Microsoft Intune configureren voor Zero Trust: Beveiligde tenants (preview)

Het beveiligen van uw Intune tenant is essentieel voor het afdwingen van Zero Trust principes en het onderhouden van een veilige, goed beheerde omgeving. Deze aanbevelingen komen overeen met het Secure Future Initiative van Microsoft door de straal van ontploffing te beperken en toegang met minimale bevoegdheden af te dwingen via gesegmenteerd beheer, veilige onboarding van apparaten en beleidsgestuurde beveiliging. Samen helpen ze risico's te verminderen, tenanthygiëne te handhaven en de naleving op alle platforms te versterken.

Zero Trust beveiligingsaanbeveling

De configuratie van de bereiktag wordt afgedwongen ter ondersteuning van gedelegeerd beheer en toegang met minimale bevoegdheden

Als Intune bereiktags niet correct zijn geconfigureerd voor gedelegeerd beheer, kunnen aanvallers die bevoegde toegang krijgen tot Intune of Microsoft Entra ID bevoegdheden escaleren en toegang krijgen tot gevoelige apparaatconfiguraties in de tenant. Zonder gedetailleerde bereiktags zijn de beheergrenzen onduidelijk, waardoor aanvallers zich lateraal kunnen verplaatsen, apparaatbeleid kunnen manipuleren, configuratiegegevens kunnen exfiltreren of schadelijke instellingen kunnen implementeren op alle gebruikers en apparaten. Een enkel gecompromitteerd beheerdersaccount kan van invloed zijn op de hele omgeving. De afwezigheid van gedelegeerd beheer ondermijnt ook de minst bevoorrechte toegang, waardoor het moeilijk wordt om schendingen in te perken en aansprakelijkheid af te dwingen. Aanvallers kunnen gebruikmaken van globale beheerdersrollen of onjuist geconfigureerde RBAC-toewijzingen (op rollen gebaseerd toegangsbeheer) om nalevingsbeleid te omzeilen en brede controle over apparaatbeheer te krijgen.

Het afdwingen van bereiktags segmenteert beheerderstoegang en lijnt deze uit met de organisatiegrenzen. Dit beperkt de straal van gecompromitteerde accounts, biedt ondersteuning voor toegang met minimale bevoegdheden en komt overeen met Zero Trust principes van segmentatie, op rollen gebaseerd beheer en insluiting.

Herstelactie

Gebruik Intune bereiktags en RBAC-rollen om beheerderstoegang te beperken op basis van rol, geografie of bedrijfseenheid:

Meldingen voor apparaatinschrijving worden afgedwongen om gebruikersbewustzijn en veilige onboarding te garanderen

Zonder meldingen voor apparaatinschrijving zijn gebruikers er mogelijk niet van op de hoogte dat hun apparaat is ingeschreven bij Intune, met name in gevallen van niet-geautoriseerde of onverwachte inschrijving. Dit gebrek aan zichtbaarheid kan het melden van verdachte activiteiten door gebruikers vertragen en het risico vergroten dat onbeheerde of gecompromitteerde apparaten toegang krijgen tot bedrijfsresources. Aanvallers die gebruikersreferenties verkrijgen of zelfinschrijvingsstromen misbruiken, kunnen op de achtergrond apparaten onboarden, waardoor gebruikersonderzoek worden overgeslagen en gegevensblootstelling of laterale verplaatsing mogelijk worden gemaakt.

Inschrijvingsmeldingen bieden gebruikers een beter inzicht in de onboardingactiviteit van apparaten. Ze helpen bij het detecteren van onbevoegde inschrijving, het versterken van veilige inrichtingspraktijken en ondersteunen Zero Trust principes van zichtbaarheid, verificatie en gebruikersbetrokkenheid.

