Apps beveiligen en beveiligen met Microsoft Intune
Zodra u de mogelijkheden van Intune hebt ingesteld en geïmplementeerd, de apps hebt toegevoegd die u wilt beheren aan Intune en de apps hebt geconfigureerd die u in Intune beheert, kunt u beginnen met het maken van app-beveiligingsbeleid. App-beveiliging beleid (APP) zijn regels die ervoor zorgen dat de gegevens van uw organisatie veilig blijven en in een beheerde app zijn opgenomen. Dit beleid dwingt af hoe uw eindgebruikers toegang krijgen tot 'zakelijke' gegevens en hoe u acties kunt beheren die niet zijn toegestaan of bewaakt wanneer eindgebruikers de app gebruiken. Met deze afdwinging kunt u bepalen hoe gegevens worden geopend en gedeeld door apps op mobiele apparaten in uw organisatie.
De inhoud in deze oplossing helpt u inzicht te krijgen in de verschillende aspecten van app-beveiliging voor elk van de ondersteunde platforms. Daarnaast helpt deze oplossing u bij het maken van uw app-beveiligingsbeleid op basis van onze aanbevolen instellingen voor eenvoudige, verbeterde en hoogwaardige app-beveiliging.
Beheerde apps zijn apps die u hebt toegewezen aan gebruikers via een geïntegreerde provider voor eindpuntbeheer, zoals Intune. Beheerde apps ondersteunen app-beveiligingsbeleid en app-configuratiebeleid. Deze apps maken gebruik van Mobile Application Management (MAM) dat wordt geleverd door de geïntegreerde eindpuntbeheerprovider. MET MAM kunnen organisaties hun gegevens in een toepassing beheren en beveiligen. Een beheerde app in Intune is een beveiligde app waarop intune-app-beveiligingsbeleid is toegepast en die wordt toegewezen en beheerd door Intune. Een beheerde app heeft de Intune App SDK geïntegreerd of is verpakt met de Intune Wrapping Tool ter ondersteuning van app-beveiligingsbeleid (APP) en/of app-configuratiebeleid. U kunt MAM-beleid gebruiken om apps te configureren en te beveiligen op niet-beheerde apparaten. Dit zijn de persoonlijke apparaten van uw eindgebruiker die niet zijn ingeschreven bij Intune.
Tip
Zie Migratiehandleiding: Instellen of verplaatsen naar Microsoft Intune voor informatie over wanneer u MAM-beleid kunt implementeren.
Het gebruik van app-beveiligingsbeleid biedt het voordeel van het beveiligen van de gegevens van uw organisatie op app-niveau. Voor eindgebruikers wordt de productiviteit niet beïnvloed en is het beveiligingsbeleid voor apps niet van toepassing wanneer eindgebruikers de app in een persoonlijke context gebruiken. Er zijn verschillende situaties waarin u doorgaans app-beveiligingsbeleid moet gebruiken. Als uw eindgebruikers bijvoorbeeld hun persoonlijke apparaat gebruiken, kunt u een app-beveiligingsbeleid gebruiken om de toegang tot de app te beheren met behulp van een pincode. Mogelijk wilt u beperkingen voor het delen van gegevens afdwingen zodat de gegevens van uw organisatie niet worden gedeeld met niet-beheerde apps. U kunt ook voorkomen dat eindgebruikers organisatiegegevens opslaan op persoonlijke locaties. Zie Voordelen van het gebruik van App-beveiliging-beleid voor meer informatie.
Belangrijk
U kunt Intune gebruiken om een Zero Trust beveiligingsstrategie voor uw organisatie af te dwingen. Zero Trust is een benadering die u kunt gebruiken bij het ontwerpen en implementeren van een set beveiligingsprincipes. Zie Zero Trust met Microsoft Intune en Zero Trust identiteits- en apparaattoegangsconfiguraties voor meer informatie.
Organisaties kunnen tegelijkertijd app-beveiligingsbeleid met en zonder Mobile Apparaatbeheer (MDM) gebruiken. Denk bijvoorbeeld aan een eindgebruiker (werknemer of lid van de organisatie) die zowel een telefoon van het bedrijf als een eigen persoonlijke tablet gebruikt. De door de organisatie uitgegeven telefoon wordt ingeschreven bij MDM en beveiligd door app-beveiligingsbeleid, terwijl het persoonlijke apparaat alleen wordt beveiligd door app-beveiligingsbeleid.
