Veelgebruikte manieren om Voorwaardelijke toegang te gebruiken met Intune

Er zijn twee typen beleidsregels voor voorwaardelijke toegang die u kunt gebruiken met Intune: voorwaardelijke toegang op basis van apparaten en op apps gebaseerde voorwaardelijke toegang. Als u elk beleid wilt ondersteunen, moet u het gerelateerde Intune-beleid configureren. Wanneer het Intune-beleid van kracht is en geïmplementeerd, kunt u voorwaardelijke toegang gebruiken om bijvoorbeeld toegang tot Exchange toe te staan of te blokkeren, toegang tot uw netwerk te beheren of te integreren met een Mobile Threat Defense-oplossing.

De informatie in dit artikel kan u helpen inzicht te verkrijgen in het gebruik van de intune-mogelijkheden voor naleving van mobiele apparaten en de Intune-mogelijkheden voor Mobile Application Management (MAM).

Opmerking

Voorwaardelijke toegang is een Microsoft Entra-functie die is opgenomen in een Microsoft Entra id P1- of P2-licentie. Intune verbetert deze mogelijkheid door naleving van mobiele apparaten en beheer van mobiele apps toe te voegen aan de oplossing. Het knooppunt voor voorwaardelijke toegang dat vanuit Intune wordt geopend, is hetzelfde knooppunt als dat wordt geopend vanuit Microsoft Entra-id.

Voorwaardelijke toegang op basis van apparaten

Intune en Microsoft Entra-id werken samen om ervoor te zorgen dat alleen beheerde en compatibele apparaten toegang hebben tot de e-mail van uw organisatie, Microsoft 365-services, SaaS-apps (Software as a Service) en on-premises apps. Daarnaast kunt u een beleid instellen in Microsoft Entra-id om alleen computers die lid zijn van een domein of mobiele apparaten die zijn ingeschreven bij Intune toegang te geven tot Microsoft 365-services.

Met Intune implementeert u nalevingsbeleid voor apparaten om te bepalen of een apparaat voldoet aan uw verwachte configuratie- en beveiligingsvereisten. De evaluatie van het nalevingsbeleid bepaalt de nalevingsstatus van apparaten, die wordt gerapporteerd aan zowel Intune als Microsoft Entra-id. Het is in Microsoft Entra-id dat beleid voor voorwaardelijke toegang de nalevingsstatus van een apparaat kan gebruiken om beslissingen te nemen over het toestaan of blokkeren van toegang tot de resources van uw organisatie vanaf dat apparaat.

Beleid voor voorwaardelijke toegang op apparaten voor Exchange Online en andere Microsoft 365-producten wordt geconfigureerd via het Microsoft Intune-beheercentrum.

Opmerking

Wanneer u Apparaatgebaseerde toegang inschakelt voor inhoud die gebruikers openen vanuit browser-apps op hun Apparaten met een Android-werkprofiel in persoonlijk eigendom, moeten gebruikers die zich vóór januari 2021 hebben geregistreerd als volgt browsertoegang inschakelen:

  1. Start de Bedrijfsportal-app.
  2. Ga naar de pagina Instellingen in het menu.
  3. Tik in de sectie Browsertoegang inschakelen op de knop INSCHAKELEN .
  4. Sluit de browser-app en start deze opnieuw op.

Dit biedt toegang in browser-apps, maar niet tot browserweergaven die binnen apps worden geopend.

Toepassingen die beschikbaar zijn in voorwaardelijke toegang voor het beheren van Microsoft Intune

Wanneer u voorwaardelijke toegang configureert in het Microsoft Entra-beheercentrum, kunt u kiezen uit twee toepassingen:

  1. Microsoft Intune: deze toepassing beheert de toegang tot het Microsoft Intune-beheercentrum en gegevensbronnen. Configureer subsidies/besturingselementen voor deze toepassing wanneer u de Microsoft Intune beheercentrum en gegevensbronnen wilt richten.
  2. Microsoft Intune-inschrijving: deze toepassing bepaalt de inschrijvingswerkstroom. Configureer subsidies/besturingselementen voor deze toepassing wanneer u het inschrijvingsproces wilt instellen. Zie Meervoudige verificatie vereisen voor Intune-apparaatinschrijvingen voor meer informatie.

Voorwaardelijke toegang op basis van netwerktoegangsbeheer

Intune integreert met partners zoals Cisco ISE, Aruba Clear Pass en Citrix NetScaler om toegangsbeheer te bieden op basis van de Intune-inschrijving en de nalevingsstatus van het apparaat.

Gebruikers kunnen toegang krijgen tot zakelijke Wi-Fi- of VPN-resources op basis van het feit of het apparaat dat ze gebruiken wordt beheerd en voldoet aan het Intune-nalevingsbeleid voor apparaten.

Voorwaardelijke toegang op basis van apparaatrisico

Intune werkt samen met Mobile Threat Defense-leveranciers die een beveiligingsoplossing bieden voor het detecteren van malware, Trojaanse paarden en andere bedreigingen op mobiele apparaten.

Hoe de integratie van Intune en Mobile Threat Defense werkt

Wanneer op mobiele apparaten de Mobile Threat Defense-agent is geïnstalleerd, stuurt de agent berichten over de nalevingsstatus terug naar Intune- rapportage wanneer er een bedreiging wordt gevonden op het mobiele apparaat zelf.

De integratie van Intune en Mobile Threat Defense speelt een rol bij de beslissingen over voorwaardelijke toegang op basis van apparaatrisico's.

