Delen via

Apparaatbeveiliging beheren met eindpuntbeveiligingsbeleid in Microsoft Intune

Gebruik als beveiligingsbeheerder Intune eindpuntbeveiligingsbeleid om beveiligingsinstellingen op uw beheerde apparaten te configureren en te beheren. Eindpuntbeveiligingsbeleidsregels zijn speciaal gebouwde beveiligingsprofielen die zich richten op specifieke scenario's voor apparaatbeveiliging, die een gestroomlijnde aanpak bieden voor het implementeren en beheren van beveiligingscontroles in uw organisatie.

In vergelijking met het beheren van beveiligingsinstellingen via apparaatconfiguratiebeleid biedt eindpuntbeveiligingsbeleid verschillende belangrijke voordelen:

  • Gericht beveiligingsbeheer: elk beleidstype is gericht op specifieke beveiligingsgebieden (antivirus, firewall, schijfversleuteling, enzovoort) zonder de complexiteit van bredere apparaatconfiguratieprofielen.
  • Beveiligings-eerste benadering: speciaal ontworpen beleid dat speciaal is ontworpen voor beveiligingsscenario's in plaats van algemeen apparaatbeheer.
  • Georganiseerd op beveiligingsfunctie: gegroepeerd op beveiligingsworkload (antivirus, firewall, enzovoort) in plaats van gemengd met algemene instellingen voor apparaatbeheer.
  • Uitgebreide bewaking: ingebouwde rapportage en conflictdetectie om ervoor te zorgen dat beveiligingsbeleid correct wordt geïmplementeerd.

Informatie over integratie van eindpuntbeveiligingsbeleid

Wanneer u eindpuntbeveiligingsbeleid naast andere Intune beleidstypen implementeert, moet u uw aanpak plannen om configuratieconflicten te minimaliseren. Alle Intune beleidstypen worden behandeld als gelijke bronnen van apparaatconfiguratie-instellingen, wat betekent dat er conflicten optreden wanneer een apparaat verschillende configuraties voor dezelfde instelling ontvangt van meerdere beleidsregels.

Veelvoorkomende conflictscenario's:

  • Beveiligingsbasislijnen kunnen niet-standaardwaarden voor instellingen instellen om te voldoen aan aanbevolen configuraties, terwijl eindpuntbeveiligings- en apparaatconfiguratiebeleid doorgaans standaard niet geconfigureerd zijn. Door deze benaderingen te combineren kunnen conflicten ontstaan (conflicten oplossen).
  • Apparaatconfiguratiebeleidsregels die dezelfde instellingen beheren als het beveiligingsbeleid voor eindpunten (conflicten oplossen).
  • Meerdere eindpuntbeveiligingsbeleidsregels die verschillende waarden instellen voor dezelfde instelling (conflicten beheren).

Wanneer er conflicten optreden, kunnen de betrokken instellingen mogelijk niet correct worden toegepast. Plan uw beleidsarchitectuur en gebruik de gekoppelde richtlijnen om conflicten te identificeren en op te lossen.

Beschikbare typen eindpuntbeveiligingsbeleid

Toegang tot eindpuntbeveiligingsbeleidsregels vanuit Eindpuntbeveiliging>Beheren in het Microsoft Intune-beheercentrum.

Eindpuntbeveiligingsbeleid beheren in het Microsoft Intune-beheercentrum

Accountbeveiliging

  • Doel: Gebruikersidentiteiten en accounts beveiligen via moderne verificatiemethoden
  • Platformondersteuning: Windows
  • Beschikbare profielen: Accountbeveiliging, Oplossing voor lokaal beheerderswachtwoord (Windows LAPS), Lidmaatschap van lokale gebruikersgroep
  • Use case: verificatie zonder wachtwoord en referentiebeveiliging implementeren

Antivirus

  • Doel: Instellingen voor antivirusbeveiliging configureren en beheren
  • Platformondersteuning: Windows, macOS, Linux
  • Beschikbare profielen: Defender Update-besturingselementen, Microsoft Defender Antivirus, Microsoft Defender Antivirus-uitsluitingen, Windows-beveiliging ervaring, macOS Endpoint Security Antivirus
  • Gebruiksvoorbeeld: Microsoft Defender antivirusbeleid centraal beheren op Windows-apparaten

