toepassing op de persoonsgegevens van een gebruiker.

  • App-beveiliging beleidsregels zijn regels die ervoor zorgen dat de gegevens van een organisatie veilig blijven of in een beheerde app zijn opgenomen. De regels identificeren de beheerde app die moet worden gebruikt en definiëren wat er met de gegevens kan worden gedaan terwijl de app in gebruik is.

Hier volgen voorbeelden van beveiligingen en beperkingen die u kunt instellen met app-beveiligingsbeleid en beheerde apps:

  • Configureer app-laagbeveiligingen, zoals het vereisen van een pincode om een app te openen in een werkcontext.
  • Beheer het delen van gegevens van een organisatie tussen apps op een apparaat, zoals het blokkeren van kopiëren en plakken of schermopnamen.
  • Voorkomen dat de gegevens van uw organisatie worden opgeslagen op persoonlijke opslaglocaties.

Apparaatacties gebruiken om apparaten en gegevens te beveiligen

Vanuit het Microsoft Intune-beheercentrum kunt u apparaatacties uitvoeren om een geselecteerd apparaat beveiligd te houden. U kunt een subset van deze acties uitvoeren als bulksgewijze apparaatacties om meerdere apparaten tegelijk te beïnvloeden. En verschillende externe acties van Intune kunnen ook worden gebruikt met co-beheerde apparaten.

Apparaatacties zijn geen beleid en worden één keer van kracht wanneer ze worden aangeroepen. Ze zijn onmiddellijk van toepassing als het apparaat online toegankelijk is, of wanneer het apparaat de volgende keer wordt opgestart of wordt ingecheckt bij Intune. Deze acties worden beschouwd als aanvulling op het gebruik van beleidsregels waarmee beveiligingsconfiguraties voor een populatie apparaten worden geconfigureerd en onderhouden.

Hier volgen voorbeelden van acties die u kunt uitvoeren om apparaten en gegevens te beveiligen:

Apparaten die worden beheerd door Intune:

  • BitLocker-sleutelrotatie (alleen Windows)
  • Activeringsvergrendeling uitschakelen (alleen iOS)
  • Volledige of snelle scan (alleen Windows 10)
  • Vergrendelen op afstand
  • Buiten gebruik stellen (hiermee worden de gegevens van uw organisatie van het apparaat verwijderd terwijl persoonlijke gegevens intact blijven)
  • Microsoft Defender Security Intelligence bijwerken
  • Wissen (fabrieksinstellingen van het apparaat herstellen, alle gegevens, apps en instellingen verwijderen)

Apparaten die worden beheerd door Configuration Manager:

  • Buiten gebruik stellen
  • Wissen
  • Synchroniseren (een apparaat afdwingen om onmiddellijk in te checken bij Intune om nieuw beleid of in behandeling zijnde acties te vinden)

Integreren met andere producten en partnertechnologieën

Intune ondersteunt integratie met partner-apps van zowel eigen als externe bronnen, die de ingebouwde mogelijkheden uitbreiden. U kunt Intune ook integreren met verschillende Microsoft-technologieën.

Compliancepartners

Meer informatie over het gebruik van partners voor apparaatnaleving met Intune. Wanneer u een apparaat beheert met een andere partner voor het beheer van mobiele apparaten dan Intune, kunt u die nalevingsgegevens integreren met Microsoft Entra ID. Wanneer beleid voor voorwaardelijke toegang is geïntegreerd, kunnen de partnergegevens naast nalevingsgegevens van Intune worden gebruikt.

Configuration Manager

U kunt veel Intune-beleidsregels en apparaatacties gebruiken om de apparaten die u beheert te beveiligen met Configuration Manager. Als u deze apparaten wilt ondersteunen, configureert u co-beheer of tenantkoppeling. U kunt beide ook in combinatie met Intune gebruiken.

  • Met co-beheer kunt u een Windows 10 apparaat gelijktijdig beheren met zowel Configuration Manager als Intune. U installeert de Configuration Manager-client en registreert het apparaat bij Intune. Het apparaat communiceert met beide services.

  • Met Tenantkoppeling stelt u synchronisatie in tussen uw Configuration Manager site en uw Intune-tenant. Deze synchronisatie biedt u één weergave voor alle apparaten die u beheert met Microsoft Intune.