Herstelactie

Configureer Intune inschrijvingsmeldingen om gebruikers te waarschuwen wanneer hun apparaat is ingeschreven en om veilige onboardingprocedures te versterken:

Automatische inschrijving van Windows-apparaten wordt afgedwongen om risico's van onbeheerde eindpunten te elimineren

Als automatische inschrijving van Windows niet is ingeschakeld, kunnen onbeheerde apparaten een toegangspunt worden voor aanvallers. Bedreigingsactoren kunnen deze apparaten gebruiken om toegang te krijgen tot bedrijfsgegevens, nalevingsbeleid te omzeilen en beveiligingsproblemen in de omgeving te introduceren. Apparaten die zijn gekoppeld aan Microsoft Entra zonder Intune inschrijving, zorgen voor hiaten in zichtbaarheid en controle. Deze niet-beheerde eindpunten kunnen zwakke punten in het besturingssysteem of onjuist geconfigureerde toepassingen blootleggen die aanvallers kunnen misbruiken.

Als u automatische inschrijving afdwingt, zorgt u ervoor dat Windows-apparaten vanaf het begin worden beheerd, waardoor consistente beleidsafdwinging en inzicht in naleving mogelijk zijn. Dit ondersteunt Zero Trust door ervoor te zorgen dat alle apparaten worden geverifieerd, bewaakt en beheerd door beveiligingscontroles.

Herstelactie

Schakel automatische inschrijving in voor Windows-apparaten met behulp van Intune en Microsoft Entra om ervoor te zorgen dat alle apparaten die lid zijn van een domein of Entra, worden beheerd:

Zie voor meer informatie:

Nalevingsbeleid beveiligt Windows-apparaten

Als nalevingsbeleid voor Windows-apparaten niet is geconfigureerd en toegewezen, kunnen bedreigingsactoren onbeheerde of niet-compatibele eindpunten misbruiken om onbevoegde toegang te krijgen tot bedrijfsresources, beveiligingscontroles te omzeilen en binnen de omgeving te blijven. Zonder afgedwongen naleving kunnen apparaten kritieke beveiligingsconfiguraties missen, zoals BitLocker-versleuteling, wachtwoordvereisten, firewallinstellingen en besturingselementen voor besturingssysteemversies. Deze hiaten vergroten het risico op gegevenslekken, escalatie van bevoegdheden en laterale verplaatsing. Inconsistente apparaatcompatibiliteit verzwakt de beveiligingspostuur van de organisatie en maakt het moeilijker om bedreigingen te detecteren en te herstellen voordat aanzienlijke schade optreedt.

Het afdwingen van nalevingsbeleid zorgt ervoor dat Windows-apparaten voldoen aan de belangrijkste beveiligingsvereisten en ondersteunt Zero Trust door de apparaatstatus te valideren en de blootstelling aan onjuist geconfigureerde eindpunten te verminderen.

Herstelactie

Maak en wijs Intune nalevingsbeleid toe aan Windows-apparaten om organisatiestandaarden voor beveiligde toegang en beheer af te dwingen:

Nalevingsbeleid beveiligt macOS-apparaten

Als nalevingsbeleid voor macOS-apparaten niet is geconfigureerd en toegewezen, kunnen bedreigingsactoren onbeheerde of niet-compatibele eindpunten misbruiken om onbevoegde toegang te krijgen tot bedrijfsresources, beveiligingscontroles te omzeilen en binnen de omgeving te blijven. Zonder afgedwongen naleving kunnen macOS-apparaten essentiële beveiligingsconfiguraties missen, zoals versleuteling van gegevensopslag, wachtwoordvereisten en besturingselementen voor besturingssysteemversies. Deze hiaten vergroten het risico op gegevenslekken, escalatie van bevoegdheden en laterale verplaatsing. Inconsistente apparaatcompatibiliteit verzwakt de beveiligingspostuur van de organisatie en maakt het moeilijker om bedreigingen te detecteren en te herstellen voordat aanzienlijke schade optreedt.

Het afdwingen van nalevingsbeleid zorgt ervoor dat macOS-apparaten voldoen aan de belangrijkste beveiligingsvereisten en ondersteunt Zero Trust door de apparaatstatus te valideren en de blootstelling aan onjuist geconfigureerde eindpunten te verminderen.

