Naleving van apparaatbeveiliging vereisen voor Windows-apps met Microsoft Intune en voorwaardelijke toegang van Microsoft Entra

U kunt een combinatie van voorwaardelijke toegang van Microsoft Intune en Microsoft Entra gebruiken om te vereisen dat apparaten van gebruikers voldoen aan uw specifieke beveiligingsvereisten voordat ze verbinding kunnen maken met Azure Virtual Desktop, Windows 365 en Microsoft Dev Box. Met deze aanpak kunt u beveiligingsvereisten voor Windows-apps afdwingen in de volgende scenario's:

Apparaatplatform	Intune-apparaatbeheer
iOS/iPadOS	Beheerd of onbeheerd
Android¹	Beheerd of onbeheerd
Webbrowser (alleen Microsoft Edge in Windows)	Alleen onbeheerd

1. Biedt geen ondersteuning voor Chrome OS.

Zie Beveiligingsbeleid voor apps op basis van apparaatbeheerstatus voor informatie over het gebruik van app-beveiligingsbeleid met beheerde en onbeheerde apparaten.

Sommige beleidsinstellingen die u kunt afdwingen, zijn onder andere het vereisen van een pincode, een specifieke besturingssysteemversie, het blokkeren van toetsenborden van derden en het beperken van knip-, kopieer- en plakbewerkingen tussen andere apps op lokale clientapparaten. Zie Voorwaardelijk starten in de instellingen voor het beveiligingsbeleid voor iOS-apps en voorwaardelijk starten in de beveiligingsbeleidsinstellingen voor Android-apps voor de volledige lijst met beschikbare instellingen.

Zodra u beveiligingsvereisten hebt ingesteld, kunt u ook beheren of op iOS-/iPadOS- en Android-apparaten hun lokale bronnen, zoals camera's, microfoons, opslag en het klembord, worden omgeleid naar een externe sessie. Het vereisen van naleving van lokale apparaatbeveiliging is een vereiste voor het beheren van de instellingen voor het omleiden van lokale apparaten. Zie Instellingen voor lokale apparaatomleiding beheren met Microsoft Intune voor meer informatie over het beheren van instellingen voor lokale apparaatomleiding.

Op hoog niveau zijn er twee gebieden die moeten worden geconfigureerd:

• Intune-app-beveiligingsbeleid: wordt gebruikt om beveiligingsvereisten op te geven waaraan de toepassing en het lokale clientapparaat moeten voldoen. U kunt filters gebruiken om gebruikers te richten op basis van specifieke criteria.

• Beleid voor voorwaardelijke toegang: wordt gebruikt om de toegang tot Azure Virtual Desktop en Windows 365 alleen te beheren als aan de criteria in app-beveiligingsbeleid wordt voldaan.

Vereiste voorwaarden

Voordat u naleving van de beveiliging van lokale clientapparaten met Intune en voorwaardelijke toegang kunt vereisen, hebt u het volgende nodig:

• Een bestaande hostgroep met sessiehosts of cloud-pc's.

• Ten minste één Microsoft Entra ID-beveiligingsgroep met gebruikers waarop het beleid moet worden toegepast.

• Alleen voor beheerde apparaten moet u elk van de volgende apps toevoegen die u wilt gebruiken voor Intune:

  • Zie iOS-/iPadOS-apps toevoegen aan Microsoft Intune voor Windows-apps in iOS/iPadOS.
  • Zie Microsoft Edge voor Windows toevoegen voor Microsoft Edge voor Windows 10/11 aan Microsoft Intune.

• Een lokaal clientapparaat dat een van de volgende versies van Windows App gebruikt of Windows App gebruikt in Microsoft Edge:

  • Windows-App

    • iOS/iPadOS: 11.1.1 of hoger.
    • Android 1.0.0.161 of hoger.

  • Microsoft Edge in Windows: 134.0.3124.51 of hoger.

• Ook op het lokale clientapparaat hebt u de nieuwste versie van:

  • iOS/iPadOS: Microsoft Authenticator-app
  • Android: Bedrijfsportal app, geïnstalleerd in hetzelfde profiel als Windows App voor persoonlijke apparaten. Beide apps moeten zich in een persoonlijk profiel of in een werkprofiel bevinden, niet in elk profiel.

• Er zijn meer Intune-vereisten voor het configureren van app-beveiligingsbeleid en beleid voor voorwaardelijke toegang. Zie voor meer informatie:

  • App-beveiligingsbeleid maken en toewijzen.
  • Op apps gebaseerd beleid voor voorwaardelijke toegang gebruiken met Intune.

