Delen via

Apparaten beheren met Intune Overview

  • Artikel

Een belangrijk onderdeel van beveiliging op ondernemingsniveau omvat het beheren en beveiligen van apparaten. Of u nu een Zero Trust-beveiligingsarchitectuur opzet, uw omgeving tegen ransomware wilt beveiligen of bescherming wilt inbouwen ter ondersteuning van externe medewerkers, het beheer van apparaten is onderdeel van de strategie. Hoewel Microsoft 365 verschillende hulpprogramma's en methodologieën bevat voor het beheren en beveiligen van apparaten, worden in deze richtlijnen de aanbevelingen van Microsoft met behulp van Microsoft Intune uitgelegd. Dit is de juiste handleiding voor u als u:

  • Plan apparaten in te schrijven bij Intune via Microsoft Entra join (inclusief Microsoft Entra hybrid join).
  • Van plan bent om apparaten handmatig in te schrijven bij Intune.
  • Byod (Bring Your Own Devices) toestaan met plannen om beveiliging voor apps en gegevens te implementeren en/of deze apparaten in te schrijven in Intune.

Als uw omgeving daarentegen plannen voor co-beheer bevat, inclusief Microsoft Configuration Manager, raadpleegt u Documentatie voor co-beheer om het beste pad voor uw organisatie te ontwikkelen. Als uw omgeving plannen bevat voor Windows 365 Cloud-pc, bekijkt u Windows 365 Enterprise-documentatie om de beste aanpak voor uw organisatie te ontwikkelen.

Bekijk deze video voor een overzicht van het implementatieproces.

Waarom eindpunten beheren?

De moderne onderneming heeft een ongelooflijke diversiteit aan eindpunten die toegang hebben tot de gegevens. Deze installatie creëert een enorme kwetsbaarheid voor aanvallen en als gevolg hiervan kunnen eindpunten eenvoudig de zwakste schakel in uw Zero Trust-beveiligingsstrategie worden.

Meestal gedreven door noodzaak toen de wereld verschuift naar een extern of hybride werkmodel, werken gebruikers vanaf elke locatie, vanaf elk apparaat, meer dan ooit in de geschiedenis. Aanvallers passen hun tactiek snel aan om te profiteren van deze verandering. Veel organisaties worden geconfronteerd met beperkte middelen wanneer zij deze nieuwe zakelijke uitdagingen het hoofd moeten bieden. Vrijwel van de ene dag op de andere hebben bedrijven de digitale transformatie versneld. Simpel gezegd, de manier waarop mensen werken is veranderd. We verwachten niet langer toegang te hebben tot de talloze bedrijfsresources alleen vanuit het kantoor en op apparaten die eigendom zijn van het bedrijf.

Het verkrijgen van inzicht in de eindpunten die toegang hebben tot uw bedrijfsresources is de eerste stap in uw Zero Trust apparaatstrategie. Bedrijven zijn doorgaans proactief in het beveiligen van pc's tegen beveiligingsproblemen en aanvallen, terwijl mobiele apparaten vaak niet worden bewaakt en zonder beveiliging. Om te voorkomen dat uw gegevens aan risico's worden blootgesteld, moet elk eindpunt op risico's worden gecontroleerd en moet gedetailleerd toegangsbeheer worden toegepast om het juiste toegangsniveau te bieden op basis van het organisatiebeleid. Als een persoonlijk apparaat bijvoorbeeld is gekraakt, kunt u de toegang ervan blokkeren om te voorkomen dat bedrijfstoepassingen worden blootgesteld aan bekende beveiligingsproblemen.

In deze reeks artikelen wordt een aanbevolen proces beschreven voor het beheren van apparaten die toegang hebben tot uw resources. Als u de aanbevolen stappen volgt, krijgt uw organisatie een zeer geavanceerde bescherming voor uw apparaten en de resources waartoe ze toegang hebben.

De beschermingslagen op en voor apparaten implementeren

Het beveiligen van de gegevens en apps op apparaten en de apparaten zelf is een proces met meerdere lagen. Er zijn enkele beveiligingen die u kunt verkrijgen op onbeheerde apparaten. Nadat u apparaten in het beheer hebt opgenomen, kunt u meer geavanceerde besturingselementen implementeren. Wanneer bescherming tegen bedreigingen op al uw eindpunten wordt ingezet, krijgt u nog meer inzicht en de mogelijkheid om bepaalde aanvallen automatisch te herstellen. Ten slotte, als uw organisatie het werk heeft besteed aan het identificeren van gevoelige gegevens, het toepassen van classificatie en labels, en het configureren van Microsoft Purview-preventie van gegevensverlies-beleid, kunt u nog gedetailleerdere bescherming krijgen voor gegevens op uw eindpunten.