Herstelacties

Maak en wijs Intune nalevingsbeleid toe aan macOS-apparaten om organisatiestandaarden voor beveiligde toegang en beheer af te dwingen:

Nalevingsbeleid beveiligt volledig beheerde Android-apparaten in bedrijfseigendom

Als nalevingsbeleid niet is toegewezen aan volledig beheerde Android Enterprise-apparaten in Intune, kunnen bedreigingsactoren niet-compatibele eindpunten misbruiken om onbevoegde toegang te krijgen tot bedrijfsresources, beveiligingscontroles te omzeilen en in de omgeving te blijven. Zonder afgedwongen naleving kunnen apparaten kritieke beveiligingsconfiguraties missen, zoals wachtwoordcodevereisten, versleuteling van gegevensopslag en besturingselementen voor besturingssysteemversies. Deze hiaten vergroten het risico op gegevenslekken, escalatie van bevoegdheden en laterale verplaatsing. Inconsistente apparaatcompatibiliteit verzwakt de beveiligingspostuur van de organisatie en maakt het moeilijker om bedreigingen te detecteren en te herstellen voordat aanzienlijke schade optreedt.

Het afdwingen van nalevingsbeleid zorgt ervoor dat Android Enterprise-apparaten voldoen aan de belangrijkste beveiligingsvereisten en ondersteunt Zero Trust door de status van het apparaat te valideren en de blootstelling aan onjuist geconfigureerde of onbeheerde eindpunten te verminderen.

Herstelactie

Maak en wijs Intune nalevingsbeleid toe aan volledig beheerde Android Enterprise-apparaten in bedrijfseigendom om organisatiestandaarden voor beveiligde toegang en beheer af te dwingen:

Nalevingsbeleid beschermt Android-apparaten in persoonlijk eigendom

Als nalevingsbeleid niet wordt toegewezen aan Android Enterprise-apparaten in persoonlijk eigendom in Intune, kunnen bedreigingsactoren niet-compatibele eindpunten misbruiken om onbevoegde toegang te krijgen tot bedrijfsresources, beveiligingscontroles omzeilen en beveiligingsproblemen introduceren. Zonder afgedwongen naleving kunnen apparaten kritieke beveiligingsconfiguraties missen, zoals wachtwoordcodevereisten, versleuteling van gegevensopslag en besturingselementen voor besturingssysteemversies. Deze hiaten vergroten het risico op gegevenslekken en onbevoegde toegang. Inconsistente apparaatcompatibiliteit verzwakt de beveiligingspostuur van de organisatie en maakt het moeilijker om bedreigingen te detecteren en te herstellen voordat aanzienlijke schade optreedt.

Het afdwingen van nalevingsbeleid zorgt ervoor dat Android-apparaten in persoonlijk eigendom voldoen aan de belangrijkste beveiligingsvereisten en ondersteunt Zero Trust door de apparaatstatus te valideren en de blootstelling aan onjuist geconfigureerde of onbeheerde eindpunten te verminderen.

Herstelactie

Maak en wijs Intune nalevingsbeleid toe aan Android Enterprise-apparaten in persoonlijk eigendom om organisatiestandaarden voor beveiligde toegang en beheer af te dwingen:

Nalevingsbeleid beschermt iOS-/iPadOS-apparaten

Als nalevingsbeleid niet is toegewezen aan iOS-/iPadOS-apparaten in Intune, kunnen bedreigingsactoren niet-compatibele eindpunten misbruiken om onbevoegde toegang tot bedrijfsresources te krijgen, beveiligingscontroles te omzeilen en in de omgeving te blijven. Zonder afgedwongen naleving kunnen apparaten kritieke beveiligingsconfiguraties missen, zoals wachtwoordcodevereisten en besturingselementen voor besturingssysteemversies. Deze hiaten vergroten het risico op gegevenslekken, escalatie van bevoegdheden en laterale verplaatsing. Inconsistente apparaatcompatibiliteit verzwakt de beveiligingspostuur van de organisatie en maakt het moeilijker om bedreigingen te detecteren en te herstellen voordat aanzienlijke schade optreedt.