Een filter maken

Door een filter te maken, kunt u alleen beleidsinstellingen toepassen wanneer de criteria die zijn ingesteld in het filter, zodat u het toewijzingsbereik van een beleid kunt beperken. Met windows-app kunt u de volgende filters gebruiken:

• iOS/iPadOS:

  • Maak een filter voor beheerde apps voor niet-beheerde en beheerde apparaten.
  • Een filter voor beheerde apparaten maken voor beheerde apparaten.

• Androïde:

  • Maak een filter voor beheerde apps voor niet-beheerde en beheerde apparaten.

• Windows: Filters zijn niet van toepassing op Microsoft Edge in Windows.

Gebruik filters om het toewijzingsbereik van een beleid te beperken. Het maken van een filter is optioneel; Als u geen filter configureert, zijn dezelfde instellingen voor apparaatbeveiliging en apparaatomleiding van toepassing op een gebruiker, ongeacht of ze zich op een beheerd of onbeheerd apparaat bevinden. Wat u in een filter opgeeft, is afhankelijk van uw vereisten.

Zie Filters gebruiken bij het toewijzen van uw apps, beleid en profielen in Microsoft Intune en Eigenschappen van beheerde appfilters voor meer informatie over filters en hoe u deze kunt maken.

Een app-beveiligingsbeleid maken

Met app-beveiligingsbeleid kunt u bepalen hoe apps en apparaten gegevens openen en delen. U moet een afzonderlijk app-beveiligingsbeleid maken voor iOS/iPadOS, Android en Microsoft Edge in Windows. Configureer niet zowel iOS/iPadOS als Android in hetzelfde app-beveiligingsbeleid omdat u geen beleid kunt configureren op basis van beheerde en onbeheerde apparaten.

Selecteer het relevante tabblad.

iOS/iPadOS

Als u een beveiligingsbeleid voor apps wilt maken en toepassen, volgt u de stappen in Het maken en toewijzen van beveiligingsbeleid voor apps en gebruikt u de volgende instellingen:

• Maak een beveiligingsbeleid voor apps voor iOS/iPadOS.

• Selecteer op het tabblad Appsopenbare apps selecteren, zoek en selecteer Windows-app en selecteer vervolgens Selecteren.

• Op het tabblad Gegevensbeveiliging zijn alleen de volgende instellingen relevant voor Windows App. De andere instellingen zijn niet van toepassing omdat De Windows-app communiceert met de sessiehost en niet met gegevens in de app. Op mobiele apparaten zijn niet-goedgekeurde toetsenborden een bron van toetsaanslagen en diefstal.

  U kunt de volgende instellingen configureren:

  Maatstaf	Waarde/beschrijving
  Gegevensoverdracht
  Organisatiegegevens verzenden naar andere apps	Ingesteld op Geen om schermopnamebeveiliging in te schakelen. Zie Schermopnamebeveiliging inschakelen in Azure Virtual Desktop voor meer informatie over schermopnamebeveiliging in Azure Virtual Desktop.
  Knippen, kopiëren en plakken tussen andere apps beperken	Ingesteld op Geblokkeerd om omleiding van klembord uit te schakelen tussen Windows App en het lokale apparaat. Gebruiken met het uitschakelen van klembordomleiding in een app-configuratiebeleid.
  Toetsenborden van derden	Ingesteld op Geblokkeerd om toetsenborden van derden te blokkeren.

• Op het tabblad Voorwaardelijk starten raden we u aan de volgende voorwaarden toe te voegen:

  Conditie	Voorwaardetype	Waarde	Handeling
  Minimale app-versie	App-voorwaarde	Op basis van uw vereisten. Voer een versienummer in voor De Windows-app op iOS/iPadOS	Toegang blokkeren
  Minimale OS-versie	Apparaatvoorwaarde	Op basis van uw vereisten.	Toegang blokkeren
  Primaire MTD dienst	Apparaatvoorwaarde	Op basis van uw vereisten. Uw MTD-connector moet zijn ingesteld. Configureer Microsoft Defender voor Eindpunt in Intune voor Microsoft Defender voor Eindpunt.	Toegang blokkeren
  Maximaal toegestaan bedreigingsniveau voor apparaten	Apparaatvoorwaarde	Beveiligd	Toegang blokkeren

  Zie Voorwaardelijk starten in de beveiligingsbeleidsinstellingen voor iOS-apps voor meer informatie over de beschikbare instellingen.

