Beveiligings- en configuratieniveaus in Microsoft Intune

  • Artikel

Microsoft Intune biedt beheerders de mogelijkheid om beleid te maken dat wordt toegepast op gebruikers, apparaten en apps. Deze beleidsregels kunnen variëren van een minimumset tot veiliger of beheerd beleid. Deze beleidsregels zijn afhankelijk van de behoeften van de organisatie, de apparaten die worden gebruikt en wat de apparaten doen.

Wanneer u klaar bent om beleidsregels te maken, kunt u de verschillende beveiligings- en configuratieniveaus gebruiken:

Uw omgeving en bedrijfsbehoeften kunnen verschillende niveaus hebben gedefinieerd. U kunt deze niveaus als uitgangspunt gebruiken en ze vervolgens aanpassen aan uw behoeften. U kunt bijvoorbeeld het apparaatconfiguratiebeleid op niveau 1 en het app-beleid op niveau 3 gebruiken.

Kies de niveaus die geschikt zijn voor uw organisatie. Er is geen verkeerde keuze.

Niveau 1 - Minimale beveiliging en configuratie

Dit niveau bevat beleidsregels die elke organisatie minimaal moet hebben. Het beleid op dit niveau maakt een minimale basislijn van beveiligingsfuncties en geeft gebruikers toegang tot de resources die ze nodig hebben om hun taken uit te voeren.

Apps (niveau 1)

Dit niveau dwingt een redelijke hoeveelheid gegevensbeveiligings- en toegangsvereisten af, terwijl de impact op gebruikers wordt geminimaliseerd. Dit niveau zorgt ervoor dat apps worden beveiligd met een pincode en versleuteld en selectief wissen worden uitgevoerd. Voor Android-apparaten valideert dit niveau de attestation van Android-apparaten. Dit niveau is een configuratie op invoerniveau die vergelijkbare gegevensbeveiligingsbeheer biedt in Exchange Online postvakbeleid. It maakt ook kennis met het beveiligingsbeleid voor apps voor IT en de gebruikerspopulatie.

In dit niveau raadt Microsoft u aan de volgende beveiliging en toegang voor apps te configureren:

  • Basisvereisten voor gegevensbescherming inschakelen:

    • Overdracht van basisgegevens van apps toestaan
    • Eenvoudige app-versleuteling afdwingen
    • Basistoegangsfunctionaliteit toestaan

  • Basisvereisten voor toegang inschakelen:

    • Pincode, gezichts-id en biometrische toegang vereisen
    • Ondersteunende basistoegangsinstellingen afdwingen

  • Eenvoudige voorwaardelijke toepassing starten inschakelen:

    • Eenvoudige toegangspogingen voor apps configureren
    • Toegang tot apps blokkeren op basis van gekraakte/geroote apparaten
    • Toegang tot apps beperken op basis van basisintegriteit van apparaten

Zie App-beveiliging op niveau 1 voor meer informatie.

Naleving (niveau 1)

In dit niveau omvat apparaatcompatibiliteit het configureren van de tenantbrede instellingen die van toepassing zijn op alle apparaten en het implementeren van minimaal nalevingsbeleid op alle apparaten om een kernset nalevingsvereisten af te dwingen. Microsoft raadt aan dat deze configuraties aanwezig zijn voordat u apparaten toegang geeft tot de resources van uw organisatie. Apparaatcompatibiliteit op niveau 1 omvat:

Instellingen voor nalevingsbeleid zijn enkele tenantbrede instellingen die van invloed zijn op de werking van de Intune-complianceservice met uw apparaten.

