Delen via


Apparaten beheren met Intune Overview

Een belangrijk onderdeel van beveiliging op ondernemingsniveau omvat het beheren en beveiligen van apparaten. Of u nu een Zero Trust-beveiligingsarchitectuur opzet, uw omgeving tegen ransomware wilt beveiligen of bescherming wilt inbouwen ter ondersteuning van externe medewerkers, het beheer van apparaten is onderdeel van de strategie. Hoewel Microsoft 365 verschillende hulpprogramma's en methodologieën bevat voor het beheren en beveiligen van apparaten, worden in deze richtlijnen de aanbevelingen van Microsoft met behulp van Microsoft Intune uitgelegd. Dit is de juiste handleiding voor u als u:

  • Plan apparaten in te schrijven bij Intune via Microsoft Entra join (inclusief Microsoft Entra hybrid join).
  • Van plan bent om apparaten handmatig in te schrijven bij Intune.
  • Byod-apparaten met plannen toestaan om beveiliging voor apps en gegevens te implementeren en/of deze apparaten in te schrijven bij Intune.

Als uw omgeving daarentegen plannen voor co-beheer bevat, inclusief Microsoft Configuration Manager, raadpleegt u Documentatie voor co-beheer om het beste pad voor uw organisatie te ontwikkelen. Als uw omgeving plannen bevat voor Windows 365 Cloud-pc, bekijkt u Windows 365 Enterprise-documentatie om de beste aanpak voor uw organisatie te ontwikkelen.

Bekijk deze video voor een overzicht van het implementatieproces.

Waarom eindpunten beheren?

De moderne onderneming heeft een grote diversiteit aan eindpunten die toegang hebben tot hun gegevens. Deze installatie creëert een enorme kwetsbaarheid voor aanvallen en als gevolg hiervan kunnen eindpunten eenvoudig de zwakste schakel in uw Zero Trust-beveiligingsstrategie worden.

Vooral uit noodzaak omdat de wereld is overgeschakeld op een extern of hybride werkmodel, werken gebruikers nu meer dan ooit tevoren vanaf elke locatie en vanaf elk apparaat. Aanvallers passen hun tactiek snel aan om te profiteren van deze verandering. Veel organisaties worden geconfronteerd met beperkte middelen wanneer zij deze nieuwe zakelijke uitdagingen het hoofd moeten bieden. Vrijwel van de ene dag op de andere hebben bedrijven de digitale transformatie versneld. Simpel gezegd, de manier waarop mensen werken is veranderd. We verwachten niet langer toegang te hebben tot de talloze bedrijfsresources alleen vanuit het kantoor en op apparaten in bedrijfseigendom.

Inzicht krijgen in de eindpunten die toegang hebben tot uw bedrijfshulpbronnen is de eerste stap in uw Zero Trust-apparaatstrategie. Meestal beschermen bedrijven hun pc's proactief tegen kwetsbaarheden en aanvallen, terwijl mobiele apparaten vaak niet worden bewaakt en beschermd. Om te voorkomen dat uw gegevens aan risico's worden blootgesteld, moet elk eindpunt op risico's worden gecontroleerd en moet gedetailleerd toegangsbeheer worden toegepast om het juiste toegangsniveau te bieden op basis van het organisatiebeleid. Als een persoonlijk apparaat bijvoorbeeld is gekraakt, kunt u de toegang blokkeren om ervoor te zorgen dat bedrijfstoepassingen niet worden blootgesteld aan bekende beveiligingsproblemen.

In deze reeks artikelen wordt een aanbevolen proces beschreven voor het beheren van apparaten die toegang hebben tot uw resources. Als u de aanbevolen stappen volgt, krijgt uw organisatie een zeer geavanceerde bescherming voor uw apparaten en de resources waartoe ze toegang hebben.

De beschermingslagen op en voor apparaten implementeren

Het beveiligen van de gegevens en apps op apparaten en de apparaten zelf is een proces met meerdere lagen. Er zijn enkele beveiligingen die u kunt verkrijgen op onbeheerde apparaten. Nadat u apparaten in het beheer hebt opgenomen, kunt u meer geavanceerde besturingselementen implementeren. Wanneer bescherming tegen bedreigingen op al uw eindpunten wordt ingezet, krijgt u nog meer inzicht en de mogelijkheid om bepaalde aanvallen automatisch te herstellen. Ten slotte, als uw organisatie het werk heeft besteed aan het identificeren van gevoelige gegevens, het toepassen van classificatie en labels, en het configureren van Microsoft Purview-preventie van gegevensverlies-beleid, kunt u nog gedetailleerdere bescherming krijgen voor gegevens op uw eindpunten.

