Logo of CSN Groep

Hoe houd je jouw devices veilig met Microsoft-oplossingen?

Nog niet zo lang geleden hebben we de Microsoft-oplossingen besproken die je data veilig houden. Nu is het tijd om nog een stapje verder te gaan door de beheer- en identiteitsopties van devices uiteen te zetten. Zo is Microsoft Endpoint Manager een beheeroptie en Hybrid Azure Active Directory een identiteitsoptie. Wanneer gebruik je nu wat om je devices optimaal te beheren en te beschermen?

Het beheren en beschermen van gegevens

Microsoft Endpoint Manager zorgt ervoor dat gegevens in zowel de cloud als lokaal beschermd blijven. Met Microsoft Endpoint Manager combineer je services die je naar alle waarschijnlijkheid al kent en gebruikt, zoals Configuration Manager, Windows Autopilot, Microsoft Intune, co-beheer en Desktop Analytics. Al deze services en hulpprogramma’s zijn onderdeel van de Microsoft 365-stack. Ze helpen je de toegang tot mobiele apparaten, virtuele machines, desktopcomputers, servers en ingesloten apparaten te beveiligen, risico’s te beheren en gegevens te beschermen.

Devices veilig met Microsoft
Eén oplossing

Microsoft Endpoint Manager biedt met behulp van Configuration Manager en Intune voor elke soort gebruiker één oplossing voor het beheer van endpoints via de cloud. Zo kun je met Configuration Manager direct van de cloud profiteren zonder dat dit invloed heeft op je huidige manier van werken. Je blijft dus Windows 10 devices op dezelfde manier beheren. Zolang je geen workloads overschakelt naar Intune, blijven alle instellingen en apps werken zoals je dat gewend bent.

Ben je klaar voor de volgende stap, dan kun je co-beheer inschakelen om je bestaande Configuration Manager te koppelen aan Microsoft 365 cloud. Windows 10 devices zijn vervolgens eenvoudig te beheren met zowel Configuration Manager als Intune. Met Configuration Manager bepaal je van welke workloads je het beheer overschakelt naar Intune. Dit heeft als voordeel dat je een aantal taken lokaal kunt blijven uitvoeren en andere in de cloud met Intune. Je kunt ervoor kiezen om uiteindelijk alle workloads vanuit de cloud te beheren, maar beslis dit vooral per device. Niet alle devices hoeven immers op dezelfde manier te worden beheerd. Elk device kan weer een ander doel hebben en daarom verschillende beheer- en identiteitsvereisten.

Als je nog geen apparaten in beheer hebt, is het vrij eenvoudig om direct te kiezen voor een cloud-oplossing met Intune.

Cloudidentiteit

Met co-beheer is het noodzakelijk dat het Windows 10 device een cloudidentiteit heeft. Deze identiteit kan alleen beheerd worden met een (hybride) Azure AD-koppeling. Als het device al via Configuration Manager wordt beheerd en dit device is toegevoegd aan Active Directory, dan moet deze ook aan de hybride worden toegevoegd voordat je co-beheer kunt inschakelen. Heb je te maken met een nieuw Windows 10 device dat alleen toegevoegd is aan een cloud-domein met Azure AD, dan kun je co-beheer direct in schakelen. In dat geval is een hybride Azure AD-koppeling dus niet noodzakelijk.

Identiteit beheren

Voor het gebruik van Windows-omgevingen vanaf Windows 2000 heeft Microsoft Active Directory Domain Services (AD DS) ontwikkeld. We voegen al meer dan tien jaar onze Windows-devices toe aan Active Directory (AD) om IT-afdelingen van een centrale locatie devices te laten beheren. Het zorgt er ook voor dat gebruikers kunnen inloggen op hun device met hun AD-werkaccount of -schoolaccount.

Met Azure AD beheert en verbindt de IT-beheerder eenvoudig de identiteit van devices, gebruikers, groepen en Multi Factor Authentication (MFA) in zowel lokale als cloud-omgevingen. Zodra de verbinding is gemaakt, kun je de devices ook registreren in Azure AD. Deze verbinding en registratie is beter bekend onder de naam Hybride Azure AD join. Het grote voordeel van de Azure AD join is dat het de productiviteit van je gebruikers en de beveiliging van je data en applicaties verbetert. Daarnaast vormt het de basis voor zowel beheer als per device ingestelde toegangscontrole.

Waarom zou je een device direct koppelen aan Azure AD?
  • Single Sign On: Je medewerkers hoeven slechts één keer in te loggen om bij alle clouddiensten vanuit Microsoft cloud te kunnen. Denk hierbij aan toegang tot: Office 365, Dynamics CRM Online en andere vooraf geïntegreerde SaaS-apps. Dit kunnen ook SaaS-apps zijn van andere partijen als SAP en Exact.
  • Bring/Choose Your Own Device: Bespaar kosten en geef je medewerkers meer vrijheidsgevoel door het omarmen van persoonlijk aangeschafte (BYOD) of zakelijk uitgekozen devices (CYOD).
  • Beheer: Het IT-team kan nieuwe devices met Windows 10 die Azure AD joinen automatisch in beheer nemen met Microsoft Intune. Beschik je al over Configuration Manager, dan kun je Intune integreren, zodat je vanuit één omgeving alle devices onder controle krijgt.
Wat past er bij mij?

Wanneer ga je met welke oplossing aan de slag? Dat hangt af hoe van je huidige IT-beleid en welke veranderingen je daar eventueel in wil doorvoeren. Ga voor jezelf na of:

  • je regels en controle-instellingen toevoegt voor gebruikers, devices en apps. Begin in dat geval met Intune.
  • je al gebruikmaakt van Configuration Manager voor het implementeren van apps. Wil je de cloudfunctie voorwaardelijke toegang gebruiken vanwege beveiligingseisen, kies dan voor co-beheer voor het ontgrendelen van deze functie.
  • je enkel gebruikmaakt van de cloud. Dan kunnen alle gegevens worden opgeslagen in Azure. Dit heeft als voordeel dat je geen gebruik hoeft te maken van datacenters en het biedt je de beveiligingsvoordelen van Azure.
  • je een omgeving hebt (net als de meeste organisaties) dat bestaat uit zowel een koppeling naar de cloud als lokale applicaties. Gebruik dan voor nieuwe devices Intune om gegevens te openen en te beveiligen. Bij gebruik van Configuration Manager kun je de verbinding met de cloud maken voor extra functionaliteit en analysemogelijkheden. Schakel co-beheer in zodra je een aantal workloads naar de cloud wil verplaatsen.

Werk je nog met een volledige on-premises infrastructuur en maakt Configuration Manager daar deel vanuit, dan kun je de bestaande systemen blijven gebruiken.

Samenwerking

Je kun profiteren van de mogelijkheden van Azure AD door hybride Azure AD-gekoppelde devices te implementeren, terwijl je met het dashboard van co-beheer de devices in jouw IT-omgeving kunt controleren. Er is dus een samenwerking ontstaan tussen een beheer- en identiteitsoptie. Het doel is om vanuit één omgeving je devices te kunnen controleren en om je medewerkers op een veilige manier toegang te verlenen tot alle clouddiensten vanuit Microsoft cloud.

Twijfel je over de beste oplossing voor jouw situatie? Neem gerust eens contact met mij op voor advies op maat. 

beheer

en

identiteit

Karste de Vries

Contact Edwin

Bel Edwin van Ommen op 088 999 09 58 of mail naar e.ommen@csngroep.nl

Andere interessante blogs, Andere interessante technische content