Platformspecifiek nalevingsbeleid bevat instellingen voor algemene thema's op verschillende platforms. De werkelijke naam en implementatie van de instelling kunnen per platform verschillen:

  • Antivirus, antispyware en antimalware vereisen (alleen Windows)
  • Versie van besturingssysteem:
    • Maximum aantal besturingssysteem
    • Minimaal besturingssysteem
    • Secundaire en primaire buildversies
    • Patchniveaus voor het besturingssysteem
  • Wachtwoordconfiguraties
    • Vergrendelingsscherm afdwingen na een periode van inactiviteit, waarbij een wachtwoord of pincode is vereist om te ontgrendelen
    • Complexe wachtwoorden vereisen met combinaties van letters, cijfers en symbolen
    • Een wachtwoord of pincode vereisen om apparaten te ontgrendelen
    • Minimale wachtwoordlengte vereisen

Acties voor niet-naleving worden automatisch opgenomen in elk platformspecifiek beleid. Deze acties zijn een of meer tijdgeordend acties die u configureert en die van toepassing zijn op apparaten die niet voldoen aan de nalevingsvereisten van het beleid. Standaard is het markeren van een apparaat als niet-compatibel een onmiddellijke actie die is opgenomen in elk beleid.

Zie Niveau 1 - Minimale apparaatcompatibiliteit voor meer informatie.

Apparaatconfiguratie (niveau 1)

In dit niveau bevatten de profielen instellingen die zijn gericht op beveiliging en toegang tot resources. In dit niveau raadt Microsoft u aan de volgende functies te configureren:

  • Basisbeveiliging inschakelen, waaronder:

    • Antivirus en scannen
    • Detectie en reactie op bedreigingen
    • Firewall
    • Software-updates
    • Sterk pincode- en wachtwoordbeleid

  • Gebruikers toegang geven tot het netwerk:

    • E-mail
    • VPN voor externe toegang
    • Wi-Fi voor on-premises toegang

Ga voor meer informatie over deze beleidsregels op dit niveau naar Stap 4- Apparaatconfiguratieprofielen maken om apparaten te beveiligen en verbindingen met organisatieresources te maken.

Niveau 2 - Verbeterde beveiliging en configuratie

Dit niveau breidt de minimale set beleidsregels uit om meer beveiliging op te nemen en het beheer van uw mobiele apparaten uit te breiden. Het beleid op dit niveau beveiligt meer functies, biedt identiteitsbeveiliging en beheert meer apparaatinstellingen.

Gebruik de instellingen op dit niveau om toe te voegen wat u hebt gedaan in niveau 1.

Apps (niveau 2)

Dit niveau beveelt een standaardniveau van toepassingsbeveiliging aan voor apparaten waarop gebruikers toegang hebben tot meer gevoelige informatie. Dit niveau introduceert mechanismen voor het voorkomen van gegevenslekken in het app-beveiligingsbeleid en minimale vereisten voor het besturingssysteem. Dit niveau is de configuratie die van toepassing is op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens.

Naast instellingen voor niveau 1 raadt Microsoft u aan de volgende beveiliging en toegang voor apps te configureren:

  • Verbeterde vereisten voor gegevensbescherming inschakelen:

    • Organisatiegerelateerde gegevens overdragen
    • Vereisten voor gegevensoverdracht van geselecteerde apps uitsluiten (iOS/iPadOS)
    • Telecommunicatiegegevens overdragen
    • Knippen, kopiëren en plakken tussen apps beperken
    • Schermopname blokkeren (Android)

  • Verbeterde start van voorwaardelijke toepassingen inschakelen:

    • Het uitschakelen van toepassingsaccounts blokkeren
    • Minimale vereisten voor apparaatbesturingssystemen afdwingen
    • Minimale patchversie vereisen (Android)
    • Beoordelingstype play-integriteitsbeoordeling vereisen (Android)
    • Apparaatvergrendeling vereisen (Android)
    • App-toegang toestaan op basis van verhoogde integriteit van het apparaat

Zie Verbeterde app-beveiliging op niveau 2 voor meer informatie.