In het volgende diagram ziet u bouwstenen om een Zero Trust-beveiligingspostuur te bereiken voor Microsoft 365 en andere SaaS-apps die u in deze omgeving introduceert. De elementen met betrekking tot apparaten zijn genummerd van 1 tot en met 7. Apparaatbeheerders stemmen samen met andere beheerders om deze beveiligingslagen tot stand te brengen.

Desc.

In deze afbeelding:

  Stap Omschrijving Licentievereisten
1 Het startpunt van de Zero Trust-identiteits- en apparaattoegangsbeleid configureren Werk samen met uw identiteitsbeheerder aan het implementeren van gegevensbescherming op basis van app-beveiligingsbeleid (APP) op niveau 2. Voor dit beleid hoeft u geen apparaten te beheren. U configureert het APP-beleid in Intune. Uw identiteitsbeheerder configureert een beleid voor voorwaardelijke toegang om goedgekeurde apps te vereisen. E3, E5, F1, F3, F5
2 Apparaten inschrijven bij Intune Voor het implementeren van deze taak is meer planning en tijd nodig. Microsoft raadt aan Intune te gebruiken om apparaten in te schrijven, omdat dit hulpprogramma optimale integratie biedt. Er zijn verschillende opties voor het inschrijven van apparaten, afhankelijk van het platform. Windows-apparaten kunnen bijvoorbeeld worden ingeschreven met behulp van Microsoft Entra join of autopilot. U moet de opties voor elk platform bekijken en bepalen welke inschrijvingsoptie het beste is voor uw omgeving. Zie Stap 2. Apparaten inschrijven bij Intune voor meer informatie. E3, E5, F1, F3, F5
3 Compliancebeleid configureren U wilt er zeker van zijn dat apparaten die toegang hebben tot uw apps en gegevens aan minimale vereisten voldoen, bijvoorbeeld apparaten zijn met een wachtwoord of met een pincode beveiligd en het besturingssysteem is up-to-date. Met het compliancebeleid bepaalt u aan welke eisen apparaten moeten voldoen. Stap 3. Met het instellen van compliancebeleid kunt u dit beleid configureren. E3, E5, F3, F5
4 Het ondernemingsbeleid configureren (aanbevolen) Zero Trust identiteits- en apparaattoegangsbeleid Nu uw apparaten zijn geregistreerd, kunt u met uw identiteitsbeheerder werken aan het afstemmen van het beleid voor voorwaardelijke toegang om gezonde en compatibele apparaten te vereisen. E3, E5, F3, F5
5 Configuratieprofielen implementeren In tegenstelling tot het compliancebeleid voor apparaten, die een apparaat slechts markeren als al dan niet compatibel op basis van criteria die u instelt, wijzigen configuratieprofielen daadwerkelijk de configuratie van de instellingen op een apparaat. U kunt configuratiebeleid gebruiken om apparaten te beveiligen tegen cyberbedreigingen. Zie Stap 5. Configuratieprofielen implementeren. E3, E5, F3, F5
6 Apparaatrisico's en naleving van beveiligingsbasislijnen bewaken In deze stap verbindt u Intune met Microsoft Defender voor Eindpunt. Met deze integratie kunt u vervolgens apparaatrisico's bewaken als voorwaarde voor toegang. Apparaten die een riskante status hebben, worden geblokkeerd. U kunt ook de naleving van beveiligingsbasislijnen bewaken. Zie Stap 6. Apparaatrisico's en de naleving van beveiligingsbasislijnen bewaken. E5, F5
7 Preventie van gegevensverlies (DLP) implementeren met mogelijkheden voor informatiebeveiliging Als uw organisatie het werk heeft gedaan om gevoelige gegevens te identificeren en documenten te labelen, kunt u samenwerken met uw beheerder voor informatiebeveiliging om gevoelige informatie en documenten op uw apparaten te beveiligen. E5, F5 invoegtoepassing voor naleving

Het eindpuntbeheer coördineren met Zero Trust identiteits- en apparaattoegangsbeleid

Deze richtlijnen worden nauw gecoördineerd met het aanbevolen Zero Trust-identiteits- en apparaattoegangsbeleid. U werkt samen met uw identiteitsteam om beveiliging door te voeren die u configureert met Intune in beleid voor voorwaardelijke toegang in Microsoft Entra ID.

Hier ziet u een afbeelding van de aanbevolen beleidsset met stapsgewijze toelichtingen voor het werk dat u gaat doen in Intune en het gerelateerde beleid voor voorwaardelijke toegang dat u in Microsoft Entra ID gaat coördineren.

Zero Trust beleid voor identiteit en apparaattoegang.