App-beheer voor Bedrijven

  • Doel: Bepalen welke toepassingen kunnen worden uitgevoerd op Windows-apparaten met behulp van Windows Defender Application Control (WDAC)
  • Platformondersteuning: Windows
  • Beschikbare profielen: Windows Defender Application Control (WDAC)
  • Use case: implementeer de acceptatielijst van toepassingen en beheer software-uitvoering

Kwetsbaarheid voor aanvallen verminderen

  • Doel: Potentiële aanvalsvectoren en systeemproblemen verminderen
  • Platformondersteuning: Windows
  • Beschikbare profielen: App- en browserisolatie, Regels voor het verminderen van kwetsbaarheid voor aanvallen, Apparaatbeheer, Exploit protection, Toepassingsbeheer
  • Use case: Apparaten beveiligen tegen veelvoorkomende aanvalsmethoden en -technieken
  • Vereisten: Microsoft Defender Antivirus moet de primaire antivirusoplossing zijn

Schijfversleuteling

  • Doel: Ingebouwde versleutelingsmethoden voor gegevensbeveiliging beheren
  • Platformondersteuning: Windows, macOS
  • Beschikbare profielen: BitLocker, PDE (Personal Data Encryption), macOS FileVault
  • Use case: Beveiliging van data-at-rest garanderen met systeemeigen versleutelingstechnologieën

Eindpuntdetectie en -respons

  • Doel: integratie en onboarding van Microsoft Defender voor Eindpunt configureren
  • Platformondersteuning: Windows, macOS, Linux
  • Beschikbare profielen: Eindpuntdetectie en -respons (voor onboarding en configuratie)
  • Use case: geavanceerde detectie en reactiemogelijkheden voor bedreigingen inschakelen
  • Vereisten: Microsoft Defender voor Eindpunt licentieverlening en tenantverbinding

Firewall

  • Doel: Ingebouwde firewallbeveiliging configureren
  • Platformondersteuning: Windows, macOS
  • Beschikbare profielen: Windows Firewall, Windows Firewall-regels, macOS Firewall
  • Use case: Netwerktoegang beheren en netwerksegmentatie implementeren

Verbeterde beheerfuncties

Eindpuntbeveiligingsbeleid omvat de volgende beheermogelijkheden naast de implementatie van basisbeleid:

Herbruikbare instellingengroepen: maak gestandaardiseerde configuraties die kunnen worden gedeeld over meerdere beleidsregels, vermindert de administratieve overhead en zorgt voor consistentie. Ondersteund door:

  • Firewall>Windows Firewall-regelsprofiel (Windows-platform)
  • Kwetsbaarheid voor aanvallen verminderen>Profiel voor apparaatbeheer (Windows-platform)

Beheer van beveiligingsinstellingen via Microsoft Defender portal: wanneer apparaten Microsoft Defender voor Eindpunt hebben, maar niet zijn ingeschreven bij Intune, kunt u rechtstreeks vanuit de Defender-portal bepaalde eindpuntbeveiligingsbeleidsregels (Antivirus, Kwetsbaarheid voor aanvallen verminderen, EDR) gebruiken. Dit biedt:

  • Uitgebreid beveiligingsbeheer voor apparaten die niet zijn ingeschreven bij Intune in uw omgeving.
  • Geïntegreerde beleidsbeheerervaring via de Defender-portal.
  • Consistente beveiligingscontroles voor ingeschreven en niet-ingeschreven apparaten.

Op rollen gebaseerd toegangsbeheer voor eindpuntbeveiliging

Voor het beheren van eindpuntbeveiligingsbeleid zijn de juiste Intune op rollen gebaseerd toegangsbeheer (RBAC)-machtigingen vereist. Inzicht in het huidige RBAC-machtigingsmodel is essentieel voor de juiste roltoewijzing en toegang tot beleidsbeheer.

