Delen via

Beveiligings- en configuratieniveaus in Microsoft Intune

  • Artikel

Microsoft Intune biedt beheerders de mogelijkheid om beleidsregels te maken die worden toegepast op gebruikers, apparaten en apps. Deze beleidsregels kunnen variëren van een minimumset tot veiliger of beheerd beleid. Deze beleidsregels zijn afhankelijk van de behoeften van de organisatie, de apparaten die worden gebruikt en wat de apparaten doen.

Wanneer u klaar bent om beleidsregels te maken, kunt u de verschillende beveiligings- en configuratieniveaus gebruiken:

Uw omgeving en bedrijfsbehoeften kunnen verschillende niveaus hebben gedefinieerd. U kunt deze niveaus als uitgangspunt gebruiken en ze vervolgens aanpassen aan uw behoeften. U kunt bijvoorbeeld het apparaatconfiguratiebeleid op niveau 1 en het app-beleid op niveau 3 gebruiken.

Kies de niveaus die geschikt zijn voor uw organisatie. Er is geen verkeerde keuze.

Niveau 1 - Minimale beveiliging en configuratie

Dit niveau bevat beleidsregels die elke organisatie minimaal moet hebben. Het beleid op dit niveau maakt een minimale basislijn van beveiligingsfuncties en geeft gebruikers toegang tot de resources die ze nodig hebben om hun taken uit te voeren.

Apps (niveau 1)

Dit niveau dwingt een redelijke hoeveelheid gegevensbeschermings- en toegangsvereisten af en minimaliseert onderbrekingen door eindgebruikers. Dit niveau zorgt ervoor dat apps worden beveiligd met een pincode & basisversleuteling en selectieve wisbewerkingen worden uitgevoerd. Voor Android-apparaten valideert dit niveau de attestation van Android-apparaten. Dit niveau is een configuratie op instapniveau die vergelijkbare gegevensbeveiligingsbeheer biedt in Exchange Online-postvakbeleidsregels. It- en eindgebruikers maken ook kennis met het beveiligingsbeleid voor apps.

In dit niveau raadt Microsoft u aan de volgende beveiliging en toegang voor apps te configureren:

  • Basisvereisten voor gegevensbescherming inschakelen

    • Overdracht van basisgegevens van apps toestaan
    • Eenvoudige app-versleuteling afdwingen
    • Basistoegangsfunctionaliteit toestaan

  • Basisvereisten voor toegang inschakelen

    • Pincode, gezichts-id en biometrische toegang vereisen
    • Ondersteunende basistoegangsinstellingen afdwingen

  • Basisstart van voorwaardelijke toepassing inschakelen

    • Eenvoudige toegangspogingen voor apps configureren
    • Toegang tot apps blokkeren op basis van gekraakte/geroote apparaten
    • Toegang tot apps beperken op basis van basisintegriteit van apparaten

Ga voor meer informatie naar Niveau 1 basis-app-beveiliging.

Naleving (niveau 1)

Op dit niveau configureert apparaatcompatibiliteit de tenantbrede instellingen die van toepassing zijn op alle apparaten. U implementeert ook minimale nalevingsbeleidsregels op alle apparaten om een kernset nalevingsvereisten af te dwingen.

Microsoft raadt aan dat deze configuraties aanwezig zijn voordat u apparaten toegang geeft tot de resources van uw organisatie. Apparaatcompatibiliteit op niveau 1 omvat:

  • Instellingen voor nalevingsbeleid zijn enkele tenantbrede instellingen die van invloed zijn op de werking van de Intune-complianceservice met uw apparaten.