Naleving (niveau 2)

Op dit niveau raadt Microsoft aan complexere opties toe te voegen aan uw nalevingsbeleid. Veel van de instellingen op dit niveau hebben platformspecifieke namen die allemaal vergelijkbare resultaten opleveren. Hier volgen de categorieën of typen instellingen die Microsoft u aanbeveelt te gebruiken wanneer deze beschikbaar zijn:

  • Toepassingen:

    • Beheren waar apparaten apps downloaden, zoals Google Play voor Android
    • Apps van specifieke locaties toestaan
    • Apps van onbekende bronnen blokkeren

  • Firewall-instellingen

    • Firewallinstellingen (macOS, Windows)

  • Codering:

    • Versleuteling van gegevensopslag vereisen
    • BitLocker (Windows)
    • FileVault (macOS)

  • Wachtwoorden

    • Wachtwoord verlopen en opnieuw gebruiken

  • Bestands- en opstartbeveiliging op systeemniveau:

    • USB-foutopsporing blokkeren (Android)
    • Geroote of gekraakte apparaten blokkeren (Android, iOS)
    • Beveiliging van systeemintegriteit vereisen (macOS)
    • Code-integriteit vereisen (Windows)
    • Vereisen dat beveiligd opstarten is ingeschakeld (Windows)
    • Trusted Platform Module (Windows)

Zie Niveau 2 - Verbeterde instellingen voor apparaatnaleving voor meer informatie.

Apparaatconfiguratie (niveau 2)

In dit niveau breidt u de instellingen en functies uit die u hebt geconfigureerd in niveau 1. Microsoft raadt u aan beleidsregels te maken die:

  • Voeg nog een beveiligingslaag toe door schijfversleuteling, beveiligd opstarten en TPM op uw apparaten in te schakelen.
  • Configureer uw pincodes & wachtwoorden om te verlopen en te beheren of/wanneer wachtwoorden opnieuw kunnen worden gebruikt.
  • Gedetailleerdere apparaatfuncties, -instellingen en -gedrag configureren.
  • Als u on-premises GPO's hebt, kunt u bepalen of deze GPO's beschikbaar zijn in Intune.

Ga naar Niveau 2 - Verbeterde beveiliging en configuratie voor meer specifieke informatie over apparaatconfiguratiebeleid op dit niveau.

Niveau 3 - Hoge beveiliging en configuratie

Dit niveau omvat beleidsregels op ondernemingsniveau en kan verschillende beheerders in uw organisatie omvatten. Deze beleidsregels blijven overstappen op verificatie zonder wachtwoord, hebben meer beveiliging en configureren gespecialiseerde apparaten.

Gebruik de instellingen op dit niveau om toe te voegen wat u hebt gedaan in niveaus 1 en 2.

Apps (niveau 3)

Dit niveau beveelt een standaardniveau van toepassingsbeveiliging aan voor apparaten waarop gebruikers toegang hebben tot meer gevoelige informatie. Dit niveau introduceert geavanceerde mechanismen voor gegevensbeveiliging, verbeterde pincodeconfiguratie en app-beveiligingsbeleid Mobile Threat Defense. Deze configuratie is wenselijk voor gebruikers die toegang hebben tot gegevens met een hoog risico.

Naast de instellingen van niveau 1 en 2 raadt Microsoft u aan de volgende beveiliging en toegang voor apps te configureren:

  • Hoge vereisten voor gegevensbescherming inschakelen:

    • Hoge bescherming bij het overdragen van telecommunicatiegegevens
    • Alleen gegevens ontvangen van door beleid beheerde apps
    • Het openen van gegevens in organisatiedocumenten blokkeren
    • Gebruikers toestaan gegevens te openen vanuit geselecteerde services
    • Toetsenborden van derden blokkeren
    • Goedgekeurde toetsenborden vereisen/selecteren (Android)
    • Het afdrukken van organisatiegegevens blokkeren

  • Hoge toegangsvereisten inschakelen:

    • Eenvoudige pincode blokkeren en een specifieke minimale lengte van de pincode vereisen
    • Pincode opnieuw instellen na een aantal dagen vereisen
    • Biometrische gegevens van klasse 3 vereisen (Android 9.0+)
    • Onderdrukking van biometrische gegevens met pincode vereisen na biometrische updates (Android)

  • Hoog voorwaardelijk starten van toepassingen inschakelen:

    • Apparaatvergrendeling vereisen (Android)
    • Maximaal toegestaan bedreigingsniveau vereisen
    • Maximale versie van het besturingssysteem vereisen

Zie Hoge app-beveiliging op niveau 3 voor meer informatie.

