Veelgebruikte manieren om Voorwaardelijke toegang te gebruiken met Intune

Er zijn twee typen beleidsregels voor voorwaardelijke toegang die u kunt gebruiken met Intune: voorwaardelijke toegang op basis van apparaten en op apps gebaseerde voorwaardelijke toegang. Als u elk beleid wilt ondersteunen, moet u het gerelateerde Intune-beleid configureren. Wanneer het Intune beleid van kracht is en geïmplementeerd, kunt u voorwaardelijke toegang gebruiken om bijvoorbeeld toegang tot Exchange toe te staan of te blokkeren, de toegang tot uw netwerk te beheren of te integreren met een Mobile Threat Defense-oplossing.

De informatie in dit artikel kan u helpen inzicht te hebben in het gebruik van de Intune mogelijkheden voor naleving van mobiele apparaten en de Intune mam-mogelijkheden (Mobile Application Management).

Opmerking

Voorwaardelijke toegang is een Azure Active Directory-functie (Azure AD) die deel uitmaakt van een Azure AD Premium-licentie. Intune verbetert deze mogelijkheid door naleving van mobiele apparaten en beheer van mobiele apps toe te voegen aan de oplossing. Het knooppunt voor voorwaardelijke toegang dat vanuit Intune wordt geopend, is hetzelfde knooppunt als dat wordt geopend vanuit Azure AD.

Voorwaardelijke toegang op basis van apparaten

Intune en Azure AD samenwerken om ervoor te zorgen dat alleen beheerde en compatibele apparaten toegang hebben tot de e-mail van uw organisatie, Microsoft 365-services, SaaS-apps (Software as a Service) en on-premises apps. Daarnaast kunt u een beleid instellen in Azure AD om alleen aan een domein gekoppelde computers of mobiele apparaten die zijn ingeschreven bij Intune toegang te geven tot Microsoft 365-services.

Met Intune implementeert u nalevingsbeleid voor apparaten om te bepalen of een apparaat voldoet aan uw verwachte configuratie- en beveiligingsvereisten. De evaluatie van het nalevingsbeleid bepaalt de nalevingsstatus van apparaten, die wordt gerapporteerd aan zowel Intune als Azure AD. Het is Azure AD dat beleid voor voorwaardelijke toegang de nalevingsstatus van een apparaat kan gebruiken om beslissingen te nemen over het toestaan of blokkeren van toegang tot de resources van uw organisatie vanaf dat apparaat.

Op apparaten gebaseerd beleid voor voorwaardelijke toegang voor Exchange Online en andere Microsoft 365-producten wordt geconfigureerd via het Microsoft Endpoint Manager-beheercentrum.

Opmerking

Wanneer u Apparaatgebaseerde toegang inschakelt voor inhoud die gebruikers openen vanuit browser-apps op hun Android-apparaten met een werkprofiel in persoonlijk eigendom, moeten gebruikers die zich vóór januari 2021 hebben geregistreerd als volgt browsertoegang inschakelen:

  1. Start de Bedrijfsportal-app.
  2. Ga naar de pagina Instellingen in het menu.
  3. Tik in de sectie Browsertoegang inschakelen op de knop INSCHAKELEN .
  4. Sluit de browser-app en start deze opnieuw op.

Dit biedt toegang in browser-apps, maar niet tot browserweergaven die binnen apps worden geopend.

Toepassingen die beschikbaar zijn in voorwaardelijke toegang voor het beheren van Microsoft Intune

Wanneer u voorwaardelijke toegang configureert in de Azure AD-portal, kunt u uit twee toepassingen kiezen:

  1. Microsoft Intune: deze toepassing beheert de toegang tot de Microsoft Endpoint Manager-console en gegevensbronnen. Configureer subsidies/besturingselementen voor deze toepassing wanneer u de Microsoft Endpoint Manager-console en gegevensbronnen wilt gebruiken.
  2. Microsoft Intune-inschrijving: deze toepassing bepaalt de inschrijvingswerkstroom. Configureer subsidies/besturingselementen voor deze toepassing wanneer u het inschrijvingsproces wilt instellen. Zie Meervoudige verificatie vereisen voor Intune apparaatinschrijvingen voor meer informatie.

Voorwaardelijke toegang op basis van netwerktoegangsbeheer

Intune integreert met partners zoals Cisco ISE, Aruba Clear Pass en Citrix NetScaler om toegangsbeheer te bieden op basis van de Intune inschrijving en de nalevingsstatus van het apparaat.

Gebruikers kunnen toegang tot zakelijke Wi-Fi of VPN-resources krijgen, afhankelijk van of het apparaat dat ze gebruiken wordt beheerd en voldoet aan Intune nalevingsbeleid voor apparaten.

Voorwaardelijke toegang op basis van apparaatrisico

Intune werkt samen met Mobile Threat Defense-leveranciers die een beveiligingsoplossing bieden voor het detecteren van malware, Trojaanse paarden en andere bedreigingen op mobiele apparaten.

Hoe de integratie van Intune en Mobile Threat Defense werkt

Wanneer op mobiele apparaten de Mobile Threat Defense-agent is geïnstalleerd, stuurt de agent berichten over de nalevingsstatus terug naar Intune rapporteert wanneer er een bedreiging wordt gevonden op het mobiele apparaat zelf.

De integratie van Intune en mobile threat defense speelt een rol bij de beslissingen over voorwaardelijke toegang op basis van apparaatrisico's.

