Gegevensbescherming voor Windows MAM
U kunt beveiligde MAM-toegang (Mobile Application Management) tot organisatiegegevens op persoonlijke Windows-apparaten inschakelen. Deze mogelijkheid maakt gebruik van de volgende functionaliteit:
- Intune Application Configuration Policies (ACP) om de gebruikerservaring van de organisatie aan te passen
- Intune Application Protection Policies (APP) om organisatiegegevens te beveiligen en ervoor te zorgen dat het clientapparaat in orde is
- Windows-beveiliging Center client threat defense geïntegreerd met Intune APP om lokale gezondheidsbedreigingen op persoonlijke Windows-apparaten te detecteren
- Voorwaardelijke toegang van Application Protection om ervoor te zorgen dat het apparaat wordt beveiligd en in orde is voordat u beveiligde servicetoegang verleent via Microsoft Entra ID
Notitie
Intune Mobile Application Management (MAM) voor Windows is beschikbaar voor Windows 10, build 19045.3636, KB5031445 of hoger en Windows 11, build 10.0.22621.2506, KB5031455 (22H2) of hoger. Dit omvat de ondersteunende wijzigingen voor Microsoft Intune (release 2309), Microsoft Edge (v117 stabiele vertakking en hoger voor Windows 11 en v118.0.2088.71 en hoger voor Windows 11) en Windows-beveiliging Center (v 1.0.2310.2002 en hoger). Voorwaardelijke toegang voor App Protection is algemeen beschikbaar.
Windows MAM wordt ondersteund in cloudomgevingen van de overheid. Zie Apps implementeren met Intune in de GCC High- en DoD-omgevingen voor gerelateerde informatie.
Zie Mobile Application Management (MAM) basics (Mobile Application Management) voor meer informatie over MAM.
Notitie
De MTD-connector (Mobile Threat Defense) voor het onderdeel Windows-beveiliging Center (WSC) wordt alleen ondersteund op Windows 11 versie 22631 (23H2) of hoger.
Zowel eindgebruikers als organisaties moeten beveiligde organisatorische toegang hebben vanaf persoonlijke apparaten. Organisaties moeten ervoor zorgen dat bedrijfsgegevens worden beveiligd op persoonlijke, onbeheerde apparaten. Als Intune-beheerder hebt u de verantwoordelijkheid om te bepalen hoe leden (eindgebruikers) van uw organisatie op een beveiligde manier toegang krijgen tot bedrijfsresources vanaf een niet-beheerd apparaat. U moet er bij het openen van organisatiegegevens voor zorgen dat de niet-beheerde apparaten in orde zijn, dat de toepassingen voldoen aan het beveiligingsbeleid van uw organisatiegegevens en dat de niet-beheerde assets van de eindgebruiker op hun apparaat niet worden beïnvloed door het beleid van uw organisatie.
Als beheerder van de Intune moet u beschikken over de volgende functionaliteit voor app-beheer:
- Mogelijkheid om app-beveiligingsbeleid te implementeren voor apps/gebruikers die worden beveiligd door de Intune APP SDK, waaronder het volgende:
- Instellingen voor gegevensbeveiliging
- Instellingen voor statuscontroles (ook wel voorwaardelijk starten genoemd)
- Mogelijkheid om app-beveiligingsbeleid te vereisen via voorwaardelijke toegang
- De mogelijkheid om aanvullende clientstatusverificatie uit te voeren via Windows-beveiliging center door het volgende te doen:
- Het risiconiveau van Windows-beveiliging Center aanwijzen om eindgebruikers toegang te geven tot bedrijfsresources
- Tenantconnector instellen voor Microsoft Intune voor Windows-beveiliging Center
- Mogelijkheid om een opdracht voor selectief wissen te implementeren in beveiligde toepassingen
Leden van uw organisatie (eindgebruikers) verwachten de volgende functionaliteit voor hun account te hebben:
- De mogelijkheid om u aan te melden bij Microsoft Entra ID toegang te krijgen tot sites die worden beveiligd met voorwaardelijke toegang
- Mogelijkheid om de status van het clientapparaat te controleren, in het geval dat een apparaat als beschadigd wordt beschouwd
- De mogelijkheid om toegang tot resources in te trekken wanneer een apparaat beschadigd blijft
- Mogelijkheid om te worden geïnformeerd, met duidelijke herstelstappen, wanneer de toegang wordt beheerd door een beheerdersbeleid
Notitie
Zie Een app-beveiligingsbeleid vereisen op Windows-apparaten voor informatie met betrekking tot Microsoft Entra ID.
Het voorkomen van gegevensverlies is een onderdeel van het beveiligen van uw organisatiegegevens. Preventie van gegevensverlies (DLP) is alleen effectief als uw organisatiegegevens niet toegankelijk zijn vanaf een niet-beveiligd systeem of apparaat. App Protection Voorwaardelijke toegang maakt gebruik van voorwaardelijke toegang (CA) om ervoor te zorgen dat app-beveiligingsbeleid (APP) wordt ondersteund en afgedwongen in een clienttoepassing voordat toegang wordt toegestaan tot beveiligde resources (zoals organisatiegegevens). MET APP-CA kunnen eindgebruikers met persoonlijke Windows-apparaten door APP beheerde toepassingen, waaronder Microsoft Edge, toegang krijgen tot Microsoft Entra resources zonder hun persoonlijke apparaat volledig te beheren.