• Wijs op het tabblad Toewijzingen het beleid toe aan uw beveiligingsgroep met de gebruikers waarop u het beleid wilt toepassen. U moet het beleid toepassen op een groep gebruikers om het beleid van kracht te laten worden. Voor elke groep kunt u optioneel een filter selecteren om gerichter te zijn in het richten van het app-configuratiebeleid.

Androïde

Als u een beveiligingsbeleid voor apps wilt maken en toepassen, volgt u de stappen in Het maken en toewijzen van beveiligingsbeleid voor apps en gebruikt u de volgende instellingen:

• Maak een app-beveiligingsbeleid voor Android.

• Selecteer op het tabblad Appsopenbare apps selecteren, zoek en selecteer Windows-app en selecteer vervolgens Selecteren.

• Op het tabblad Gegevensbeveiliging zijn alleen de volgende instellingen relevant voor Windows App. De andere instellingen zijn niet van toepassing omdat De Windows-app communiceert met de sessiehost en niet met gegevens in de app. Op mobiele apparaten zijn niet-goedgekeurde toetsenborden een bron van toetsaanslagen en diefstal.

  U kunt de volgende instellingen configureren:

  Maatstaf	Waarde/beschrijving
  Gegevensoverdracht
  Knippen, kopiëren en plakken tussen andere apps beperken	Ingesteld op Geblokkeerd om omleiding van klembord uit te schakelen tussen Windows App en het lokale apparaat. Gebruiken met het uitschakelen van klembordomleiding in een app-configuratiebeleid.
  Schermopname en Google-assistent	Ingesteld op Blokkeren om schermopnamebeveiliging en Google Assistant te blokkeren. Zie Schermopnamebeveiliging inschakelen in Azure Virtual Desktop voor meer informatie over schermopnamebeveiliging in Azure Virtual Desktop.
  Goedgekeurde toetsenborden	Stel toetsenborden in die moeten worden goedgekeurd vanuit de lijst of voeg aangepaste vermeldingen toe.

• Op het tabblad Voorwaardelijk starten raden we u aan de volgende voorwaarden toe te voegen:

  Conditie	Voorwaardetype	Waarde	Handeling
  Minimale app-versie	App-voorwaarde	Op basis van uw vereisten. Voer een versienummer in voor De Windows-app op Android.	Toegang blokkeren
  Minimale OS-versie	Apparaatvoorwaarde	Op basis van uw vereisten.	Toegang blokkeren
  Primaire MTD dienst	Apparaatvoorwaarde	Op basis van uw vereisten. Uw MTD-connector moet zijn ingesteld. Configureer Microsoft Defender voor Eindpunt in Intune voor Microsoft Defender voor Eindpunt.	Toegang blokkeren
  Maximaal toegestaan bedreigingsniveau voor apparaten	Apparaatvoorwaarde	Beveiligd	Toegang blokkeren

  Zie Voorwaardelijk starten in de beveiligingsbeleidsinstellingen voor Android-apps voor meer informatie over de beschikbare instellingen.

• Wijs op het tabblad Toewijzingen het beleid toe aan uw beveiligingsgroep met de gebruikers waarop u het beleid wilt toepassen. U moet het beleid toepassen op een groep gebruikers om het beleid van kracht te laten worden. Voor elke groep kunt u optioneel een filter selecteren om gerichter te zijn in het richten van het app-configuratiebeleid.

Webbrowser

Een app-beveiligingsbeleid maken en toepassen voor Microsoft Edge in Windows:

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Selecteer Apps en selecteer vervolgens onder Apps beherende optie Beveiliging.

3. Selecteer Maken en selecteer Windows. Het deelvenster Beleid maken wordt weergegeven.

4. Vul op het tabblad Basisinformatie de volgende informatie in:

   Maatstaf	Waarde/beschrijving
   Naam	Voer een naam in voor dit app-beveiligingsbeleid.
   Beschrijving	Voer desgewenst een beschrijving in.

   Nadat u dit tabblad hebt voltooid, selecteert u Volgende.

5. Op het tabblad Apps, selecteer Select apps. Zoek in het deelvenster dat wordt geopend naar Microsoft Edge en selecteer het, klik vervolgens op Selecteren. Zodra Microsoft Edge wordt weergegeven in uw lijst met geselecteerde apps, selecteert u Volgende.