Opmerking

Intune gaat over van het gebruik van de machtiging voor geïntegreerde beveiligingsbasislijnen voor alle eindpuntbeveiligingsworkloads naar gedetailleerde machtigingen voor afzonderlijke beleidstypen. Deze overgang biedt nauwkeuriger toegangsbeheer, maar resulteert in verschillende machtigingsvereisten voor verschillende beleidstypen.

Vereiste RBAC-machtigingen

Eindpuntbeveiligingsbeleid maakt gebruik van gedetailleerde machtigingen voor specifieke workloads of de machtiging Beveiligingsbasislijnen . De vereiste machtiging verschilt per beleidstype:

Gedetailleerde machtigingen (beleidsspecifieke toegang):

  • Toepassingsbeheer voor bedrijven - Beleid en rapporten voor toepassingsbeheer
  • Kwetsbaarheid voor aanvallen verminderen : de meeste beleidsregels voor het verminderen van kwetsbaarheid voor aanvallen. (Zie de volgende belangrijke opmerking)
  • Eindpuntdetectie en -respons - EDR-beleid en -rapporten

Machtiging voor beveiligingsbasislijnen (geïntegreerde toegang):

  • Antivirusbeleid (alle profielen)
  • Accountbeveiligingsbeleid
  • Schijfversleutelingsbeleid
  • Firewallbeleid
  • Sommige profielen voor het verminderen van kwetsbaarheid voor aanvallen: App- en browserisolatie, Webbeveiliging, Misbruikbeveiliging, Gecontroleerde maptoegang

Belangrijk

Voor beleid voor het verminderen van kwetsbaarheid voor aanvallen controleert u de specifieke profielvereisten. Sommige profielen gebruiken de gedetailleerde machtiging Kwetsbaarheid voor aanvallen verminderen , terwijl andere de machtiging Beveiligingsbasislijnen vereisen.

Zie Overwegingen voor aangepaste rollen voor gedetailleerde profielspecifieke vereisten.

Belangrijk

De gedetailleerde machtiging van Antivirus voor eindpuntbeveiligingsbeleid is mogelijk tijdelijk zichtbaar in sommige tenants. Deze machtiging wordt niet vrijgegeven en wordt niet ondersteund voor gebruik. Configuraties van de antivirusmachtiging worden genegeerd door Intune. Wanneer Antivirus beschikbaar is voor gebruik als gedetailleerde machtiging, kunt u de beschikbaarheid ervan aankondigen in het artikel Wat is er nieuw in Microsoft Intune.

Ingebouwde RBAC-rollen

De volgende Intune ingebouwde rollen bieden toegang tot werkbelastingen voor eindpuntbeveiliging:

  • Endpoint Security Manager : volledige beheermogelijkheden voor alle eindpuntbeveiligingsbeleidsregels.
  • Helpdeskmedewerker : beperkte operationele taken en leestoegang.
  • Alleen-lezenoperator : alleen toegang tot beleid en rapporten weergeven.

Overwegingen voor aangepaste rollen

Rapportagetoegang: het recht Rapporten weergeven voor apparaatconfiguraties biedt ook toegang tot rapporten over eindpuntbeveiligingsbeleid.

Integratie van De Defender-portal: het beheer van beveiligingsinstellingen via de Defender-portal gebruikt dezelfde Intune RBAC-machtigingen.

Goedkeuring voor meerdere Beheer: voor rolwijzigingen is mogelijk dubbele beheerdersgoedkeuring vereist, afhankelijk van de governance-instellingen van uw organisatie.

Eindpuntbeveiligingsbeleid maken

Volg deze algemene werkstroom voor het maken van eindpuntbeveiligingsbeleid:

  1. Navigeer naar het maken van beleid:

  2. Basisbeginselen van beleid configureren:

    • Platform: kies het doelapparaatplatform (opties variëren per beleidstype).
    • Profiel: selecteer een van de beschikbare profielen voor het gekozen platform.
    • Selecteer Maken om door te gaan.

