Applicatiebeveiligingsbeleid (APP) configureren in Microsoft Intune

Applicatiebeveiligingsbeleid (APP) configureren in Microsoft Intune

14/06/2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het configureren en implementeren van Application Protection Policies (APP), ook wel bekend als aanmeldingsvrij Mobile Application Management (MAM), in Microsoft Intune. APP's zijn cruciaal voor het beschermen van bedrijfsgegevens op mobiele apparaten, ongeacht of deze worden beheerd door Intune (MDM) of onbeheerd (BYOD - Bring Your Own Device), en zorgen ervoor dat de gegevens van de organisatie veilig en geïsoleerd blijven van persoonlijke gegevens [1].

Introductie

In een scenario waarin mobiliteit essentieel is en het gebruik van persoonlijke apparaten voor werkdoeleinden (BYOD) steeds gebruikelijker wordt, wordt het beschermen van bedrijfsgegevens een aanzienlijke uitdaging. Microsoft Intune App Protection Policies (APP) biedt een robuuste oplossing voor dit probleem, waardoor organisaties kunnen bepalen hoe bedrijfsgegevens worden benaderd, gebruikt en gedeeld binnen specifieke mobiele applicaties, zonder dat ze het hele apparaat hoeven te beheren. Dit betekent dat je gegevens kunt beschermen in apps als Outlook, Word, Excel, SharePoint en andere apps die worden beheerd door Intune, zelfs op apparaten die niet zijn ingeschreven bij MDM [2].

Deze praktische gids behandelt het creëren en configureren van APP-beleid voor iOS/iPadOS en Android, inclusief het definiëren van toegangscontroles, gegevensbescherming en nalevingsvereisten. Er worden stapsgewijze instructies, configuratievoorbeelden en validatiemethoden gegeven, zodat de lezer een effectieve strategie voor gegevensbescherming kan implementeren, gevoelige informatie kan beschermen en naleving van de regelgeving op mobiele apparaten kan garanderen.

Waarom is Application Protection Policy (APP) cruciaal?

  • Enterprise Data Protection: Voorkomt gegevensverlies (DLP) door acties zoals kopiëren, plakken, opslaan als en printscreen in beheerde applicaties te controleren.
  • BYOD-ondersteuning: Hiermee kunnen gebruikers hun persoonlijke apparaten voor hun werk gebruiken en tegelijkertijd bedrijfsgegevens beschermen zonder inbreuk te maken op de persoonlijke privacy.
  • Flexibele toegangscontrole: vereist een pincode, biometrie of bedrijfsreferenties om toegang te krijgen tot beheerde applicaties, zodat alleen geautoriseerde gebruikers toegang hebben tot bedrijfsgegevens.
  • Gegevensisolatie: Zorgt ervoor dat bedrijfsgegevens niet kunnen worden verplaatst naar onbeheerde persoonlijke applicaties of opslag.
  • Compliance: Helpt te voldoen aan wettelijke vereisten die gegevensbescherming op mobiele apparaten vereisen.
  • Verbeterde gebruikerservaring: Biedt een consistente en veilige gebruikerservaring voor alle bedrijfsapplicaties.

Vereisten

Om Application Protection Policies (APP) in Microsoft Intune te implementeren, hebt u de volgende items nodig:

  1. Licenties: een licentie die Microsoft Intune omvat (bijvoorbeeld Microsoft 365 E3, E5, F3, Business Premium, Enterprise Mobility + Security E3, E5) [3].
  2. Beheerderstoegang: een account met de machtigingen 'Intune Administrator', 'Intune Application Administrator' of 'Global Administrator' in het Microsoft Intune-beheercentrum ('https://endpoint.microsoft.com').
  3. Door Intune beheerde apps: de apps die u wilt beschermen moeten "MAM-aware" (MAM-compatibel) zijn, zoals Microsoft 365-apps (Outlook, Word, Excel, PowerPoint, OneDrive, SharePoint, Teams) en andere line-of-business-apps die zijn geïntegreerd met de Intune App Protection SDK [4].
  4. Testapparaten: iOS/iPadOS- en Android-apparaten om beleid te testen.

Stap voor stap: Applicatiebeschermingsbeleid (APP) configureren

Laten we een APP-beleid maken voor iOS/iPadOS en Android om bedrijfsgegevens in Microsoft 365-apps te beschermen.