  • Platformspecifiek nalevingsbeleid bevat instellingen voor algemene thema's op verschillende platforms. De werkelijke naam en implementatie van de instelling kunnen variëren, afhankelijk van de verschillende platforms:

    • Antivirus, antispyware en antimalware vereisen (alleen Windows)
    • Versie van besturingssysteem
      • Maximum aantal besturingssysteem
      • Minimaal besturingssysteem
      • Secundaire en primaire buildversies
      • Patchniveaus voor het besturingssysteem
    • Wachtwoordconfiguraties
      • Vergrendelingsscherm afdwingen na een periode van inactiviteit, waarbij een wachtwoord of pincode is vereist om te ontgrendelen
      • Complexe wachtwoorden vereisen met combinaties van letters, cijfers en symbolen
      • Een wachtwoord of pincode vereisen om apparaten te ontgrendelen
      • Minimale wachtwoordlengte vereisen

  • Acties voor niet-naleving worden automatisch opgenomen in elk platformspecifiek beleid. Deze acties zijn een of meer tijdgeordend acties die u configureert. Ze zijn van toepassing op de apparaten die niet voldoen aan de nalevingsvereisten van uw beleid. Standaard is het markeren van een apparaat als niet-compatibel een onmiddellijke actie die bij elk beleid hoort.

Ga voor meer informatie naar Niveau 1 - Minimale apparaatcompatibiliteit.

Apparaatconfiguratie (niveau 1)

In dit niveau bevatten de profielen instellingen die zijn gericht op beveiliging en toegang tot resources. In dit niveau raadt Microsoft u aan de volgende functies te configureren:

  • Basisbeveiliging inschakelen, waaronder:

    • Antivirus en scannen
    • Detectie en reactie op bedreigingen
    • Firewall
    • Software-updates
    • Sterk pincode- en wachtwoordbeleid

  • Gebruikers toegang geven tot het netwerk:

    • E-mail
    • VPN voor externe toegang
    • Wi-Fi voor on-premises toegang

Ga voor meer informatie naar Stap 4 - Apparaatconfiguratieprofielen maken om apparaten te beveiligen en verbindingen met organisatieresources te maken.

Niveau 2 - Verbeterde beveiliging en configuratie

Dit niveau breidt de minimale set beleidsregels uit om meer beveiliging op te nemen en het beheer van uw mobiele apparaten uit te breiden. Het beleid op dit niveau beveiligt meer functies, biedt identiteitsbeveiliging en beheert meer apparaatinstellingen.

Gebruik de instellingen op dit niveau om toe te voegen wat u hebt geconfigureerd in niveau 1.

Apps (niveau 2)

Dit niveau beveelt een standaardniveau van toepassingsbeveiliging aan voor apparaten waarop gebruikers toegang hebben tot meer gevoelige informatie. Dit niveau introduceert mechanismen voor het voorkomen van gegevenslekken in het app-beveiligingsbeleid en minimale vereisten voor het besturingssysteem. Dit niveau is de configuratie die van toepassing is op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens.

Naast instellingen voor niveau 1 raadt Microsoft u aan de volgende beveiliging en toegang voor apps te configureren:

  • Verbeterde vereisten voor gegevensbescherming inschakelen

    • Organisatiegerelateerde gegevens overdragen
    • Vereisten voor gegevensoverdracht van geselecteerde apps uitsluiten (iOS/iPadOS)
    • Telecommunicatiegegevens overdragen
    • Knippen, kopiëren en plakken tussen apps beperken
    • Schermopname blokkeren (Android)

  • Verbeterde voorwaardelijke toepassing starten inschakelen

    • Het uitschakelen van toepassingsaccounts blokkeren
    • Minimale vereisten voor apparaatbesturingssystemen afdwingen
    • Minimale patchversie vereisen (Android)
    • Beoordelingstype play-integriteitsbeoordeling vereisen (Android)
    • Apparaatvergrendeling vereisen (Android)
    • App-toegang toestaan op basis van verhoogde integriteit van het apparaat

Ga voor meer informatie naar Verbeterde app-beveiliging op niveau 2.

