Beveiligingsbeleid voor apparaten maken in Basismobiliteit en -beveiliging
U kunt Basismobiliteit en -beveiliging gebruiken om apparaatbeleid te maken waarmee uw organisatiegegevens op Microsoft 365 worden beschermd tegen onbevoegde toegang. U kunt beleid toepassen op elk mobiel apparaat in uw organisatie waarbij de gebruiker van het apparaat een toepasselijke Microsoft 365-licentie heeft en het apparaat heeft ingeschreven in Basismobiliteit en -beveiliging.
Voordat u begint
Belangrijk
Voordat u een beleid voor mobiele apparaten kunt maken, moet u Basismobiliteit en -beveiliging activeren en instellen. Zie Overzicht van Basismobiliteit en -beveiliging voor Microsoft 365 voor meer informatie.
- Meer informatie over de apparaten, apps voor mobiele apparaten en beveiligingsinstellingen die Basismobiliteit en -beveiliging ondersteunt. Zie Mogelijkheden van Basismobiliteit en -beveiliging.
- Maak beveiligingsgroepen met Microsoft 365-gebruikers waarvoor u beleid wilt implementeren voor en voor gebruikers die u mogelijk wilt uitsluiten van geblokkeerde toegang tot Microsoft 365. We raden u aan om voordat u een nieuw beleid in uw organisatie implementeert, het beleid te testen door het te implementeren voor een klein aantal gebruikers. U kunt een beveiligingsgroep maken en gebruiken die alleen uzelf of een klein aantal Microsoft 365-gebruikers omvat die het beleid voor u kunnen testen. Zie Een beveiligingsgroep maken, bewerken of verwijderen voor meer informatie over beveiligingsgroepen.
- Als u Basismobiliteit en -beveiliging-beleid wilt maken en implementeren in Microsoft 365, moet u een globale beheerder van Microsoft 365 zijn. Zie Rollen en rolgroepen in Microsoft Defender en Microsoft Purview-naleving voor meer informatie.
- Voordat u beleidsregels implementeert, moet u uw organisatie laten weten wat de mogelijke gevolgen zijn van het inschrijven van een apparaat in Basismobiliteit en -beveiliging. Afhankelijk van hoe u het beleid instelt, kunnen niet-compatibele apparaten worden geblokkeerd voor toegang tot Microsoft 365 en gegevens, waaronder geïnstalleerde toepassingen, foto's en persoonlijke gegevens op een ingeschreven apparaat, en kunnen gegevens worden verwijderd.
Opmerking
Beleidsregels en toegangsregels die zijn gemaakt in Basismobiliteit en -beveiliging voor Microsoft 365 Business Standard overschrijven Exchange ActiveSync postvakbeleid voor mobiele apparaten en regels voor apparaattoegang die zijn gemaakt in het Exchange-beheercentrum. Nadat een apparaat is ingeschreven bij Basismobiliteit en -beveiliging voor Microsoft 365 Business Standard, wordt elk Exchange ActiveSync postvakbeleid voor mobiele apparaten of apparaattoegangsregel die op het apparaat wordt toegepast, genegeerd. Zie Exchange ActiveSync in Exchange Online voor meer informatie over Exchange ActiveSync.
Stap 1: een apparaatbeleid maken en implementeren in een testgroep
Voordat u kunt beginnen, moet u ervoor zorgen dat u Basismobiliteit en -beveiliging hebt geactiveerd en ingesteld. Zie Overzicht van Basismobiliteit en -beveiliging voor instructies.
Ga vanuit uw browser naar https://compliance.microsoft.com/basicmobilityandsecurity.
Selecteer maken op het tabblad Beleid.
Voeg op de pagina Beleidsnaam een naam en een beschrijving toe en selecteer Volgende.
Geef op de pagina Toegangsvereisten de vereisten op die u wilt toepassen op mobiele apparaten in uw organisatie en selecteer Volgende.
Selecteer op de pagina Configuraties de configuratievereisten voor uw organisatie en selecteer Volgende.
Kies op de pagina Implementatie een beveiligingsgroep waarop u dit beleid wilt toepassen.
Controleer uw selecties op de pagina Controleren en kies Verzenden.