Voorwaardelijke toegang voor Windows-pc's

Voorwaardelijke toegang voor pc's biedt mogelijkheden die vergelijkbaar zijn met die voor mobiele apparaten. Laten we het eens hebben over de manieren waarop u voorwaardelijke toegang kunt gebruiken bij het beheren van pc's met Intune.

Bedrijfseigendom

  • Microsoft Entra hybride gekoppeld: deze optie wordt vaak gebruikt door organisaties die redelijk vertrouwd zijn met hoe ze hun pc's al beheren via AD-groepsbeleid of Configuration Manager.

  • Microsoft Entra domein toegevoegd en Intune-beheer: dit scenario is bedoeld voor organisaties die cloud-first willen zijn (voornamelijk cloudservices willen gebruiken, met als doel het gebruik van een on-premises infrastructuur te verminderen) of alleen in de cloud (geen on-premises infrastructuur). Microsoft Entra join werkt goed in een hybride omgeving, waardoor toegang tot zowel cloud- als on-premises apps en resources mogelijk is. Het apparaat wordt gekoppeld aan de Microsoft Entra-id en wordt ingeschreven bij Intune. Dit kan worden gebruikt als criterium voor voorwaardelijke toegang bij het openen van bedrijfsresources.

Bring Your Own Device (BYOD)

  • Werkplekdeelname en Intune-beheer: Hier kunnen gebruikers hun persoonlijke apparaten koppelen om toegang te krijgen tot bedrijfsresources en -services. U kunt werkplekdeelname gebruiken en apparaten inschrijven bij Intune MDM om beleid op apparaatniveau te ontvangen. Dit is een andere optie om criteria voor voorwaardelijke toegang te evalueren.

Meer informatie over Apparaatbeheer vindt u in Microsoft Entra-id.

Op apps gebaseerde voorwaardelijke toegang

Intune en Microsoft Entra-id werken samen om ervoor te zorgen dat alleen beheerde apps toegang hebben tot zakelijke e-mail of andere Microsoft 365-services.

Intune-voorwaardelijke toegang voor Exchange on-premises

Voorwaardelijke toegang kan worden gebruikt om toegang tot Exchange on-premises toe te staan of te blokkeren op basis van het nalevingsbeleid voor apparaten en de inschrijvingsstatus. Wanneer voorwaardelijke toegang wordt gebruikt in combinatie met een nalevingsbeleid voor apparaten, hebben alleen compatibele apparaten toegang tot Exchange On-premises.

U kunt geavanceerde instellingen in voorwaardelijke toegang configureren voor gedetailleerdere controle, zoals:

  • Bepaalde platforms toestaan of blokkeren.

  • Onmiddellijk apparaten blokkeren die niet worden beheerd door Intune.

Elk apparaat dat wordt gebruikt voor toegang tot Exchange on-premises, wordt gecontroleerd op naleving wanneer het apparaatcompatibiliteits- en beleid voor voorwaardelijke toegang worden toegepast.

Wanneer apparaten niet voldoen aan de ingestelde voorwaarden, wordt de eindgebruiker begeleid door het proces van registratie van het apparaat om het probleem op te lossen waardoor het apparaat niet compatibel is.

Opmerking

Vanaf juli 2020 wordt de ondersteuning voor de Exchange-connector afgeschaft en vervangen door HMA ( Hybrid Modern Authentication ) van Exchange. Voor het gebruik van HMA hoeft Intune de Exchange-connector niet in te stellen en te gebruiken. Met deze wijziging is de gebruikersinterface voor het configureren en beheren van de Exchange Connector voor Intune verwijderd uit het Microsoft Intune-beheercentrum, tenzij u al een Exchange-connector gebruikt met uw abonnement.

Als u een Exchange Connector hebt ingesteld in uw omgeving, blijft uw Intune-tenant ondersteund voor het gebruik ervan en blijft u toegang hebben tot de gebruikersinterface die ondersteuning biedt voor de configuratie ervan. Zie Exchange On-premises connector installeren voor meer informatie. U kunt de connector blijven gebruiken of HMA configureren en vervolgens de connector verwijderen.

Hybride moderne verificatie biedt functionaliteit die eerder werd geleverd door de Exchange Connector voor Intune: toewijzing van een apparaat-id aan de Exchange-record. Deze toewijzing vindt nu plaats buiten een configuratie die u maakt in Intune of de vereiste van de Intune-connector om Intune en Exchange te overbruggingen. Met HMA is de vereiste voor het gebruik van de specifieke configuratie 'Intune' (de connector) verwijderd.

Wat is de rol van Intune?

Intune evalueert en beheert de apparaatstatus.

Wat is de Exchange-serverfunctie?

Exchange Server biedt API en infrastructuur om apparaten in quarantaine te plaatsen.

Belangrijk

Houd er rekening mee dat aan de gebruiker die het apparaat gebruikt een nalevingsprofiel en Intune-licentie moeten zijn toegewezen, zodat het apparaat kan worden geëvalueerd op naleving. Als er geen nalevingsbeleid is geïmplementeerd voor de gebruiker, wordt het apparaat behandeld als compatibel en worden er geen toegangsbeperkingen toegepast.

Volgende stappen

Voorwaardelijke toegang configureren in Microsoft Entra-id

Beleid voor voorwaardelijke toegang op basis van apps instellen

Een beleid voor voorwaardelijke toegang maken voor Exchange on-premises