6. Op het tabblad Gegevensbeveiliging kunt u de volgende instellingen configureren:

   Maatstaf	Waarde/beschrijving
   Gegevensoverdracht
   Gegevens ontvangen van	Ingesteld op Geen bronnen om stationomleiding uit te schakelen vanuit windows-app. U moet ook organisatiegegevens verzenden naar configureren.
   Organisatiegegevens verzenden naar	Ingesteld op Geen bestemmingen om schijfomleiding naar de Windows-app uit te schakelen. U moet ook Ontvangen-gegevens configureren van.
   Knippen, kopiëren en plakken toestaan voor	Stel in op Geen doel of bron om de omleiding van het Klembord tussen Windows App en het lokale apparaat uit te schakelen.
   Functionaliteit
   Organisatiegegevens afdrukken	Ingesteld op Blokkeren om afdrukken vanuit windows-app te voorkomen.

   Opmerking

   Dit scenario is gericht op Windows App in een webbrowser met Microsoft Edge met behulp van een app-beveiligingsbeleid. Dit verschilt van het gebruik van de systeemeigen geïnstalleerde versies van Windows App.

   • U kunt stationomleiding niet toestaan en afdrukken blokkeren. Afdrukken vanuit een externe sessie op internet is afhankelijk van de instellingen voor gegevensoverdracht. U kunt andere methoden gebruiken om afdrukken te blokkeren, zoals instellingen voor azure Virtual Desktop-hostgroepen of het configureren van sessiehosts of cloud-pc's in plaats van het lokale apparaat. U kunt ook een van de systeemeigen geïnstalleerde versies van De Windows-app gebruiken. Zie Printeromleiding configureren via Remote Desktop Protocol voor meer informatie.

   • U kunt stationomleiding blokkeren en afdrukken toestaan.

• Op het tabblad Statuscontroles raden we u aan de volgende voorwaarden toe te voegen:

  Conditie	Voorwaardetype	Waarde	Handeling
  Minimale app-versie	App-voorwaarde	Op basis van uw vereisten. Voer een versienummer in voor Microsoft Edge, met 134.0.3124.51 als de vroegste ondersteunde versie.	Toegang blokkeren
  Minimale OS-versie	Apparaatvoorwaarde	Op basis van uw vereisten. Voer een buildnummer in voor Windows in een van deze indelingen: major.minor, major.minor.build, major.minor.build.revisionbijvoorbeeld 10.0.26100.3476. U vindt Windows-buildnummers op de windows-releasestatus en selecteer de koppeling voor release-informatie voor elk besturingssysteem.	Toegang blokkeren
  Maximaal toegestaan bedreigingsniveau voor apparaten	Apparaatvoorwaarde	Beveiligd	Toegang blokkeren

  Zie Statuscontroles in instellingen voor app-beveiligingsbeleid voor Windows voor meer informatie over de beschikbare instellingen.

• Wijs op het tabblad Toewijzingen het beleid toe aan uw beveiligingsgroep met de gebruikers waarop u het beleid wilt toepassen. U moet het beleid toepassen op een groep gebruikers om het beleid van kracht te laten worden. Voor elke groep kunt u optioneel een filter selecteren om gerichter te zijn in het richten van het app-configuratiebeleid.

Beleid voor voorwaardelijke toegang maken

Met een beleid voor voorwaardelijke toegang kunt u de toegang tot Azure Virtual Desktop, Windows 365 en Microsoft Dev Box beheren op basis van specifieke criteria van de gebruiker die verbinding maakt en het apparaat dat ze gebruiken. U wordt aangeraden meerdere beleidsregels voor voorwaardelijke toegang te maken om gedetailleerde scenario's te bereiken op basis van uw vereisten. Enkele voorbeelden van beleidsregels staan in de volgende secties.

Belangrijk

Houd zorgvuldig rekening met het scala aan cloudservices, apparaten en versies van windows-apps die u wilt dat uw gebruikers deze kunnen gebruiken. Dit voorbeeld van beleid voor voorwaardelijke toegang omvat niet alle scenario's en u moet ervoor zorgen dat u de toegang per ongeluk niet blokkeert. U moet beleidsregels maken en instellingen aanpassen op basis van uw vereisten.

Als u beleid voor voorwaardelijke toegang wilt maken en toepassen, volgt u de stappen in Het beleid voor voorwaardelijke toegang op basis van apps instellen met Intune en gebruikt u de informatie en instellingen in de volgende voorbeelden.