Het beleid wordt gepusht naar het apparaat van elke gebruiker. Het beleid is van toepassing op de volgende keer dat ze zich aanmelden bij Microsoft 365 met hun mobiele apparaat. Als gebruikers nog geen beleid hebben toegepast op hun mobiele apparaat, krijgen ze nadat u het beleid hebt geïmplementeerd een melding op hun apparaat met de stappen voor het inschrijven en activeren van Basismobiliteit en -beveiliging. Zie Uw mobiele apparaat inschrijven met Basismobiliteit en -beveiliging voor meer informatie. Totdat de inschrijving is voltooid in Basismobiliteit en -beveiliging gehost door de Intune Service, wordt de toegang tot e-mail, OneDrive en andere services beperkt. Nadat ze de inschrijving hebben voltooid met behulp van de Intune-bedrijfsportal-app, kunnen ze de services gebruiken en wordt het beleid toegepast op hun apparaat.
Stap 2: controleren of uw beleid werkt
Nadat u een apparaatbeleid hebt gemaakt, controleert u of het beleid werkt zoals verwacht voordat u het implementeert in uw organisatie.
- Ga vanuit uw browser naar https://compliance.microsoft.com/basicmobilityandsecurity.
- Selecteer De lijst met beheerde apparaten weergeven.
- Controleer de status van gebruikersapparaten waarop het beleid is toegepast. U wilt dat de status van apparaten wordt beheerd.
- U kunt ook een apparaat volledig of selectief wissen door te klikken op Fabrieksinstellingen of Bedrijfsgegevens verwijderen uit de knop Beheren nadat u een apparaat hebt geselecteerd. Zie Een mobiel apparaat wissen in Basismobiliteit en -beveiliging voor instructies.
Stap 3: een beleid implementeren in uw organisatie
Nadat u een apparaatbeleid hebt gemaakt en hebt gecontroleerd of het werkt zoals verwacht, implementeert u het in uw organisatie.
- Typ in uw browser: https://compliance.microsoft.com/basicmobilityandsecurity.
- Selecteer het beleid dat u wilt implementeren en kies Bewerken naast Toegepaste groepen.
- Search om een groep toe te voegen en klik op Selecteren.
- Selecteer Instelling sluiten en wijzigen.
- Selecteer Beleid sluiten en bewerken.
Het beleid wordt gepusht naar het mobiele apparaat van elke gebruiker, het beleid is van toepassing op de volgende keer dat ze zich aanmelden bij Microsoft 365 vanaf hun mobiele apparaat. Als gebruikers geen beleid hebben toegepast op hun mobiele apparaat, krijgen ze een melding op hun apparaat met stappen om het in te schrijven en te activeren voor Basismobiliteit en -beveiliging. Nadat ze de inschrijving hebben voltooid, wordt het beleid toegepast op hun apparaat. Zie Uw mobiele apparaat inschrijven met Basismobiliteit en -beveiliging voor meer informatie.
Stap 4: e-mailtoegang blokkeren voor niet-ondersteunde apparaten
Om de gegevens van uw organisatie te beveiligen, moet u app-toegang tot Microsoft 365-e-mail blokkeren voor mobiele apparaten die niet worden ondersteund door Basismobiliteit en -beveiliging. Zie Ondersteunde apparaten voor een lijst met ondersteunde apparaten.
Toegang tot apps blokkeren:
Typ https://compliance.microsoft.com/basicmobilityandsecurityin uw browser .
Selecteer Instellingen voor apparaattoegang voor de hele organisatie beheren.
Als u niet-ondersteunde apparaten wilt blokkeren, kiest u Toegang onder Als een apparaat niet wordt ondersteund door Basismobiliteit en -beveiliging voor Microsoft 365 en selecteert u vervolgens Opslaan.
Stap 5: beveiligingsgroepen kiezen die moeten worden uitgesloten van controles voor voorwaardelijke toegang
Als u sommige personen wilt uitsluiten van controles voor voorwaardelijke toegang op hun mobiele apparaten en u een of meer beveiligingsgroepen voor die personen hebt gemaakt, voegt u de beveiligingsgroepen hier toe. Voor de personen in deze groepen wordt geen beleid afgedwongen voor hun ondersteunde mobiele apparaten. Dit is de aanbevolen optie als u Basismobiliteit en -beveiliging in uw organisatie niet meer wilt gebruiken.
Typ https://compliance.microsoft.com/basicmobilityandsecurityin uw browser .
Selecteer Instellingen voor apparaattoegang voor de hele organisatie beheren.
Selecteer Toevoegen om de beveiligingsgroep toe te voegen met gebruikers die u wilt uitsluiten van geblokkeerde toegang tot Microsoft 365. Wanneer een gebruiker aan deze lijst is toegevoegd, heeft deze toegang tot e-mail van Microsoft 365 wanneer deze een niet-ondersteund apparaat gebruikt.