  3. Configuratie van beleid voltooien:

    • Basisbeginselen: geef een beschrijvende naam en optionele beschrijving op voor het profiel.
    • Configuratie-instellingen: vouw elke groep instellingen uit en configureer de instellingen die u met dit profiel wilt beheren. Wanneer u klaar bent met het configureren van instellingen, selecteert u Volgende.
    • Bereiktags: kies Bereiktags selecteren om het deelvenster Tags selecteren te openen om bereiktags toe te wijzen aan het profiel (optioneel).
    • Toewijzingen: selecteer de groepen om dit profiel te ontvangen. Zie Gebruikers- en apparaatprofielen toewijzen.
    • Controleren en maken: controleer uw configuratie en selecteer Maken wanneer u klaar bent. Het nieuwe profiel wordt vervolgens weergegeven in de beleidslijst.

Geavanceerd beleidsbeheer

Beleid dupliceren

Beleidsduplicatie stroomlijnt de implementatie doordat u bestaande configuraties kunt kopiëren en wijzigen voor verschillende scenario's, in plaats van complexe beleidsregels opnieuw te maken.

Veelvoorkomende use cases voor beleidsduplicatie:

  • Implementatie van omgeving: kopieer productiebeleid naar faserings- of testomgevingen.
  • Groepsvariaties: maak vergelijkbare beleidsregels voor verschillende gebruikersgroepen (bijvoorbeeld leidinggevenden versus algemene gebruikers met enigszins verschillende beveiligingsvereisten).
  • Regionale aanpassing: pas beleidsregels aan voor verschillende geografische locaties met verschillende nalevingsvereisten.
  • Incrementele implementaties: maak meerdere versies van hetzelfde beleid voor gefaseerde implementaties.

Werkstroom dupliceren:

  1. Zoek het bronbeleid in de beleidslijst.
  2. Selecteer het beletselteken (...) >Dupliceren.
  3. Geef een nieuwe beschrijvende naam op en sla op.
  4. Bewerk het gedupliceerde beleid om instellingen voor uw specifieke use-case aan te passen.
  5. Configureer nieuwe groepstoewijzingen voor het doelscenario.

Opmerking

Gedupliceerde beleidsregels behouden alle configuratie-instellingen en bereiktags van het oorspronkelijke beleid, maar nemen geen toewijzingen over. U moet nieuwe toewijzingen configureren en meestal sommige instellingen aanpassen aan uw doelscenario.

Bestaand beleid wijzigen

Beleidsregels bijwerken via de weergave Eigenschappen:

  1. Selecteer het beleid dat u wilt wijzigen.
  2. Selecteer Bewerken voor elke sectie waarvoor wijzigingen zijn vereist (Basisbeginselen, Toewijzingen, Bereiktags, Configuratie-instellingen).
  3. Sla wijzigingen op nadat u een sectie hebt bewerkt voordat u verdergaat met de volgende sectie.

Beleidsconflicten beheren

Voorkom en los beleidsconflicten op met strategische planning en bewaking:

Preventiestrategieën:

  • Plan de beleidsarchitectuur vóór de implementatie en documenteer welke beleidstypen specifieke instellingen beheren.
  • Gebruik consistente configuratiemethoden voor verschillende beleidstypen.
  • Pas waar nodig beveiligingsbasislijnen toe als primaire configuratiebronnen.

Beleidsgrenzen begrijpen:

  • Overlappende instellingen: veel instellingen die worden beheerd door eindpuntbeveiligingsbeleid zijn ook beschikbaar in apparaatconfiguratiebeleid en beveiligingsbasislijnen.
  • Gelijke prioriteit: alle beleidstypen hebben gelijke prioriteit wanneer Intune apparaatconfiguratie evalueert.
  • Conflictgedrag: wanneer meerdere beleidsregels dezelfde instelling met verschillende waarden configureren, kan de instelling mogelijk niet worden toegepast en wordt deze gemarkeerd als conflict.