1. Toegang tot het Microsoft Intune-beheercentrum

  1. Open uw browser en navigeer naar https://endpoint.microsoft.com.
  2. Log in met een account dat over de benodigde rechten beschikt.

2. Een nieuw applicatiebeveiligingsbeleid maken

  1. Selecteer in het linkernavigatievenster Applicaties > Applicatiebeveiligingsbeleid.
  2. Klik op Beleid maken en selecteer het gewenste platform (bijvoorbeeld: iOS/iPadOS). We zullen het proces herhalenvoor Android.

Stap 1: Basisinformatie

  1. Naam: APP - iOS - Bescherming van bedrijfsgegevens (of APP - Android - Bescherming van bedrijfsgegevens).
  2. Beschrijving: Beleid om bedrijfsgegevens in Microsoft 365-apps op iOS/iPadOS-apparaten te beschermen.
  3. Klik op Volgende.

Stap 2: Toepassingen

Hier selecteert u de toepassingen waarop dit beleid van toepassing is.

  1. Doelapps: Selecteer 'Alle Microsoft-apps' (om alle Microsoft 365-apps en andere Microsoft-apps die APP ondersteunen te beschermen) of 'Selecteer aangepaste apps' (om specifieke apps te kiezen).
  2. Selecteer voor dit voorbeeld 'Alle Microsoft-apps'.
  3. Klik op Volgende.

Stap 3: Gegevensbescherming

In dit gedeelte wordt gedefinieerd hoe bedrijfsgegevens binnen applicaties worden beschermd.

Gegevensoverdrachten:

  1. Organisatiegegevens naar andere apps verzenden: Selecteer 'Alle apps' of 'Geen apps'.
    • Tip: Voor maximale veiligheid voorkomt 'Geen apps' dat bedrijfsgegevens naar persoonlijke apps worden verplaatst. Als u interoperabiliteit nodig heeft met onbeheerde line-of-business-applicaties, overweeg dan 'Alle applicaties' met aanvullende beperkingen.
  2. Gegevens ontvangen van andere apps: Selecteer 'Alle apps' of 'Geen apps'.
  3. Gebruikers toestaan ​​kopieën van organisatiegegevens op te slaan: Selecteer 'Geen toepassingen'.
  4. Gebruikers toestaan ​​kopieën van organisatiegegevens op te slaan in geselecteerde cloudservices: als u het opslaan in specifieke cloudservices (bijvoorbeeld OneDrive voor Bedrijven, SharePoint) wilt toestaan, configureert u dit hier.

Codering:

  1. Organisatiegegevens versleutelen: Selecteer Ja.

Kenmerken:

  1. Beperk functies voor knippen, kopiëren en plakken: Selecteer 'Alleen voor beleidsapps' (om kopiëren en plakken tussen beheerde apps toe te staan, maar niet voor persoonlijke apps) of 'Blokkeren' (om volledig te voorkomen).
  2. Screenshots en schermopname voorkomen: Selecteer Ja.
  3. Contacten synchroniseren met native apps: Selecteer Blokkeren.

  4. Organisatiegegevens afdrukken: Selecteer Blokkeren.

  5. Klik op Volgende.

Stap 4: Toegangsvereisten

In deze sectie worden de voorwaarden gedefinieerd waaraan een gebruiker moet voldoen om toegang te krijgen tot beheerde applicaties.

  1. PIN voor toegang: Selecteer 'PIN vereisen'.
    • Pincodetype: Numeriek of Complex numeriek.
    • Minimale pincodelengte: 4 (of meer, afhankelijk van het beveiligingsbeleid).
    • Vingerafdruk toestaan ​​in plaats van pincode: Ja (voor het gemak).
  2. Bedrijfsgegevens voor toegang: Selecteer 'Bedrijfsgegevens vereisen' (voor periodieke herauthenticatie).

  3. Apparaat-/applicatiestatuscontrole: Selecteer 'Ja'.

    • Maximum toegestaan ​​dreigingsniveau: Laag of Medium (geïntegreerd met Microsoft Defender voor Endpoint voor iOS/Android).

  4. Klik op Volgende.

Stap 5: Voorwaardelijke lancering

In deze sectie wordt gedefinieerd wat er gebeurt als het apparaat of de app niet aan de beleidsvereisten voldoet.