In het volgende diagram ziet u bouwstenen om een Zero Trust-beveiligingspostuur te bereiken voor Microsoft 365 en andere SaaS-apps die u in deze omgeving introduceert. De elementen met betrekking tot apparaten zijn genummerd van 1 tot en met 7. Apparaatbeheerders stemmen samen met andere beheerders om deze beveiligingslagen tot stand te brengen.

Diagram van de bouwstenen van de Zero Trust beveiligingspostuur.

In deze afbeelding:

  Stap Omschrijving Licentievereisten
1 Het startpunt van de Zero Trust-identiteits- en apparaattoegangsbeleid configureren Stap 1. Implementeer app-beveiligingsbeleid om een basis te leggen voor het beveiligen van apparaten met behulp van Intune app-beveiligingsbeleid, waarvoor apparaatbeheer niet is vereist. Werk vervolgens samen met de beheerder van uw identiteitsteam om beleid voor voorwaardelijke toegang te implementeren waarvoor goedgekeurde apps zijn vereist en stel verbeterde gegevensbeveiliging op bedrijfsniveau 2 in. Dit is het aanbevolen beginniveau voor apparaten waar gebruikers toegang hebben tot gevoelige informatie. E3, E5, F1, F3, F5
2 Apparaten inschrijven bij Intune Voor het implementeren van deze taak is meer planning en tijd nodig. Microsoft raadt aan Intune te gebruiken om apparaten in te schrijven, omdat dit hulpprogramma optimale integratie biedt. Er zijn verschillende opties voor het inschrijven van apparaten, afhankelijk van het platform. Windows-apparaten kunnen bijvoorbeeld worden ingeschreven met behulp van Microsoft Entra join of autopilot. U moet de opties voor elk platform bekijken en bepalen welke inschrijvingsoptie het beste is voor uw omgeving. Zie Stap 2. Apparaten inschrijven bij Intune voor meer informatie. E3, E5, F1, F3, F5
3 Compliancebeleid configureren U wilt er zeker van zijn dat apparaten die toegang hebben tot uw apps en gegevens, voldoen aan de minimale vereisten. Apparaten zijn bijvoorbeeld beveiligd met een wachtwoord of pincode en het besturingssysteem is up-to-date. Met het compliancebeleid bepaalt u aan welke eisen apparaten moeten voldoen. Stap 3. Met het instellen van compliancebeleid kunt u dit beleid configureren. E3, E5, F3, F5
4 Het ondernemingsbeleid configureren (aanbevolen) Zero Trust identiteits- en apparaattoegangsbeleid Nu uw apparaten zijn geregistreerd, kunt u met uw identiteitsbeheerder werken aan het afstemmen van het beleid voor voorwaardelijke toegang om gezonde en compatibele apparaten te vereisen. E3, E5, F3, F5
5 Configuratieprofielen implementeren In tegenstelling tot het compliancebeleid voor apparaten, die een apparaat slechts markeren als al dan niet compatibel op basis van criteria die u instelt, wijzigen configuratieprofielen daadwerkelijk de configuratie van de instellingen op een apparaat. U kunt configuratiebeleid gebruiken om apparaten te beveiligen tegen cyberbedreigingen. Zie Stap 5. Configuratieprofielen implementeren. E3, E5, F3, F5
6 Apparaatrisico's en naleving van beveiligingsbasislijnen bewaken In deze stap verbindt u Intune met Microsoft Defender voor Eindpunt. Met deze integratie kunt u vervolgens apparaatrisico's bewaken als voorwaarde voor toegang. Apparaten die een riskante status hebben, worden geblokkeerd. U kunt ook de naleving van beveiligingsbasislijnen bewaken. Zie Stap 6. Apparaatrisico's en de naleving van beveiligingsbasislijnen bewaken. E5, F5
7 Preventie van gegevensverlies (DLP) implementeren met mogelijkheden voor informatiebeveiliging Als uw organisatie het werk heeft gedaan om gevoelige gegevens te identificeren en documenten te labelen, kunt u samenwerken met uw beheerder voor informatiebeveiliging om gevoelige informatie en documenten op uw apparaten te beveiligen. E5, F5 invoegtoepassing voor naleving

Het eindpuntbeheer coördineren met Zero Trust identiteits- en apparaattoegangsbeleid

Deze richtlijnen worden nauw gecoördineerd met het aanbevolen Zero Trust-identiteits- en apparaattoegangsbeleid. U werkt met uw identiteitsteam om beveiliging die u configureert met Intune door te voeren in beleid voor voorwaardelijke toegang in Microsoft Entra ID.

Hier volgt een afbeelding van de aanbevolen beleidsset met stapsgewijze bijschriften voor het werk dat u gaat doen in Intune en het gerelateerde beleid voor voorwaardelijke toegang dat u in Microsoft Entra ID gaat coördineren.

Zero Trust beleid voor identiteit en apparaattoegang.

In deze afbeelding:

  • In stap 1 wordt app-beveiligingsbeleid op niveau 2 geconfigureerd als het aanbevolen niveau van gegevensbeveiliging met Intune app-beveiligingsbeleid. Vervolgens werkt u samen met uw identiteitsteam om de gerelateerde regel voor voorwaardelijke toegang te configureren om het gebruik van deze beveiliging te vereisen.
  • In stap 2, 3 en 4 stelt u apparaten in voor het beheer met Intune, definieert u beleidsregels voor apparaatcompliance en coördineert u vervolgens met uw identiteitsteam om de gerelateerde regel voorwaardelijke toegang zo te configureren dat alleen compatibele apparaten kunnen worden gebruikt.

Apparaten inschrijven versus apparaten onboarden

Als u deze richtlijnen volgt, schrijft u apparaten in bij beheer met behulp van Intune en onboardt u vervolgens apparaten voor de volgende Microsoft 365-mogelijkheden:

  • Microsoft Defender voor Eindpunt
  • Microsoft Purview (voor preventie van gegevensverlies van eindpunten (DLP))

In de volgende afbeelding wordt meer informatie gegeven over hoe dit werkt met Intune.

Proces voor het inschrijven en onboarden van apparaten.

In de afbeelding:

  1. Apparaten inschrijven voor beheer met Intune.
  2. Gebruik Intune om apparaten te onboarden naar Defender for Endpoint.
  3. Apparaten die onboarden voor Defender voor Eindpunt, worden ook onboarding voor Microsoft Purview-functies, waaronder Eindpunt-DLP.

Houd er rekening mee dat alleen Intune apparaten beheert. Onboarding verwijst naar de mogelijkheid voor een apparaat om informatie te delen met een specifieke service. De volgende tabel bevat een overzicht van de verschillen tussen het inschrijven van apparaten voor beheer- en het onboarden van apparaten voor een specifieke service.

  Inschrijven Onboard
Omschrijving Inschrijving is van toepassing op het beheren van apparaten. Apparaten zijn ingeschreven voor beheer met Intune of Configuration Manager. Onboarding configureert een apparaat om te werken met een specifieke set mogelijkheden in Microsoft 365. Op dit moment is onboarding van toepassing op de nalevingsmogelijkheden van Microsoft Defender for Eindpunt en Microsoft.

Op Windows-apparaten omvat onboarding het in- of uitschakelen van een instelling in Windows Defender waarmee Defender verbinding kan maken met de onlineservice en beleid kan accepteren dat van toepassing is op het apparaat.
Bereik Met deze hulpprogramma's voor apparaatbeheer wordt het hele apparaat beheerd, inclusief het configureren van het apparaat om te voldoen aan specifieke doelstellingen, zoals beveiliging. Onboarding is alleen van invloed op de services die van toepassing zijn.
Aanbevolen methode Microsoft Entra join registreert apparaten automatisch bij Intune. Intune is de voorkeursmethode voor het onboarden van apparaten voor het Windows Defender voor Eindpunten, en daarmee de mogelijkheden van Microsoft Purview.

Apparaten die met andere methoden zijn onboarden voor Microsoft Purview-mogelijkheden, worden niet automatisch geregistreerd voor Defender voor Eindpunt.
Andere methoden Andere registratiemethoden zijn afhankelijk van het platform van het apparaat en of het BYOD is of wordt beheerd door uw organisatie. Andere methoden voor het onboarden van apparaten zijn, in de aanbevolen volgorde:
  • Configuration Manager
  • Ander hulpprogramma voor mobiel apparaatbeheer (als het apparaat er door één wordt beheerd)
  • Lokaal script
  • VDI-configuratiepakket voor onboarding van niet-permanente VDI-apparaten (Virtual Desktop Infrastructure)
  • Groepsbeleid
    		•

    Training voor beheerders

    De volgende bronnen helpen beheerders concepten te leren over het gebruik van Intune:

    • Apparaatbeheer vereenvoudigen met Microsoft Intune trainingsmodule

      Meer informatie over hoe de oplossingen voor bedrijfsbeheer via Microsoft 365 mensen een veilige, gepersonaliseerde bureaubladervaring bieden en organisaties helpen bij het eenvoudig beheren van updates voor alle apparaten met een vereenvoudigde beheerervaring.

    • Microsoft Intune evalueren

      Microsoft Intune helpt u bij het beveiligen van de apparaten, apps en gegevens die mensen in uw organisatie gebruiken om productief te zijn. In dit artikel wordt uitgelegd hoe u Microsoft Intune instelt. De installatie omvat het controleren van de ondersteunde configuraties, het registreren voor Intune, het toevoegen van gebruikers en groepen, het toewijzen van licenties aan gebruikers, het verlenen van beheerdersmachtigingen en het instellen van de MDM-instantie (Mobile Apparaatbeheer).

    Volgende stap

    Ga naar stap 1. App-beveiligingsbeleid implementeren.