Naleving (niveau 2)

Op dit niveau raadt Microsoft aan gedetailleerdere opties toe te voegen aan uw nalevingsbeleid. Veel van de instellingen op dit niveau hebben platformspecifieke namen die allemaal vergelijkbare resultaten opleveren. Hier volgen de categorieën of typen instellingen die Microsoft u aanbeveelt te gebruiken wanneer deze beschikbaar zijn:

  • Toepassingen

    • Beheren waar apparaten apps downloaden, zoals Google Play voor Android
    • Apps van specifieke locaties toestaan
    • Apps van onbekende bronnen blokkeren

  • Firewall-instellingen

    • Firewallinstellingen (macOS, Windows)

  • Versleuteling

    • Versleuteling van gegevensopslag vereisen
    • BitLocker (Windows)
    • FileVault (macOS)

  • Wachtwoorden

    • Wachtwoord verlopen en opnieuw gebruiken

  • Bestands- en opstartbeveiliging op systeemniveau

    • USB-foutopsporing blokkeren (Android)
    • Geroote of gekraakte apparaten blokkeren (Android, iOS)
    • Beveiliging van systeemintegriteit vereisen (macOS)
    • Code-integriteit vereisen (Windows)
    • Vereisen dat beveiligd opstarten is ingeschakeld (Windows)
    • Trusted Platform Module (Windows)

Ga voor meer informatie naar Niveau 2 - Instellingen voor verbeterde apparaatnaleving.

Apparaatconfiguratie (niveau 2)

In dit niveau breidt u de instellingen en functies uit die u hebt geconfigureerd in niveau 1. Microsoft raadt u aan beleidsregels te maken die:

  • Voeg nog een beveiligingslaag toe door schijfversleuteling, beveiligd opstarten en TPM (Trusted Platform Module) in te schakelen op uw apparaten.
  • Configureer uw pincodes & wachtwoorden om te verlopen en te beheren of/wanneer wachtwoorden opnieuw kunnen worden gebruikt.
  • Gedetailleerdere apparaatfuncties, -instellingen en -gedrag configureren.
  • Bepaal of er on-premises groepsbeleidsobjecten (GPO's) beschikbaar zijn in Intune.

Ga naar Niveau 2 - Verbeterde beveiliging en configuratie voor meer specifieke informatie over apparaatconfiguratiebeleid op dit niveau.

Niveau 3 - Hoge beveiliging en configuratie

Dit niveau omvat beleidsregels op ondernemingsniveau en kan verschillende beheerders in uw organisatie omvatten. Deze beleidsregels blijven overstappen op verificatie zonder wachtwoord, hebben meer beveiliging en configureren gespecialiseerde apparaten.

Gebruik de instellingen op dit niveau om toe te voegen wat u hebt geconfigureerd in niveaus 1 en 2.

Apps (niveau 3)

Dit niveau beveelt een standaardniveau van toepassingsbeveiliging aan voor apparaten waarop gebruikers toegang hebben tot meer gevoelige informatie. Dit niveau introduceert geavanceerde gegevensbeveiliging, verbeterde pincodeconfiguratie en app-beveiligingsbeleid met Mobile Threat Defense. Deze configuratie is bedoeld voor gebruikers die toegang hebben tot gegevens met een hoog risico.

Naast de instellingen van niveau 1 en 2 raadt Microsoft u aan de volgende beveiliging en toegang voor apps te configureren:

  • Hoge vereisten voor gegevensbescherming inschakelen

    • Hoge bescherming bij het overdragen van telecommunicatiegegevens
    • Alleen gegevens ontvangen van door beleid beheerde apps
    • Het openen van gegevens in organisatiedocumenten blokkeren
    • Gebruikers toestaan gegevens te openen vanuit geselecteerde services
    • Ongewenste partner- of niet-Microsoft-toetsenborden blokkeren
    • Goedgekeurde toetsenborden vereisen/selecteren (Android)
    • Het afdrukken van organisatiegegevens blokkeren

  • Hoge toegangsvereisten inschakelen

    • Eenvoudige pincode blokkeren en een specifieke minimale lengte van de pincode vereisen
    • Pincode opnieuw instellen na een aantal dagen vereisen
    • Biometrische gegevens van klasse 3 vereisen (Android 9.0+)
    • Onderdrukking van biometrische gegevens met pincode vereisen na biometrische updates (Android)

  • Hoog voorwaardelijk starten van toepassingen inschakelen

    • Apparaatvergrendeling vereisen (Android)
    • Maximaal toegestaan bedreigingsniveau vereisen
    • Maximale versie van het besturingssysteem vereisen

Ga voor meer informatie naar Hoge app-beveiliging op niveau 3.