  1. Toegangs-PIN: Configureer Maximum aantal PIN-pogingen (bijvoorbeeld: 5). Actie: PIN opnieuw instellen of Gegevens wissen.
  2. Offline inloggegevens: Configureer de 'Offline respijtperiode' (bijvoorbeeld '720' minuten). Actie: Toegang blokkeren of Gegevens wissen.

  3. Apparaatdreigingsniveau: Configureer 'Maximum toegestaan ​​dreigingsniveau' (bijvoorbeeld 'Gemiddeld'). Actie: Toegang blokkeren of Gegevens wissen.

  4. Klik op Volgende.

Stap 6: Opdrachten

Wijs het beleid toe aan de gebruikers of groepen die de beheerde applicaties gaan gebruiken.

  1. Opnemen: Selecteer 'Selecteer groepen' en voeg de gebruikersgroepen toe die dit beleid moeten ontvangen (bijvoorbeeld 'Alle gebruikers' of een specifieke groep zakelijke gebruikers).

  2. Verwijderen: (Optioneel) Verwijder indien nodig specifieke groepen.

  3. Klik op Volgende.

Stap 7: Beoordelen en creëren

  1. Controleer alle beleidsinstellingen.
  2. Klik op Maken.

3. Herhalen voor het andere platform (Android)

Herhaal de stappen in sectie 2 om een beleid voor het Android-platform te maken en pas indien nodig de beleidsnaam en -beschrijving aan. Instellingen voor gegevensbescherming, toegangsvereisten en voorwaardelijke vrijgave zijn vergelijkbaar, maar kunnen klein zijnEr zijn platformspecifieke variaties.

Validatie en testen

Het valideren van APP-beleid is van cruciaal belang om ervoor te zorgen dat het naar verwachting werkt en bedrijfsgegevens beschermt.

1. Testen op beheerde en onbeheerde apparaten

  1. Onbeheerd apparaat (BYOD): installeer een beheerde app (bijvoorbeeld Outlook) op een persoonlijk apparaat dat niet is ingeschreven bij Intune (MDM). Log in met een bedrijfsaccount dat binnen de reikwijdte van het APP-beleid valt.
    • Controleer of de applicatie om de toegangspincode of biometrie vraagt.
    • Probeer bedrijfsgegevens naar een persoonlijke toepassing (bijvoorbeeld Kladblok) te kopiëren. De actie moet worden geblokkeerd.
    • Probeer een screenshot te maken binnen de beheerde applicatie. De actie moet worden geblokkeerd of de schermafbeelding moet blanco lijken.
  2. Beheerd apparaat (MDM): test op een bij Intune ingeschreven apparaat (MDM) dezelfde acties om ervoor te zorgen dat het APP-beleid correct wordt toegepast in combinatie met het MDM-beleid.

2. Diagnostische logboeken van Intune controleren

Diagnostische logboeken van Intune kunnen informatie bieden over de handhaving van APP-beleid.

  1. Ga in het Microsoft Intune-beheercentrum naar Problemen oplossen + ondersteuning.
  2. Zoek naar testgebruiker.
  3. In de sectie Applicaties kunt u de status zien van het applicatiebeveiligingsbeleid dat op de gebruiker en applicaties is toegepast.

3. Het statusrapport van het app-beveiligingsbeleid controleren

  1. Ga in het Microsoft Intune-beheercentrum naar Apps > Monitor > App-beveiligingsstatus.
  2. Dit rapport geeft een overzicht van de status van APP-beleid, inclusief gebruikers en applicaties die deze hebben ontvangen en eventuele fouten.