Ondersteunde platformen
Er zijn drie primaire platforms die worden ondersteund bij het maken van een app-beveiligingsbeleid in Intune.
| Platform | Beschrijving |
|---|---|
| iOS/iPadOS | U kunt app-beveiligingsbeleid toepassen op iOS-/iPadOS-apps die zijn ontwikkeld ter ondersteuning van intune-mogelijkheden voor app-beveiliging. U kunt app-beveiliging toepassen op groepen gebruikers die zich aanmelden bij iOS-/iPadOS-apparaten. Met name kunt u app-beveiliging toepassen op basis van gegevensbeveiliging, toegangsvereisten en instellingen voor voorwaardelijk starten binnen een app-beveiligingsbeleid voor iOS/iPadOS. Zie beveiligingsbeleidsinstellingen voor iOS-apps in Microsoft Intune voor meer informatie. |
| Android | U kunt app-beveiligingsbeleid toepassen op Android-apps die zijn ontwikkeld ter ondersteuning van intune-mogelijkheden voor app-beveiliging. U kunt app-beveiliging toepassen op groepen gebruikers die zich aanmelden bij Android-apparaten. Met name kunt u app-beveiliging toepassen op basis van gegevensbeveiliging, toegangsvereisten en instellingen voor voorwaardelijk starten binnen een app-beveiligingsbeleid voor Android. Zie Beveiligingsbeleidsinstellingen voor Android-apps in Microsoft Intune voor meer informatie. |
| Windows | Op dit moment kunt u app-beveiligingsbeleid toepassen op Microsoft Edge voor Windows-apparaten. Met Microsoft Edge kunt u bepalen hoe de gegevens van uw organisatie worden geopend. U kunt app-beveiliging toepassen op groepen gebruikers die zich aanmelden bij Windows-apparaten. Met name kunt u app-beveiliging toepassen op basis van instellingen voor gegevensbescherming en statuscontroles binnen een app-beveiligingsbeleid voor Windows. Met instellingen voor gegevensbeveiliging kunt u bepalen hoe de verplaatsing van gegevens naar en uit de context van uw organisatie (organisatie) gaat. De organisatiecontext wordt gedefinieerd door documenten, services en sites die worden geopend door het opgegeven organisatieaccount. U kunt instellingen voor app-beveiligingsbeleid gebruiken om externe gegevens te beheren die zijn ontvangen in de organisatiecontext en organisatiegegevens die worden verzonden uit de organisatiecontext. Deze instellingen omvatten het ontvangen en verzenden van organisatiegegevens. U kunt ook DLP-besturingselementen (Preventie van gegevensverlies) implementeren, zoals beperkingen voor knippen, kopiëren, plakken en opslaan als. Daarnaast kunt u het afdrukken van organisatiegegevens toestaan of blokkeren. Zie beleidsinstellingen voor Windows App-beveiliging voor meer informatie. |
Zie App-beheermogelijkheden per platform voor meer informatie over ondersteunde platforms.
Ondersteunde apps
Voor iOS-/iPadOS- en Android-platforms kunt u app-beveiligingsbeleid toepassen op elke beheerde app die is ontwikkeld ter ondersteuning van intune-app-beveiligingsmogelijkheden. De beheerde app heeft de Intune App SDK geïntegreerd of is verpakt met behulp van de Intune-App Wrapping Tool. Voor het Windows-platform kunt u gegevensbeveiliging van bedrijfsgegevens op persoonlijke Windows-apparaten inschakelen met behulp van Windows MAM. Windows MAM is waar u app-beveiligingsbeleid toepast op Microsoft Edge voor Windows. Microsoft Edge en de meeste Microsoft-toepassingen zijn geïntegreerd ter ondersteuning van Intune met behulp van de Intune App SDK. Zie beveiligde apps Microsoft Intune voor een lijst met apps die SDK-integratie bevatten.
Vereisten
Voordat u apps kunt beveiligen met Microsoft Intune, moet u een aantal vereisten volgen om Intune in te stellen en inzicht te hebben in de belangrijkste configuraties voor app-beheer.