Nadat een verbinding tussen Intune en Configuration Manager tot stand is gebracht, zijn apparaten van Configuration Manager beschikbaar in het Microsoft Intune-beheercentrum. Vervolgens kunt u Intune-beleid implementeren op deze apparaten of apparaatacties gebruiken om ze te beveiligen.

Enkele van de beveiligingen die u kunt toepassen, zijn:

  • Implementeer certificaten op apparaten met behulp van Intune SCEP (Simple Certificate Enrollment Protocol ) of pkcs-certificaatprofielen ( Private and Public Key Pair ).
  • Gebruik nalevingsbeleid.
  • Gebruik eindpuntbeveiligingsbeleidsregels, zoals Antivirus, Eindpuntdetectie en -respons en Firewallregels .
  • Beveiligingsbasislijnen toepassen.
  • Windows Updates beheren.

Mobile Threat Defense-apps

MTD-apps (Mobile Threat Defense) scannen en analyseren apparaten actief op bedreigingen. Wanneer u Mobile Threat Defense-apps integreert (verbinden) met Intune, krijgt u de app-evaluatie van het bedreigingsniveau van een apparaat. Evaluatie van een bedreigings- of risiconiveau van een apparaat is een belangrijk hulpmiddel om de resources van uw organisatie te beschermen tegen gecompromitteerde mobiele apparaten. U kunt dat bedreigingsniveau vervolgens gebruiken in verschillende beleidsregels, zoals beleid voor voorwaardelijke toegang, om de toegang tot deze resources te gateen.

Gebruik gegevens op bedreigingsniveau met beleid voor apparaatcompatibiliteit, app-beveiliging en voorwaardelijke toegang. Deze beleidsregels gebruiken de gegevens om te voorkomen dat niet-compatibele apparaten toegang krijgen tot de resources van uw organisatie.

Met een geïntegreerde MTD-app:

  • Voor ingeschreven apparaten:

    • Gebruik Intune om de MTD-app op apparaten te implementeren en vervolgens te beheren.
    • Nalevingsbeleid voor apparaten implementeren dat gebruikmaakt van het gerapporteerde bedreigingsniveau van apparaten om naleving te evalueren.
    • Definieer beleidsregels voor voorwaardelijke toegang die rekening houden met het bedreigingsniveau van een apparaat.
    • Definieer app-beveiligingsbeleid om te bepalen wanneer de toegang tot gegevens moet worden geblokkeerd of toegestaan, op basis van het bedreigingsniveau van het apparaat.

  • Voor apparaten die niet zijn ingeschreven bij Intune , maar een MTD-app uitvoeren die is geïntegreerd met Intune, gebruikt u hun gegevens op bedreigingsniveau met uw app-beveiligingsbeleid om de toegang tot de gegevens van uw organisatie te blokkeren.

Intune ondersteunt integratie met:

Microsoft Defender voor Eindpunt

Op zichzelf biedt Microsoft Defender voor Eindpunt verschillende voordelen die gericht zijn op beveiliging. Microsoft Defender voor Eindpunt integreert ook met Intune en wordt ondersteund op verschillende apparaatplatforms. Met integratie krijgt u een mobile threat defense-app en voegt u mogelijkheden toe aan Intune om gegevens en apparaten veilig te houden. Deze mogelijkheden zijn onder andere:

  • Ondersteuning voor Microsoft Tunnel: op Android-apparaten is Microsoft Defender voor Eindpunt de clienttoepassing die u gebruikt met Microsoft Tunnel, een VPN-gatewayoplossing voor Intune. Wanneer u wordt gebruikt als de Microsoft Tunnel-client-app, hebt u geen abonnement nodig voor Microsoft Defender voor Eindpunt.

  • Beveiligingstaken: met beveiligingstaken kunnen Intune-beheerders profiteren van de Threat and Vulnerability Management mogelijkheden van Microsoft Defender voor Eindpunt. Hoe het werkt:

    • Uw Defender voor Eindpunt-team identificeert risico-apparaten en maakt de beveiligingstaken voor Intune in het Defender for Endpoint-beveiligingscentrum.
    • Deze taken worden weergegeven in Intune met risicobeperkingsadvies dat Intune-beheerders kunnen gebruiken om het risico te beperken.
    • Wanneer een taak wordt omgezet in Intune, wordt die status teruggegeven aan het Defender for Endpoint-beveiligingscentrum, waar de resultaten van de beperking kunnen worden geëvalueerd.