Naleving (niveau 3)

Op dit niveau kunt u de ingebouwde nalevingsfuncties van Intune uitbreiden via de volgende mogelijkheden:

  • Gegevens van MTD-partner (Mobile Threat Defense) integreren

    • Met een MTD-partner kan uw nalevingsbeleid vereisen dat apparaten zich op of onder een apparaatbedreigingsniveau of machinerisicoscore bevinden, zoals bepaald door die partner.

  • Gebruik een niet-Microsoft-compliancepartner met Intune.

  • Gebruik scripts om aangepaste nalevingsinstellingen toe te voegen aan uw beleid voor instellingen die niet beschikbaar zijn vanuit de Intune-gebruikersinterface. (Windows, Linux)

  • Gebruik nalevingsbeleidsgegevens met beleid voor voorwaardelijke toegang om toegang tot de resources van uw organisatie te instellen.

Ga voor meer informatie naar Niveau 3 - Geavanceerde configuraties voor apparaatnaleving.

Apparaatconfiguratie (niveau 3)

Dit niveau is gericht op services en functies op ondernemingsniveau en kan een infrastructuurinvestering vereisen. Op dit niveau kunt u beleidsregels maken die:

  • Vouw verificatie zonder wachtwoord uit voor andere services in uw organisatie, waaronder verificatie op basis van certificaten, eenmalige aanmelding voor apps, meervoudige verificatie (MFA) en de Microsoft Tunnel VPN-gateway.

  • Vouw Microsoft Tunnel uit door Microsoft Tunnel for Mobile Application Management (Tunnel voor MAM) te implementeren, waarmee tunnelondersteuning wordt uitgebreid naar iOS- en Android-apparaten die niet zijn ingeschreven bij Intune. Tunnel voor MAM is beschikbaar als intune-invoegtoepassing.

    Ga naar Mogelijkheden van Intune Suite-invoegtoepassingen gebruiken voor meer informatie.

  • Apparaatfuncties configureren die van toepassing zijn op de Windows-firmwarelaag. Gebruik de algemene criteriamodus van Android.

  • Gebruik Intune-beleid voor Windows Local Administrator Password Solution (LAPS) om het ingebouwde lokale beheerdersaccount op uw beheerde Windows-apparaten te beveiligen.

    Ga voor meer informatie naar Intune-ondersteuning voor Windows LAPS.

  • Windows-apparaten beveiligen met Behulp van Endpoint Privilege Management (EPM). EPM helpt u bij het uitvoeren van de gebruikers van uw organisatie als standaardgebruikers (zonder beheerdersrechten) en stelt diezelfde gebruikers in staat taken uit te voeren waarvoor verhoogde bevoegdheden zijn vereist.

    EPM is beschikbaar als een Intune-invoegtoepassing. Ga naar Mogelijkheden van Intune Suite-invoegtoepassingen gebruiken voor meer informatie.

  • Configureer gespecialiseerde apparaten, zoals kiosken en gedeelde apparaten.

  • Implementeer scripts, indien nodig.

Ga naar Niveau 3 - Hoge beveiliging en configuratie voor meer specifieke informatie over apparaatconfiguratiebeleid op dit niveau.

Gerelateerd artikel

Ga naar Functies en instellingen toepassen op uw apparaten met apparaatprofielen in Microsoft Intune voor een volledige lijst met alle apparaatconfiguratieprofielen die u kunt maken.