Werkstroom voor het oplossen van conflicten:

  1. Conflicten identificeren: beleidsimplementatierapporten controleren op fout- of conflictstatusvlagmen.
  2. Instellingen controleren: controleer welke beleidstypen gericht zijn op dezelfde instelling voor meerdere beleidsregels.
  3. Status per instelling controleren: gebruik rapportage op apparaatniveau om te bepalen welke beleidsregels van toepassing zijn.
  4. Basislijnen controleren: bepaal of beveiligingsbasislijnen niet-standaardwaarden instellen die conflicteert met andere beleidsregels.
  5. Oplossing toepassen: gebruik beleidsspecifieke richtlijnen om conflicten systematisch op te lossen.

Oplossingsbronnen: problemen met beleidsregels en profielen in Intune oplossen en beveiligingsbasislijnen bewaken.

Integratie met Microsoft Defender voor Eindpunt

Veel eindpuntbeveiligingsbeleidsregels hebben diepgaande integratie met Microsoft Defender voor Eindpunt, variërend van optionele verbeteringen tot essentiële integratie. Inzicht in deze relaties is essentieel voor een succesvolle implementatie.

Beleidsspecifieke Defender-afhankelijkheden

Eindpuntdetectie en -respons (EDR):

  • Integratie vereist: Defender voor Eindpunt-tenantverbinding met Intune.
  • Onboardingpakketten: maakt gebruik van Defender-specifieke onboardingconfiguraties voor elk platform.
  • Kernfunctionaliteit: biedt realtime mogelijkheden voor het detecteren en reageren van aanvallen.

Antivirus:

  • Platformoverschrijdend beheer: Windows-apparaten gebruiken de ingebouwde Microsoft Defender Antivirus, terwijl macOS-apparaten gebruikmaken van Microsoft Defender voor Eindpunt.
  • Manipulatiebeveiliging: beschikbaar in Windows en macOS met Defender voor Eindpunt P1 of hogere licenties.

Kwetsbaarheid voor aanvallen verminderen:

  • Vereisten: Microsoft Defender Antivirus moet de primaire antivirusoplossing zijn.
  • ASR-regels: Regels voor het verminderen van kwetsbaarheid voor aanvallen zijn systeemeigen Microsoft Defender Antivirus-functies die zijn geïntegreerd met Defender voor Eindpunt.
  • Apparaatbeheer: geavanceerde beleidsregels voor apparaatbeheer maken gebruik van de bewakingsmogelijkheden van Defender voor randapparatuur.

Toepassingsbeheer:

  • Beheerde installatieprogramma's: integratie met de toepassingstags en vertrouwensmechanismen van Defender.
  • Beleidshandhaving: maakt gebruik van Defender-infrastructuur voor beslissingen over toepassingsbeheer.

Voordelen van Defender-integratie

  • Geïntegreerde beveiligingspostuur: gecentraliseerde zichtbaarheid van eindpuntbeveiligingsbeleid en detectie van bedreigingen.
  • Geavanceerde rapportage: gecombineerde gegevens over apparaatcompatibiliteit en bedreigingsinformatie.
  • Platformoverschrijdend beheer: consistente implementatie van beveiligingsbeleid in Windows, macOS en Linux via de Defender-agent.
  • Beheer van beveiligingsinstellingen: beheer het geselecteerde eindpuntbeveiligingsbeleid (Antivirus, Attack Surface Reduction, EDR) op niet-ingeschreven apparaten via de Defender-portal. Zie beheer van beveiligingsinstellingen Microsoft Defender voor Eindpunt.

Vereisten voor Defender-integratie

  • Licentie: Microsoft Defender voor Eindpunt P1-licentie of hoger.
  • Tenantverbinding: Service-naar-service-verbinding tussen Intune en Defender voor Eindpunt-tenants.
  • Agentimplementatie: Defender voor Eindpunt-agent geïnstalleerd op doelapparaten (vereist voor sommige beleidstypen).
  • Netwerkconnectiviteit: Apparaattoegang tot *.dm.microsoft.com eindpunten voor beheer en beleidscommunicatie van Defender-beveiligingsinstellingen.

Volgende stappen

  • Last updated on