Het afdwingen van nalevingsbeleid zorgt ervoor dat iOS-/iPadOS-apparaten voldoen aan de belangrijkste beveiligingsvereisten en ondersteunt Zero Trust door de apparaatstatus te valideren en de blootstelling aan onjuist geconfigureerde of onbeheerde eindpunten te verminderen.

Herstelactie

Maak en wijs Intune nalevingsbeleid toe aan iOS-/iPadOS-apparaten om organisatiestandaarden voor beveiligde toegang en beheer af te dwingen:

Platform SSO is geconfigureerd om verificatie op macOS-apparaten te versterken

Als platform-SSO-beleid niet wordt afgedwongen op macOS-apparaten, kunnen eindpunten afhankelijk zijn van onveilige of inconsistente verificatiemechanismen, waardoor aanvallers het beleid voor voorwaardelijke toegang en naleving kunnen omzeilen. Dit opent de deur naar laterale verplaatsing tussen cloudservices en on-premises resources, met name wanneer federatieve identiteiten worden gebruikt. Bedreigingsactoren kunnen blijven bestaan door gebruik te maken van gestolen tokens of referenties in de cache en gevoelige gegevens te exfiltreren via onbeheerde apps of browsersessies. Het ontbreken van SSO-afdwinging ondermijnt ook het app-beveiligingsbeleid en de apparaatpostuurevaluaties, waardoor het moeilijk is om inbreuken te detecteren en te onder controle te houden. Uiteindelijk komt het niet configureren en toewijzen van beleid voor eenmalige aanmelding van macOS Platform de identiteitsbeveiliging in gevaar en wordt de Zero Trust houding van de organisatie verzwakt.

Het afdwingen van platform-SSO-beleid op macOS-apparaten zorgt voor consistente, veilige verificatie voor alle apps en services. Dit versterkt de beveiliging van identiteiten, ondersteunt het afdwingen van voorwaardelijke toegang en sluit aan bij Zero Trust door de afhankelijkheid van lokale referenties te verminderen en de houdingsevaluaties te verbeteren.

Herstelactie

Gebruik Intune om platform-SSO-beleid voor macOS-apparaten te configureren en toe te wijzen om beveiligde verificatie af te dwingen en identiteitsbeveiliging te versterken. Zie:

Automatische inschrijving van Defender voor Eindpunt wordt afgedwongen om het risico van onbeheerde Android-bedreigingen te verminderen

Als automatische inschrijving bij Microsoft Defender voor Eindpunt niet is geconfigureerd voor Android-apparaten in Intune, blijven beheerde eindpunten mogelijk niet beveiligd tegen mobiele bedreigingen. Zonder onboarding van Defender hebben apparaten geen geavanceerde detectie- en reactiemogelijkheden voor bedreigingen, waardoor het risico op malware, phishing en andere mobiele aanvallen toeneemt. Niet-beveiligde apparaten kunnen beveiligingsbeleid omzeilen, toegang krijgen tot bedrijfsbronnen en gevoelige gegevens blootstellen aan inbreuk. Deze kloof in mobile threat defense verzwakt de Zero Trust houding van de organisatie en vermindert het inzicht in de status van het eindpunt.

Als u automatische Defender-inschrijving inschakelt, zorgt u ervoor dat Android-apparaten worden beschermd door geavanceerde detectie en reactiemogelijkheden voor bedreigingen. Dit ondersteunt Zero Trust door bescherming tegen mobiele bedreigingen af te dwingen, de zichtbaarheid te verbeteren en de blootstelling aan onbeheerde of aangetaste eindpunten te verminderen.

Herstelactie

Gebruik Intune om automatische inschrijving bij Microsoft Defender voor Eindpunt voor Android-apparaten te configureren om beveiliging tegen mobiele bedreigingen af te dwingen:

Regels voor het opschonen van apparaten handhaven tenanthygiëne door inactieve apparaten te verbergen

Als regels voor het opschonen van apparaten niet zijn geconfigureerd in Intune, kunnen verouderde of inactieve apparaten voor onbepaalde tijd zichtbaar blijven in de tenant. Dit leidt tot onbelangrijke apparaatlijsten, onjuiste rapportage en verminderde zichtbaarheid in het actieve apparaatlandschap. Ongebruikte apparaten kunnen toegangsreferenties of tokens behouden, waardoor het risico op onbevoegde toegang of verkeerd geïnformeerde beleidsbeslissingen toeneemt.