  • Eindpuntbeveiligingsbeleid: voor het volgende Intune-eindpuntbeveiligingsbeleid is integratie met Microsoft Defender voor Eindpunt vereist. Wanneer u tenantkoppeling gebruikt, kunt u dit beleid implementeren op apparaten die u beheert met Intune of Configuration Manager.

    • Antivirusbeleid: beheer de instellingen voor Microsoft Defender Antivirus en de Windows-beveiliging ervaring op ondersteunde apparaten, zoals Windows 10 en macOS.

    • Beleid voor eindpuntdetectie en -respons: gebruik dit beleid om eindpuntdetectie en -respons (EDR) te configureren. Dit is een mogelijkheid van Microsoft Defender voor Eindpunt.

Voorwaardelijke toegang

Voorwaardelijke toegang is een Microsoft Entra-functie die met Intune werkt om apparaten te beveiligen. Voor apparaten die zijn geregistreerd bij Microsoft Entra ID, kan beleid voor voorwaardelijke toegang apparaat- en nalevingsgegevens van Intune gebruiken om toegangsbeslissingen voor gebruikers en apparaten af te dwingen.

Beleid voor voorwaardelijke toegang combineren met:

  • Nalevingsbeleid voor apparaten kan vereisen dat een apparaat wordt gemarkeerd als compatibel voordat dat apparaat kan worden gebruikt voor toegang tot de resources van uw organisatie. In het beleid voor voorwaardelijke toegang worden apps-services opgegeven die u wilt beveiligen, voorwaarden waaronder de apps of services toegankelijk zijn en de gebruikers waarop het beleid van toepassing is.

  • App-beveiliging beleid kan een beveiligingslaag toevoegen die ervoor zorgt dat alleen client-apps die intune-app-beveiligingsbeleid ondersteunen, toegang hebben tot uw onlinebronnen, zoals Exchange of andere Microsoft 365-services.

Voorwaardelijke toegang werkt ook met het volgende om apparaten veilig te houden:

  • MICROSOFT DEFENDER VOOR EINDPUNT en MTD-apps van derden
  • Partner-apps voor apparaatnaleving
  • Microsoft Tunnel

Endpoint Privilege Management toevoegen

Met Endpoint Privilege Management (EPM) kunt u uw Windows-gebruikers uitvoeren als standaardgebruikers en bevoegdheden alleen verhogen wanneer dat nodig is, zoals is ontworpen door organisatieregels en parameters die door uw organisatie zijn ingesteld. Dit ontwerp ondersteunt het afdwingen van toegang met minimale bevoegdheden, een kerntenant van een Zero Trust beveiligingsarchitectuur. MET EPM kunnen IT-teams standaardgebruikers efficiënter beheren en hun kwetsbaarheid voor aanvallen beperken door werknemers alleen toe te staan als beheerder te werken voor specifieke, goedgekeurde toepassingen of taken.

Taken waarvoor doorgaans beheerdersbevoegdheden zijn vereist, zijn installatie van toepassingen (zoals Microsoft 365-toepassingen), het bijwerken van apparaatstuurprogramma's en het uitvoeren van bepaalde Windows-diagnostische gegevens.

Door epm-uitbreidingsregels te implementeren die u definieert, kunt u toestaan dat alleen de toepassingen die u vertrouwt, worden uitgevoerd in de context met verhoogde bevoegdheid. Uw regels kunnen bijvoorbeeld een bestands-hashovereenkomst of de aanwezigheid van een certificaat vereisen om de bestandsintegriteit te valideren voordat deze op een apparaat wordt uitgevoerd.

Tip

Endpoint Privilege Management is beschikbaar als een Intune-invoegtoepassing waarvoor een extra licentie is vereist en die Windows 10 en Windows 11 apparaten ondersteunt.

Zie Endpoint Privilege Management voor meer informatie.

Volgende stappen

Plan om de mogelijkheden van Intune te gebruiken om uw reis naar een zero-trust-omgeving te ondersteunen door uw gegevens te beveiligen en apparaten te beveiligen. Naast de vorige inline-koppelingen voor meer informatie over deze mogelijkheden, vindt u meer informatie over gegevensbeveiliging en delen in Intune.