Selecteer de beveiligingsgroep die u wilt gebruiken in het deelvenster Groep selecteren .
Selecteer de naam en vervolgens Opslaan toevoegen>.
Kies in het deelvenster Instellingen voor apparaattoegang voor de hele organisatiede optie Opslaan.
Wat is de impact van beveiligingsbeleid op verschillende apparaattypen?
Wanneer u een beleid toepast op gebruikersapparaten, verschilt de impact op elk apparaat enigszins per apparaattype. Zie de volgende tabel voor voorbeelden van de impact van beleid op verschillende apparaten.
| Veiligheidsbeleid | Android | Samsung KNOX | iOS | Opmerkingen |
|---|---|---|---|---|
| Versleutelde back-up vereisen | Nee | Ja | Ja | Met iOS versleutelde back-up is vereist. |
| Cloudback-up blokkeren | Ja | Ja | Ja | Google-back-up blokkeren op Android (grijs weergegeven), cloudback-up in iOS onder supervisie. |
| Documentsynchronisatie blokkeren | Nee | Nee | Ja | iOS: documenten in de cloud blokkeren op iOS-apparaten onder supervisie. |
| Fotosynchronisatie blokkeren | Nee | Nee | Ja | iOS (systeemeigen): Foto-Stream blokkeren. |
| Schermopname blokkeren | Nee | Ja | Ja | Geblokkeerd bij poging. |
| Videoconferentie blokkeren | Nee | Nee | Ja | FaceTime is geblokkeerd op iOS-apparaten onder supervisie, niet op Skype of andere apparaten. |
| Het verzenden van diagnostische gegevens blokkeren | Nee | Ja | Ja | Het verzenden van een Google-crashrapport op Android blokkeren. |
| Toegang tot de App Store blokkeren | Nee | Ja | Ja | App Store-pictogram ontbreekt op de Android-startpagina, uitgeschakeld op Windows en iOS-apparaten onder supervisie. |
| Wachtwoord vereisen voor App Store | Nee | Nee | Ja | iOS: wachtwoord vereist voor iTunes-aankopen. |
| Verbinding met verwisselbare opslag blokkeren | Nee | Ja | N.v.t. | Android: SD-kaart wordt grijs weergegeven in instellingen, Windows meldt de gebruiker dat geïnstalleerde apps niet beschikbaar zijn |
| Bluetooth-verbinding blokkeren | Notities bekijken | Notities bekijken | Ja | BlueTooth kan niet worden uitgeschakeld als instelling op Android. In plaats daarvan schakelen we alle transacties uit waarvoor BlueTooth is vereist: Geavanceerde audiodistributie, audio-/video-afstandsbediening, handsfreeapparaten, headset, telefoonboektoegang en seriële poort. Onder aan de pagina wordt een klein pop-upbericht weergegeven wanneer een van deze berichten wordt gebruikt. |
Wat gebeurt er wanneer u een beleid verwijdert of een gebruiker uit het beleid verwijdert?
Wanneer u een beleid verwijdert of een gebruiker verwijdert uit een groep waarop het beleid is geïmplementeerd, worden de beleidsinstellingen, het Microsoft 365-e-mailprofiel en e-mailberichten in de cache mogelijk verwijderd van het apparaat van de gebruiker. Zie de volgende tabel om te zien wat er wordt verwijderd voor de verschillende apparaattypen.
| Wat is verwijderd | iOS | Android (inclusief Samsung KNOX) |
|---|---|---|
| Beheerde e-mailprofielen1 | Ja | Nee |
| Cloudback-up blokkeren | Ja | Nee |
1 Als het beleid is geïmplementeerd met de optie Email profiel wordt beheerd geselecteerd, worden het beheerde e-mailprofiel en de e-mailberichten in dat profiel in de cache verwijderd van het gebruikersapparaat.
Het beleid wordt verwijderd van het mobiele apparaat voor elke gebruiker. Het beleid is van toepassing op de volgende keer dat het apparaat wordt ingecheckt met Basismobiliteit en -beveiliging. Als u een nieuw beleid implementeert dat van toepassing is op deze gebruikersapparaten, wordt ze gevraagd zich opnieuw in te schrijven in Basismobiliteit en -beveiliging.
U kunt een apparaat ook volledig wissen of selectief organisatiegegevens van het apparaat wissen. Zie Een mobiel apparaat wissen in Basismobiliteit en -beveiliging voor meer informatie.
Verwante onderwerpen
Overzicht van Basismobiliteit en -beveiliging (artikel)
Mogelijkheden van Basismobiliteit en -beveiliging (artikel)
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor