Meer informatie over het gebruik van voorwaardelijke toegang
Door Intune of Configuration Manager te gebruiken, kunt u ervoor zorgen dat uw organisatie de juiste referenties gebruikt voor het verkrijgen van toegang tot en delen van bedrijfsgegevens.
Voorwaardelijke toegang met Intune
Intune biedt de volgende typen van voorwaardelijke toegang:
-
Voorwaardelijke toegang op basis van het apparaat
- Voorwaardelijke toegang voor Exchange On-Premises
- Voorwaardelijke toegang op basis van netwerktoegangsbeheer
- Voorwaardelijke toegang op basis van apparaatrisico
- Voorwaardelijke toegang voor Windows-pc's
- In bedrijfseigendom
- Bring Your Own Device (BYOD)
- Op apps gebaseerde voorwaardelijke toegang
Voorwaardelijke toegang met co-beheer
Bij co-beheer evalueert Intune elk apparaat in uw netwerk om te bepalen hoe betrouwbaar het is. Deze evaluatie kan op de volgende twee manieren plaatsvinden:
Intune controleert of een apparaat of app wordt beheerd en veilig is geconfigureerd. Deze controle is afhankelijk van de wijze waarop u het nalevingsbeleid van uw organisatie instelt. Controleer bijvoorbeeld of op alle apparaten versleuteling is ingeschakeld en of de apparaten niet zijn opengebroken.
Deze evaluatie is gebaseerd op inbreuk op de beveiliging en configuratie.
Voor co-beheerde apparaten voert Configuration Manager ook op configuratie gebaseerde evaluatie uit voor zaken zoals vereiste updates of naleving van apps. Intune combineert deze evaluatie met een eigen beoordeling.
Intune detecteert actieve beveiligingsincidenten op een apparaat. Het maakt gebruik van de intelligente beveiliging van Microsoft Defender voor Eindpunt (voorheen Microsoft Defender Advanced Threat Protection of Windows Defender ATP) en andere mobile threat-defense-providers. Deze partners voeren een doorlopende gedragsanalyse uit op apparaten. Deze analyse detecteert actieve incidenten en geeft deze informatie vervolgens door aan Intune voor realtime nalevingsevaluatie.
- Deze evaluatie is een inbreuk op de beveiliging en op incidenten gebaseerd.
Veelgebruikte manieren om voorwaardelijke toegang te gebruiken
U moet het gerelateerde nalevingsbeleid configureren om naleving van voorwaardelijke toegang in uw organisatie door te voeren. Voorwaardelijke toegang wordt meestal gebruikt om bijvoorbeeld toegang tot Exchange toe te staan of te blokkeren, toegang tot het netwerk te beheren of om te integreren met een Mobile Threat Defense-oplossing.
Voorwaardelijke toegang op basis van het apparaat
Intune en Microsoft Entra ID werken samen om ervoor te zorgen dat alleen beheerde en compatibele apparaten toegang hebben tot e-mail, Office 365-services, SaaS-apps (Software as a Service) en on-premises apps. Daarnaast kunt u een beleid instellen in Microsoft Entra ID om alleen computers die lid zijn van een domein of mobiele apparaten die zijn ingeschreven bij Intune in te schakelen voor toegang tot Office 365-services.
Intune biedt mogelijkheden voor het nalevingsbeleid voor apparaten waarmee de nalevingsstatus van de apparaten wordt geëvalueerd. De nalevingsstatus wordt gerapporteerd aan De Microsoft Entra-id die deze gebruikt om het beleid voor voorwaardelijke toegang dat is gemaakt in Microsoft Entra-id af te dwingen wanneer de gebruiker toegang probeert te krijgen tot bedrijfsbronnen.
Voorwaardelijke toegang op basis van netwerktoegangsbeheer
Intune kan worden geïntegreerd met partners zoals Cisco ISE, Aruba Clear Pass en Citrix NetScaler om toegangsbeheer te bieden op basis van de Intune-inschrijving en de apparaatcompatibiliteitsstatus.
Gebruikers kunnen toegang tot bedrijfs-Wi-Fi- of VPN-resources toestaan of weigeren op basis van of het apparaat dat ze gebruiken, wordt beheerd en voldoet aan het Intune-nalevingsbeleid voor apparaten.
Voorwaardelijke toegang op basis van apparaatrisico
Intune werkt samen met Mobile Threat Defense-leveranciers die een beveiligingsoplossing bieden voor het detecteren van malware, Trojaanse paarden en andere bedreigingen op mobiele apparaten.
Hoe de integratie van Intune en Mobile Threat Defense werkt
Wanneer op mobiele apparaten de Mobile Threat Defense-agent is geïnstalleerd, verzendt de agent berichten over de nalevingsstatus terug naar Intune, waarin wordt gerapporteerd wanneer er een bedreiging wordt gevonden op het mobiele apparaat zelf.
De integratie van Intune en Mobile Threat Defense speelt een factor in de beslissingen voor voorwaardelijke toegang op basis van apparaatrisico's.
Voorwaardelijke toegang voor Windows-pc's
Voorwaardelijke toegang voor pc's biedt vergelijkbare mogelijkheden als voor mobiele apparaten. Laten we eens bekijken hoe u voorwaardelijke toegang kunt gebruiken bij het beheren van pc's met Intune.
In bedrijfseigendom
Hybride versie van Microsoft Entra: organisaties die redelijk vertrouwd zijn met hoe ze hun pc's al beheren via AD-groepsbeleid of Configuration Manager gebruiken deze optie meestal.
Microsoft Entra-domein toegevoegd en Intune-beheer: dit scenario is bedoeld voor organisaties die cloud-first willen zijn (dat wil name cloudservices gebruiken, met als doel het gebruik van een on-premises infrastructuur te verminderen) of alleen in de cloud (geen on-premises infrastructuur). Microsoft Entra join werkt goed in een hybride omgeving, waardoor toegang tot zowel cloud- als on-premises apps en resources mogelijk is. Het apparaat wordt gekoppeld aan de Microsoft Entra-id en wordt ingeschreven bij Intune. Dit kan worden gebruikt als criteria voor voorwaardelijke toegang bij het openen van bedrijfsbronnen.
Bring Your Own Device (BYOD)
- Werkplekdeelname en Intune-beheer: de gebruiker kan zijn persoonlijke apparaten toevoegen om toegang te krijgen tot bedrijfsbronnen en -services. U kunt gebruikmaken van Workplace Join en apparaten in te schrijven in Intune MDM om beleidsregels op apparaatniveau te ontvangen, wat een andere optie is om criteria voor voorwaardelijke toegang te evalueren.
Op apps gebaseerde voorwaardelijke toegang
Intune en Microsoft Entra ID werken samen om ervoor te zorgen dat alleen beheerde apps toegang hebben tot zakelijke e-mail of andere Office 365-services.