Voorbeeld 1: Alleen toegang toestaan wanneer een app-beveiligingsbeleid wordt toegepast met Windows-app

In dit voorbeeld is alleen toegang toegestaan wanneer een app-beveiligingsbeleid wordt toegepast met Windows-app:

• Voor toewijzingen kiest u onder Gebruikers- of workloadidentiteiten voor 0 gebruikers of workloadidentiteiten geselecteerd, en selecteert u vervolgens de beveiligingsgroep met de gebruikers waarop het beleid moet worden toegepast. U moet het beleid toepassen op een groep gebruikers om het beleid van kracht te laten worden.

• Selecteer voor doelbronnen de optie om het beleid toe te passen op resources en selecteer vervolgens voor Opnemende optie Resources selecteren. Zoek en selecteer de volgende resources. U hebt deze resources alleen als u de relevante service in uw tenant hebt geregistreerd.

  Resourcenaam	Applicatie-ID	Opmerkingen
  Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	Het wordt in plaats daarvan Windows Virtual Desktop genoemd. Controleer met de toepassings-id.
  Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Ook van toepassing op Microsoft Dev Box.
  Aanmelding bij Windows Cloud	270efc09-cd0d-444b-a71f-39af4910ec45	Beschikbaar zodra een van de andere services is geregistreerd.

• Voor voorwaarden:

  • Selecteer Apparaatplatformen voor Configureren, Selecteer Ja en selecteer vervolgens onder Opnemenapparaatplatformen selecteren en iOS en Android controleren.
  • Selecteer Client-apps, selecteer Ja voor Configureren en schakel vervolgens browser- en mobiele apps en desktopclients in.

• Bij Toegangscontroles onder Toegang verlenen, selecteer 0 besturingselementen geselecteerd, vink vervolgens het vakje aan voor App-beveiligingsbeleid vereisen en selecteer het keuzerondje voor Alle geselecteerde besturingselementen vereisen.

• Voor Beleid inschakelen, zet het op Aan.

Voorbeeld 2: Een app-beveiligingsbeleid vereisen voor Windows-apparaten

In dit voorbeeld worden onbeheerde persoonlijke Windows-apparaten beperkt tot het gebruik van Microsoft Edge voor toegang tot een externe sessie met behulp van windows-apps in een webbrowser. Voor meer informatie over dit scenario, zie App-beveiligingsbeleid vereisen voor Windows-apparaten.

• Voor toewijzingen kiest u onder Gebruikers- of workloadidentiteiten voor 0 gebruikers of workloadidentiteiten geselecteerd, en selecteert u vervolgens de beveiligingsgroep met de gebruikers waarop het beleid moet worden toegepast. U moet het beleid toepassen op een groep gebruikers om het beleid van kracht te laten worden.

• Selecteer voor doelbronnen de optie om het beleid toe te passen op resources en selecteer vervolgens voor Opnemende optie Resources selecteren. Zoek en selecteer de volgende resources. U hebt deze resources alleen als u de relevante service in uw tenant hebt geregistreerd.

  Resourcenaam	Applicatie-ID	Opmerkingen
  Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	Het wordt in plaats daarvan Windows Virtual Desktop genoemd. Controleer met de toepassings-id.
  Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Ook van toepassing op Microsoft Dev Box.
  Aanmelding bij Windows Cloud	270efc09-cd0d-444b-a71f-39af4910ec45	Beschikbaar zodra een van de andere services is geregistreerd.

• Voor voorwaarden:

  • Selecteer Apparaatplatformen, voor Configureren, selecteer Ja, en selecteer vervolgens onder Opnemen, Selecteer apparaatplatformen en vink Windows aan.
  • Selecteer Client-apps, selecteer Ja voor Configureren en schakel browser in.

• Voor Toegangsbeheer selecteert u Toegang verlenen, schakelt u vervolgens het selectievakje Vereisen app-beveiligingsbeleid in en selecteert u het keuzerondje voor Vereisen van een van de geselecteerde besturingselementen.

• Voor Beleid inschakelen, zet het op Aan.

De configuratie controleren

Nu u Intune en voorwaardelijke toegang configureert om naleving van apparaatbeveiliging op persoonlijke apparaten te vereisen, kunt u uw configuratie controleren door verbinding te maken met een externe sessie. Wat u moet testen, is afhankelijk van of u beleidsregels hebt geconfigureerd die van toepassing zijn op ingeschreven of niet-ingeschreven apparaten, welke platforms en instellingen voor gegevensbeveiliging u instelt. Controleer of u alleen de acties kunt uitvoeren die u kunt uitvoeren overeenkomstig wat u verwacht.

Verwante inhoud

• Instellingen voor lokale apparaatomleiding beheren met Microsoft Intune