In deze afbeelding:

  • In stap 1, Het implementeren van app-beveiligingsbeleid (APP) op niveau 2, configureert u het aanbevolen niveau van gegevensbescherming met APP-beleid. Vervolgens werkt u samen met uw identiteitsteam om de gerelateerde regel voor voorwaardelijke toegang te configureren om gebruik van deze beveiliging te vereisen.
  • In stap 2, 3 en 4 stelt u apparaten in voor het beheer met Intune, definieert u beleidsregels voor apparaatcompliance en coördineert u vervolgens met uw identiteitsteam om de gerelateerde regel voorwaardelijke toegang zo te configureren dat alleen compatibele apparaten kunnen worden gebruikt.

Apparaten inschrijven versus apparaten onboarden

Als u deze richtlijnen volgt, registreert u apparaten voor beheer met behulp van Intune en onboardt u apparaten voor de volgende Microsoft 365-mogelijkheden:

  • Microsoft Defender voor Eindpunt
  • Microsoft Purview (voor preventie van gegevensverlies van eindpunten (DLP))

In de volgende afbeelding wordt meer informatie gegeven over hoe dit werkt met Intune.

Proces voor het inschrijven en onboarden van apparaten.

In de afbeelding:

  1. Apparaten inschrijven voor beheer met Intune.
  2. Gebruik Intune om apparaten te onboarden naar Defender for Endpoint.
  3. Apparaten die zijn ingeschreven bij Defender voor Eindpunten, worden ook ingeschreven voor Microsoft Purview-functies, waaronder Endpoint DLP.

Houd er rekening mee dat alleen Intune apparaten beheert. Onboarding verwijst naar de mogelijkheid voor een apparaat om informatie te delen met een specifieke service. De volgende tabel bevat een overzicht van de verschillen tussen het inschrijven van apparaten voor beheer- en het onboarden van apparaten voor een specifieke service.

  Inschrijven Onboard
Omschrijving Inschrijving is van toepassing op het beheren van apparaten. Apparaten zijn ingeschreven voor beheer met Intune of Configuration Manager. Onboarding configureert een apparaat om te werken met een specifieke set mogelijkheden in Microsoft 365. Op dit moment is onboarding van toepassing op de nalevingsmogelijkheden van Microsoft Defender for Eindpunt en Microsoft.

Op Windows-apparaten omvat onboarding het in- of uitschakelen van een instelling in Windows Defender waarmee Defender verbinding kan maken met de onlineservice en beleid kan accepteren dat van toepassing is op het apparaat.
Bereik Met deze hulpprogramma's voor apparaatbeheer wordt het hele apparaat beheerd, inclusief het configureren van het apparaat om te voldoen aan specifieke doelstellingen, zoals beveiliging. Onboarding is alleen van invloed op de services die van toepassing zijn.
Aanbevolen methode Microsoft Entra join registreert apparaten automatisch bij Intune. Intune is de voorkeursmethode voor het onboarden van apparaten voor het Windows Defender voor Eindpunten, en daarmee de mogelijkheden van Microsoft Purview.

Houd er rekening mee dat apparaten die met andere methoden worden toegevoegd aan Microsoft Purview-mogelijkheden, niet automatisch worden ingeschreven voor Defender voor Eindpunt.
Andere methoden Andere registratiemethoden zijn afhankelijk van het platform van het apparaat en of het BYOD is of wordt beheerd door uw organisatie. Andere methoden voor het onboarden van apparaten zijn, in de aanbevolen volgorde:
  • Configuration Manager
  • Ander hulpprogramma voor mobiel apparaatbeheer (als het apparaat er door één wordt beheerd)
  • Lokaal script
  • VDI-configuratiepakket voor onboarding van niet-permanente VDI-apparaten (Virtual Desktop Infrastructure)
  • Groepsbeleid
  • Training voor beheerders

    De volgende bronnen helpen beheerders concepten te leren over het gebruik van Intune.

    • Apparaatbeheer vereenvoudigen met Microsoft Intune trainingsmodule

      Meer informatie over hoe de oplossingen voor bedrijfsbeheer via Microsoft 365 mensen een veilige, gepersonaliseerde bureaubladervaring bieden en organisaties helpen bij het eenvoudig beheren van updates voor alle apparaten met een vereenvoudigde beheerervaring.

    • Microsoft Intune evalueren

      Microsoft Intune helpt u bij het beveiligen van de apparaten, apps en gegevens die de mensen in uw organisatie gebruiken om productief te zijn. In dit artikel wordt uitgelegd hoe u Microsoft Intune instelt. De installatie omvat het controleren van de ondersteunde configuraties, het registreren voor Intune, het toevoegen van gebruikers en groepen, het toewijzen van licenties aan gebruikers, het verlenen van beheerdersmachtigingen en het instellen van de MDM-instantie (Mobile Apparaatbeheer).

    Volgende stap

    Ga naar stap 1. App-beveiligingsbeleid implementeren.