Opmerking
Als u nog geen gebruik hebt van Intune, begint u met de gratis proefversie van Microsoft Intune. U kunt Intune 30 dagen gratis proberen. Wanneer u het registratieproces hebt voltooid, hebt u een nieuwe tenant die u kunt gebruiken om Intune te evalueren. Een tenant is een toegewezen exemplaar van Microsoft Entra ID (Microsoft Entra ID) waarin uw abonnement op Intune wordt gehost. Vervolgens kunt u de tenant configureren. Dit omvat veel mogelijkheden die u kunt gebruiken om uw organisatie te beschermen. Een van deze omvat het toevoegen en configureren van apps voor Intune.
Volg deze stappen als u Intune nog niet hebt ingesteld en de apps hebt toegevoegd die u nodig hebt om te beheren en te beveiligen:
- Intune instellen en implementeren
- Toepassingsbeveiliging begrijpen
- App-typen begrijpen
- Apps toevoegen aan Intune
Belangrijk
Als u Microsoft Intune na de gratis proefversie wilt gebruiken, moet u een licentie van Microsoft aanschaffen. Zie Microsoft Intune licenties voor meer informatie over licenties die Microsoft Intune bevatten.
Hoewel veel apps die u kunt implementeren voor de leden van uw organisatie gratis zijn, is voor sommige apps mogelijk een licentie, abonnement of account vereist voor elke gebruiker om de app te gebruiken. Zie Meer informatie over app-licenties die worden gebruikt in Intune voor meer informatie over app-licenties.
App-beveiliging
App-beveiliging kunnen worden toegepast op ondersteunde beheerde apps op ondersteunde apparaatplatforms die zijn ingeschreven bij Microsoft Intune, zijn ingeschreven bij een MDM-oplossing (Mobile Device Management) van derden of die niet zijn ingeschreven bij een oplossing voor het beheer van mobiele apparaten.
Wanneer u een app-beveiligingsbeleid maakt, kiest u de volgende details in de volgende volgorde:
- Het platform
- De app die u wilt beveiligen
- De instellingen voor gegevensbeveiliging voor de app
- De toegangsvereisten voor de app
- De instellingen voor voorwaardelijk starten voor de app
Naast de bovenstaande lijst kunt u ook bereiktags en app-toewijzingen kiezen.
Belangrijk
De Intune-bedrijfsportal-app is vereist op Android-apparaten omdat apparaatgebruikers hiermee app-beveiligingsbeleid kunnen ontvangen als apparaatbeleidscontroller. Hiermee kunnen apparaatgebruikers app-beveiligingsbeleid ontvangen. Zie De Intune-bedrijfsportal-apps, Bedrijfsportal website en Intune-app configureren enDe Bedrijfsportal aanpassen en configureren voor meer informatie.
App-beveiliging categorieën per platform
Er zijn verschillende instellingen voor app-beveiliging beschikbaar voor elk ondersteund platform. Het is belangrijk om te weten dat het iOS-/iPadOS- en Android-platform dezelfde categorieën voor app-beveiliging hebben. Windows is echter anders. Het Windows-platform beschermt organisatiegegevens door de gegevensstroom via Microsoft Edge naar de opslaglocaties van uw organisatie te beheren.
Tip
Zie Architectuur op hoog niveau voor Microsoft Intune om te zien waar app-beveiligings- en nalevingsbeleid past in de algehele Intune-architectuur.
Wanneer u een app-beveiligingsbeleid maakt, kiest u het platform, de app waarop u zich wilt richten, evenals de specifieke instellingen uit de app-beveiligingscategorieën.
Hoe app-beveiligingsbeleid app-gegevens beveiligt
Uw eindgebruikers (leden van uw organisatie) gebruiken mobiele apparaten voor zowel persoonlijke als zakelijke taken. Hoewel u ervoor zorgt dat uw eindgebruikers productief kunnen zijn, wilt u voorkomen dat de gegevens van uw organisatie worden verplaatst naar locaties waar u deze niet kunt beveiligen, zowel voor opzettelijke als onbedoelde situaties. U wilt ook bedrijfsgegevens beveiligen die worden geopend vanaf apparaten die niet door u worden beheerd. U kunt intune-beveiligingsbeleid voor apps onafhankelijk van elke MDM-oplossing (Mobile Device Management) gebruiken. Deze onafhankelijkheid helpt u bij het beveiligen van de gegevens van uw bedrijf met of zonder het registreren van apparaten in een apparaatbeheeroplossing. Door beveiligingsbeleid op app-niveau te implementeren, kunt u de toegang tot bedrijfsresources beperken en gegevens binnen de bevoegdheid van uw IT-afdeling houden.