Apparaatopruimingsregels verbergen automatisch inactieve apparaten voor beheerdersweergaven en -rapporten, waardoor de tenanthygiëne wordt verbeterd en de administratieve lasten worden verminderd. Dit ondersteunt Zero Trust door een nauwkeurige en betrouwbare apparaatinventaris bij te houden met behoud van historische gegevens voor controle of onderzoek.

Herstelactie

Configureer Intune regels voor het opschonen van apparaten om inactieve apparaten automatisch te verbergen voor de tenant:

Zie voor meer informatie:

Met beleid voor voorwaarden wordt de toegang tot gevoelige gegevens beschermd

Als beleid voor voorwaarden niet is geconfigureerd en toegewezen in Intune, hebben gebruikers toegang tot bedrijfsresources zonder akkoord te gaan met de vereiste juridische, beveiligings- of gebruiksvoorwaarden. Deze weglating stelt de organisatie bloot aan nalevingsrisico's, wettelijke verplichtingen en mogelijk misbruik van resources.

Het afdwingen van voorwaarden zorgt ervoor dat gebruikers het bedrijfsbeleid accepteren en accepteren voordat ze toegang krijgen tot gevoelige gegevens of systemen, ter ondersteuning van naleving van regelgeving en verantwoord resourcegebruik.

Herstelactie

Maak en wijs beleid voor voorwaarden toe in Intune om gebruikersacceptatie te vereisen voordat u toegang verleent tot bedrijfsresources:

Bedrijfsportal huisstijl- en ondersteuningsinstellingen verbeteren de gebruikerservaring en het vertrouwen

Als de Intune-bedrijfsportal huisstijl niet is geconfigureerd om de details van uw organisatie weer te geven, kunnen gebruikers een algemene interface tegenkomen en hebben ze geen directe ondersteuningsinformatie. Dit vermindert het vertrouwen van gebruikers, verhoogt de ondersteuningsoverhead en kan leiden tot verwarring of vertragingen bij het oplossen van problemen.

Het aanpassen van de Bedrijfsportal met de huisstijl en contactgegevens voor ondersteuning van uw organisatie verbetert het vertrouwen van gebruikers, stroomlijnt de ondersteuning en versterkt de legitimiteit van communicatie over apparaatbeheer.

Herstelactie

Configureer de Intune-bedrijfsportal met de huisstijl en contactgegevens voor ondersteuning van uw organisatie om de gebruikerservaring te verbeteren en de ondersteuningsoverhead te verminderen:

Endpoint Analytics is ingeschakeld om risico's op Windows-apparaten te identificeren

Als eindpuntanalyse niet is ingeschakeld, kunnen bedreigingsactoren misbruik maken van hiaten in de status, prestaties en beveiligingspostuur van het apparaat. Zonder de zichtbaarheid die eindpuntanalyse biedt, kan het moeilijk zijn voor een organisatie om indicatoren te detecteren, zoals afwijkend apparaatgedrag, vertraagde patches of configuratiedrift. Met deze hiaten kunnen aanvallers persistentie tot stand brengen, bevoegdheden escaleren en zich lateraal in de omgeving verplaatsen. Een gebrek aan analysegegevens kan een snelle detectie en reactie belemmeren, waardoor aanvallers misbruik kunnen maken van niet-bewaakte eindpunten voor opdracht en controle, gegevensexfiltratie of verdere inbreuk.

Het inschakelen van eindpuntanalyse biedt inzicht in de status en het gedrag van apparaten, helpt organisaties risico's te detecteren, snel op bedreigingen te reageren en een sterke Zero Trust houding te behouden.

Herstelactie

Windows-apparaten inschrijven voor eindpuntanalyse in Intune om de apparaatstatus te bewaken en risico's te identificeren:

Zie voor meer informatie:

Verwante onderwerpen

  • Last updated on