Voorwaardelijke toegang voor Windows-pc's

Voorwaardelijke toegang voor pc's biedt mogelijkheden die vergelijkbaar zijn met die voor mobiele apparaten. Laten we het eens hebben over de manieren waarop u voorwaardelijke toegang kunt gebruiken bij het beheren van pc's met Intune.

Bedrijfseigendom

  • Hybride Azure AD toegevoegd: deze optie wordt vaak gebruikt door organisaties die redelijk vertrouwd zijn met hoe ze hun pc's al beheren via AD-groepsbeleid of Configuration Manager.

  • Azure AD domein toegevoegd en Intune beheren: dit scenario is voor organisaties die cloud-first willen zijn (dat wil gezegd, voornamelijk cloudservices gebruiken, met als doel het gebruik van een on-premises infrastructuur te verminderen) of alleen in de cloud (geen on-premises infrastructuur). Azure AD Join werkt goed in een hybride omgeving en biedt toegang tot zowel cloud- als on-premises apps en resources. Het apparaat wordt lid van het Azure AD en wordt ingeschreven bij Intune. Dit kan worden gebruikt als criterium voor voorwaardelijke toegang bij het openen van bedrijfsresources.

Bring Your Own Device (BYOD)

  • Beheer van werkplekdeelname en Intune: hier kunnen gebruikers hun persoonlijke apparaten koppelen om toegang te krijgen tot bedrijfsresources en -services. U kunt werkplekdeelname gebruiken en apparaten inschrijven bij Intune MDM om beleid op apparaatniveau te ontvangen. Dit is een andere optie om criteria voor voorwaardelijke toegang te evalueren.

Meer informatie over Apparaatbeheer in Azure Active Directory.

Op apps gebaseerde voorwaardelijke toegang

Intune en Azure AD werken samen om ervoor te zorgen dat alleen beheerde apps toegang hebben tot zakelijke e-mail of andere Microsoft 365-services.

Voorwaardelijke toegang voor Exchange on-premises Intune

Voorwaardelijke toegang kan worden gebruikt om toegang tot Exchange on-premises toe te staan of te blokkeren op basis van het nalevingsbeleid voor apparaten en de inschrijvingsstatus. Wanneer voorwaardelijke toegang wordt gebruikt in combinatie met een nalevingsbeleid voor apparaten, hebben alleen compatibele apparaten toegang tot Exchange On-premises.

U kunt geavanceerde instellingen in voorwaardelijke toegang configureren voor gedetailleerdere controle, zoals:

  • Bepaalde platforms toestaan of blokkeren.

  • Blokkeer onmiddellijk apparaten die niet worden beheerd door Intune.

Elk apparaat dat wordt gebruikt voor toegang tot Exchange on-premises, wordt gecontroleerd op naleving wanneer het apparaatcompatibiliteits- en beleid voor voorwaardelijke toegang worden toegepast.

Wanneer apparaten niet voldoen aan de voorwaarden die zijn ingesteld, wordt de eindgebruiker begeleid door het proces van registratie van het apparaat om het probleem op te lossen waardoor het apparaat niet compatibel is.

Opmerking

Vanaf juli 2020 wordt de ondersteuning voor de Exchange-connector afgeschaft en vervangen door HMA ( Hybrid Modern Authentication ) van Exchange. Voor het gebruik van HMA is geen Intune vereist om de Exchange-connector in te stellen en te gebruiken. Met deze wijziging is de gebruikersinterface voor het configureren en beheren van de Exchange Connector voor Intune verwijderd uit het Microsoft Endpoint Manager-beheercentrum, tenzij u al een Exchange-connector gebruikt met uw abonnement.

Als u een Exchange-connector hebt ingesteld in uw omgeving, blijft uw Intune-tenant ondersteund voor het gebruik ervan en blijft u toegang hebben tot de gebruikersinterface die de configuratie ondersteunt. Zie Exchange On-premises connector installeren voor meer informatie. U kunt de connector blijven gebruiken of HMA configureren en vervolgens de connector verwijderen.

Hybride moderne verificatie biedt functionaliteit die eerder werd geleverd door de Exchange Connector voor Intune: toewijzing van een apparaat-id aan de Exchange-record. Deze toewijzing vindt nu plaats buiten een configuratie die u maakt in Intune of de vereiste van de Intune-connector om Intune en Exchange te overbruggingen. Met HMA is de vereiste voor het gebruik van de specifieke configuratie 'Intune' (de connector) verwijderd.

Wat is de Intune rol?

Intune evalueert en beheert de apparaatstatus.

Wat is de Exchange-serverfunctie?

Exchange Server biedt API en infrastructuur om apparaten in quarantaine te plaatsen.

Belangrijk

Houd er rekening mee dat aan de gebruiker die het apparaat gebruikt een nalevingsprofiel en Intune licentie moet zijn toegewezen, zodat het apparaat kan worden geëvalueerd op naleving. Als er geen nalevingsbeleid is geïmplementeerd voor de gebruiker, wordt het apparaat behandeld als compatibel en worden er geen toegangsbeperkingen toegepast.

Volgende stappen

Voorwaardelijke toegang configureren in Azure Active Directory

Beleid voor voorwaardelijke toegang op basis van apps instellen

Een beleid voor voorwaardelijke toegang maken voor Exchange on-premises