Naleving (niveau 3)

Op dit niveau kunt u de ingebouwde nalevingsmogelijkheden van Intune uitbreiden via de volgende mogelijkheden:

  • Gegevens van MTD-partner (Mobile Threat Defense) integreren

    • Met een MTD-partner kan uw nalevingsbeleid vereisen dat apparaten zich op of onder een apparaatbedreigingsniveau of machinerisicoscore bevinden, zoals bepaald door die partner

  • Een externe compliancepartner gebruiken met Intune

  • Gebruik scripts om aangepaste nalevingsinstellingen toe te voegen aan uw beleid voor instellingen die niet beschikbaar zijn vanuit de Intune-gebruikersinterface. (Windows, Linux)

  • Gebruik nalevingsbeleidsgegevens met beleid voor voorwaardelijke toegang om toegang tot de resources van uw organisatie te gateen

Zie Niveau 3 - Geavanceerde configuraties voor apparaatnaleving voor meer informatie.

Apparaatconfiguratie (niveau 3)

Dit niveau is gericht op services en functies op ondernemingsniveau en kan een infrastructuurinvestering vereisen. Op dit niveau kunt u beleidsregels maken die:

  • Vouw verificatie zonder wachtwoord uit voor andere services in uw organisatie, waaronder verificatie op basis van certificaten, eenmalige aanmelding voor apps, meervoudige verificatie (MFA) en de Microsoft Tunnel VPN-gateway.

  • Vouw Microsoft Tunnel uit door Microsoft Tunnel for Mobile Application Management (Tunnel voor MAM) te implementeren, waarmee tunnelondersteuning wordt uitgebreid naar iOS- en Android-apparaten die niet zijn ingeschreven bij Intune. Tunnel voor MAM is beschikbaar als intune-invoegtoepassing.

    Zie Mogelijkheden van Intune Suite-invoegtoepassingen gebruiken voor meer informatie.

  • Apparaatfuncties configureren die van toepassing zijn op de Windows-firmwarelaag. Gebruik de algemene criteriamodus van Android.

  • Gebruik Intune-beleid voor Windows Local Administrator Password Solution (LAPS) om het ingebouwde lokale beheerdersaccount op uw beheerde Windows-apparaten te beveiligen.

    Zie Intune-ondersteuning voor Windows LAPS voor meer informatie.

  • Beveilig Windows-apparaten met behulp van Endpoint Privilege Management (EPM), waarmee u de gebruikers van uw organisatie kunt uitvoeren als standaardgebruikers (zonder beheerdersrechten), terwijl dezelfde gebruikers taken kunnen voltooien waarvoor verhoogde bevoegdheden zijn vereist.

    EPM is beschikbaar als een Intune-invoegtoepassing. Zie Mogelijkheden van Intune Suite-invoegtoepassingen gebruiken voor meer informatie.

  • Configureer gespecialiseerde apparaten, zoals kiosken en gedeelde apparaten.

  • Implementeer scripts, indien nodig.

Ga naar Niveau 3 - Hoge beveiliging en configuratie voor meer specifieke informatie over apparaatconfiguratiebeleid op dit niveau.

Volgende stappen

Voor een volledige lijst van alle apparaatconfiguratieprofielen die u kunt maken, gaat u naar Functies en instellingen toepassen op uw apparaten met behulp van apparaatprofielen in Microsoft Intune.