Deze MAM-service synchroniseert de nalevingsstatus per gebruiker, per app en per apparaat met de Microsoft Entra CA-service. Dit omvat de bedreigingsinformatie die is ontvangen van mtd-leveranciers (Mobile Threat Defense) te beginnen met Windows-beveiliging Center.
Notitie
Deze MAM-service maakt gebruik van dezelfde werkstroom voor naleving van voorwaardelijke toegang die wordt gebruikt voor het beheren van Microsoft Edge op iOS- en Android-apparaten.
Wanneer er een wijziging wordt gedetecteerd, werkt de MAM-service de nalevingsstatus van het apparaat onmiddellijk bij. De service bevat ook mtd-status als onderdeel van de nalevingsstatus.
Notitie
De MAM-service evalueert de MTD-status in de service. Dit gebeurt onafhankelijk van de MAM-client en het clientplatform.
De MAM-client communiceert de status van de client (of statusmetagegevens) naar de MAM-service bij het inchecken. De status omvat eventuele fouten in app-statuscontroles voor voorwaarden voor blokkeren of wissen . Daarnaast begeleidt Microsoft Entra ID eindgebruikers door herstelstappen wanneer ze toegang proberen te krijgen tot een geblokkeerde CA-resource.
Organisaties kunnen Microsoft Entra beleid voor voorwaardelijke toegang gebruiken om ervoor te zorgen dat gebruikers alleen toegang hebben tot werk- of schoolinhoud met door beleid beheerde toepassingen in Windows. Hiervoor hebt u een beleid voor voorwaardelijke toegang nodig dat is gericht op alle potentiële gebruikers. Volg de stappen in Een app-beveiligingsbeleid vereisen op Windows-apparaten, waardoor Microsoft Edge voor Windows is toegestaan, maar andere webbrowsers geen verbinding kunnen maken met Microsoft 365-eindpunten.
Met voorwaardelijke toegang kunt u zich ook richten op on-premises sites die u beschikbaar hebt gemaakt voor externe gebruikers via de Microsoft Entra-toepassingsproxy.
De status van een apparaat in persoonlijk eigendom wordt gecontroleerd voordat toegang tot uw organisatiegegevens wordt toegestaan. MAM-bedreigingsdetectie kan worden verbonden met Windows-beveiliging Center. Windows-beveiliging Center biedt een evaluatie van de status van clientapparaten voor Intune APP via een service-naar-service-connector. Deze evaluatie ondersteunt het beperken van de stroom en toegang tot organisatiegegevens op persoonlijke onbeheerde apparaten.
De status bevat de volgende details:
- Gebruikers-, app- en apparaat-id's
- Een vooraf gedefinieerde status
- De tijd van de laatste statusupdate
De status wordt alleen verzonden voor gebruikers die zijn ingeschreven bij MAM. Eindgebruikers kunnen stoppen met het verzenden van gegevens door zich af te melden bij hun organisatieaccount in beveiligde toepassingen. Beheerders kunnen het verzenden van gegevens stoppen door de Windows-beveiliging Connector uit Microsoft Intune te verwijderen.
Zie Een MTD-app-beveiligingsbeleid voor Windows maken voor gerelateerde informatie.
App-beveiligingsbeleid (APP) definieert welke apps zijn toegestaan en welke acties ze kunnen uitvoeren met de gegevens van uw organisatie. Met de beschikbare opties in APP kunnen organisaties de beveiliging aanpassen aan hun specifieke behoeften. Voor sommigen is het mogelijk niet duidelijk welke beleidsinstellingen vereist zijn om een volledig scenario te implementeren.
Als beheerder kunt u configureren hoe gegevens worden beveiligd via APP. Deze configuratie is van toepassing op de systeemeigen interactie van de Windows-toepassing met de gegevens. APP-instellingen zijn onderverdeeld in drie categorieën:
- Gegevensbescherming : met deze instellingen bepaalt u hoe gegevens naar en uit een organisatiecontext (account, document, locatie, services) voor de gebruiker kunnen worden verplaatst.
- Statuscontroles (voorwaardelijk starten): deze instellingen bepalen de apparaatvoorwaarden die nodig zijn voor toegang tot organisatiegegevens en de herstelacties als niet aan de voorwaarden wordt voldaan.
Om organisaties te helpen prioriteit te geven aan beveiliging van clienteindpunten, heeft Microsoft taxonomie geïntroduceerd voor het app-gegevensbeveiligingsframework voor het beheer van mobiele apps.
Als u de specifieke aanbevelingen wilt zien voor elk configuratieniveau en de minimale apps die moeten worden beveiligd, raadpleegt u Het framework voor gegevensbescherming met behulp van app-beveiligingsbeleid.
Zie Beveiligingsbeleidsinstellingen voor Windows-apps voor meer informatie over de beschikbare instellingen.