Wanneer apps zonder beperkingen worden gebruikt, kunnen bedrijfs- en persoonlijke gegevens met elkaar worden vermengd. Bedrijfsgegevens kunnen terechtkomen op locaties zoals persoonlijke opslag of worden overgedragen naar apps buiten uw bevoegdheidsbereik, wat kan leiden tot gegevensverlies. De volgende tabel bevat details over gegevens-, apparaat- en app-beveiliging.
| Gegevens-, apparaat- en app-beveiliging | Beschrijving |
|---|---|
| Apps zonder app-beveiligingsbeleid | Wanneer apps zonder beperkingen worden gebruikt, kunnen bedrijfs- en persoonlijke gegevens met elkaar worden vermengd. Bedrijfsgegevens kunnen terechtkomen op locaties zoals persoonlijke opslag of worden overgedragen naar apps buiten uw bevoegdheidsbereik, wat kan leiden tot gegevensverlies. |
| Gegevensbeveiliging met app-beveiligingsbeleid | U kunt App-beveiliging-beleid gebruiken om te voorkomen dat bedrijfsgegevens worden opgeslagen in de lokale opslag van het apparaat. U kunt ook de verplaatsing van gegevens beperken naar andere apps die niet worden beveiligd door App-beveiliging-beleid. |
| Gegevensbeveiliging met app-beveiligingsbeleid op beheerde apparaten | Biedt zowel app- als apparaatbeheer en -beveiliging. |
| Gegevensbeveiliging met app-beveiligingsbeleid voor apparaten zonder inschrijving | App-beveiliging beleid kan helpen bij het beveiligen van bedrijfsgegevens op app-niveau. Er zijn echter beperkingen met betrekking tot het implementeren van apps, het inrichten van apparaatcertificaatprofielen en het inrichten van organisatie-instellingen voor apparaten. U kunt deze beperkingen voorkomen door de apparaten in Intune in te schrijven en te beheren. |
Zie Hoe app-beveiligingsbeleid app-gegevens beveiligt voor meer informatie.
Wat zit er in deze oplossing?
Met deze oplossing krijgt u inzicht in app-gegevensbeveiliging in Microsoft Intune. Daarnaast biedt deze oplossing aanbevolen stappen voor het maken van app-beveiligingsbeleid in Intune voor specifieke apps en het toewijzen van dit beleid aan leden van uw organisatie. Zodra u aan de bovenstaande vereisten hebt voldaan, kunt u app-beveiligingsbeleid voor uw organisatie maken in Intune. Door configuratie- en beveiligingsbeleid te gebruiken als onderdeel van uw app-beheer kunnen leden van uw organisatie veilig apps gebruiken. Door apps in uw organisatie te beheren, helpt u de gegevens van uw organisatie te beveiligen en te beveiligen.
Zie de volgende onderwerpen voor meer informatie over app-beveiliging in Intune:
- Informatie over app-gegevensbeveiliging
- Toegangsvereisten voor app-beveiliging begrijpen
- Inzicht in voorwaardelijke start van app-beveiliging
- Inzicht in statuscontroles voor app-beveiliging
Als u de aanbevolen instellingen wilt volgen bij het toevoegen van app-beveiligingsbeleid in Intune, raadpleegt u de volgende onderwerpen:
- Minimale gegevensbescherming toepassen
- Verbeterde gegevensbescherming toepassen
- Hoge gegevensbescherming toepassen
- Inzicht in de levering van app-beveiliging
- App-beveiliging controleren en bewaken
- App-beveiligingsacties gebruiken
Nadat u de bovenstaande stappen hebt voltooid, kunt u de beheerde apps implementeren, beheren en bewaken die uw organisatie gebruikt.