Beveiligingstips en best practices

  • Begin met Audit: Begin voor nieuwe implementaties met minder restrictief beleid of in de auditmodus (indien beschikbaar) om de impact te begrijpen voordat u volledige blokkeringen toepast.
  • Duidelijke communicatie: Communiceer duidelijk met gebruikers over APP-beleid, hun voordelen en hoe dit het gebruik van hun apparaten beïnvloedt. Dit helpt de weerstand te verminderen en de therapietrouw te vergroten.
  • Consistentie tussen platforms: Houd het APP-beleid consistent op iOS/iPadOS en Android voor een uniforme gebruikerservaring en een samenhangend beveiligingsbeleid.
  • Integratie met voorwaardelijke toegang: Combineer APP-beleid met Azure AD voorwaardelijke toegang om te vereisen dat applicaties APP-beveiligd zijn voordat toegang wordt verleend tot bedrijfsbronnen [5].
  • Periodieke evaluatie: Controleer en pas uw APP-beleid regelmatig aan om u aan te passen aan veranderende zakelijke behoeften, het bedreigingslandschap en applicatie-updates.
  • Geef prioriteit aan gevoelige applicaties: begin met het toepassen van APP-beleid op de applicaties die de meest gevoelige gegevens bevatten of die het meest worden gebruikt voor bedrijfsdoeleinden.
  • PIN en biometrie: vereist een pincode of biometrie voor toegang tot beheerde apps voor een extra beveiligingslaag, vooral op gedeelde apparaten.

Algemene probleemoplossing

  • APP-beleid niet toegepast: controleer of de gebruiker zich in de beleidsopnamegroep bevindt. Zorg ervoor dat de app een door Intune beheerde app is en in de lijst met doel-apps staat. Controleer de diagnostische logboeken van Intune.
  • Gebruikers onverwacht geblokkeerd: controleer de instellingen voor 'Voorwaardelijk starten' van het beleid. Het kan zijn dat het apparaat of de app een voorwaarde schendt (bijvoorbeeld een onjuiste pincode, een geroot/gejailbreakt apparaat).
  • Bedrijfsgegevens lekken: Controleer de instellingen voor 'Gegevensbescherming', met name de beperkingen voor 'Organisatiegegevens naar andere applicaties verzenden' en 'Gebruikers toestaan ​​kopieën van organisatiegegevens op te slaan'.
  • App wordt niet weergegeven als beheerd: Zorg ervoor dat de app is geïmplementeerd als een door Intune beheerde app of dat de gebruiker is aangemeld met zijn werkaccount in de app.
  • Problemen met applicatieprestaties: in sommige gevallen kan een zeer restrictief APP-beleid de applicatieprestaties beïnvloeden. Monitor de feedback van gebruikers en pas het beleid indien nodig aan.
  • Conflicten met ander beleid: als er MDM- en APP-beleid op hetzelfde apparaat worden toegepast, zorg er dan voor dat er geen conflicten zijn. APP-genbeleidDit beleid is alleen van toepassing op gegevens in de app, terwijl het MDM-beleid van toepassing is op het apparaat als geheel.

Conclusie

Application Protection Policies (APP) in Microsoft Intune zijn een essentieel hulpmiddel voor het beschermen van bedrijfsgegevens op mobiele apparaten en bieden flexibiliteit en beveiliging voor BYOD-omgevingen. Door gedetailleerde controles te implementeren over de manier waarop gegevens worden benaderd, gebruikt en gedeeld binnen beheerde applicaties, kunnen organisaties het risico op gegevensverlies aanzienlijk beperken en naleving van de regelgeving garanderen. Zorgvuldige configuratie van APP's, gecombineerd met rigoureuze tests en gebruikerseducatie, stelt IT- en beveiligingsteams in staat om de gegevensbescherming buiten de traditionele perimeter uit te breiden, waardoor de meest waardevolle informatie van het bedrijf veilig blijft, ongeacht het gebruikte apparaat. Met deze gids kunnen beveiligingsprofessionals de mobiele beveiliging versterken en informatiemiddelen beschermen in een steeds meer verbonden wereld.

Referenties:

[1] Microsoft Leer. Overzicht van het applicatiebeveiligingsbeleid. Beschikbaar op: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policy [2] Microsoft Leer. Creëer en implementeer applicatiebeveiligingsbeleid. Beschikbaar op: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policies [3] Microsoft Leer. Microsoft Intune-licentievereisten. Beschikbaar op: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [4] Microsoft Leer. Toepassingen beschermd door Microsoft Intune. Beschikbaar op: https://learn.microsoft.com/pt-br/mem/intune/apps/apps-supported-intune-apps [5] Microsoft Leer. Voorwaardelijke toegang met Intune App Protection. Beschikbaar op: https://learn.microsoft.com/pt-br/mem/intune/apps/app-protection-conditional-access