Een apparaat dat als compliant wordt gemarkeerd in Microsoft Intune geeft u gemoedsrust, maar biedt geen garantie. De compliancestatus zegt iets over een momentopname, niet over wat er in de minuten, uren of dagen daarna op het apparaat gebeurt. In dit artikel leggen we uit wat device compliance wel en niet meet, welke valkuilen organisaties tegenkomen, en hoe u Intune combineert met Conditional Access voor een echt sterke beveiligingspositie.
Stel: u beheert de apparaten van uw medewerkers via Microsoft Intune. Uw compliancebeleid is ingesteld, het dashboard laat een mooie groene lijst zien en vrijwel alle apparaten staan op compliant. Toch wordt er ingelogd op uw bedrijfsomgeving vanaf een apparaat waarop de antivirussoftware al weken niet is bijgewerkt, en de medewerker heeft dat simpelweg niet gemerkt.
Dit scenario is geen theoretische randkans. Het is een van de meest voorkomende misverstanden rond Intune device compliance: de aanname dat compliant gelijk staat aan veilig. Dat is het niet, en het verschil begrijpen is essentieel voor elke organisatie die Microsoft 365 serieus beveiligt.
Device compliance in Intune is een beleidscontrole. U definieert regels, bijvoorbeeld dat de schijf versleuteld moet zijn, dat het besturingssysteem up-to-date is, dat een pincode of wachtwoord is ingesteld, en dat de firewall actief is. Intune controleert periodiek of een apparaat aan die regels voldoet en kent daarna de status compliant of not compliant toe.
Die periodieke controle is meteen ook de eerste valkuil. Intune controleert niet continu. De standaard controle-interval is acht uur voor Windows-apparaten. Dat betekent dat een apparaat dat vanochtend compliant was, dit middernacht misschien al niet meer is, maar dat u dat pas bij de volgende controle te zien krijgt. In die tussenliggende uren heeft het apparaat gewoon toegang tot uw bedrijfsdata.
Microsoft Intune heeft een standaardinstelling die bij veel organisaties onbewust een beveiligingsrisico oplevert: apparaten zonder toegewezen compliancebeleid worden standaard als compliant beschouwd. Dit klinkt onschuldig, maar in de praktijk betekent het dat een nieuw aangemeld apparaat, of een apparaat dat buiten de scope van uw beleidsregels valt, automatisch toegang heeft tot uw omgeving zonder ook maar één controle te hebben doorstaan.
De aanbeveling van Microsoft zelf is dan ook om deze instelling expliciet te wijzigen naar not compliant voor apparaten zonder beleid. Zo dwingt u af dat elk apparaat een actief compliancebeleid nodig heeft voordat het toegang krijgt. Dit is een van de eerste instellingen die u zou moeten controleren bij een Intune-configuratiedoorlichting.
Device compliance op zichzelf heeft beperkte waarde als het niet is gekoppeld aan Conditional Access in Microsoft Entra. Compliance is de meting, Conditional Access is de handhaving. Zonder die koppeling stelt u vast dat een apparaat niet compliant is, maar blokkeert u de toegang niet.
Conditional Access stelt u in staat regels te definiëren als: sta toegang tot Microsoft 365 alleen toe als het apparaat compliant is EN de gebruiker multifactorauthenticatie heeft voltooid. Dit is de combinatie die werkelijk tanden geeft aan uw compliancebeleid. Een apparaat dat niet aan de eisen voldoet, komt simpelweg niet meer binnen, ongeacht of de medewerker de juiste inloggegevens heeft.
Wanneer u Conditional Access voor het eerst configureert, raden we aan te starten in de zogenoemde report-only modus. In deze modus evalueert het systeem al uw verkeer tegen de beleidsregels en laat het zien welke gebruikers en apparaten zouden worden geblokkeerd, zonder dat er daadwerkelijk iemand wordt tegengehouden. Zo voorkomt u dat u per ongeluk legitieme medewerkers buitensluit bij het aanscherpen van de instellingen.
Een solide basisbeleid voor Windows-apparaten bevat minimaal de volgende controles. Ten eerste schijfversleuteling via BitLocker: zonder versleuteling zijn gegevens op een verloren of gestolen laptop volledig toegankelijk. Ten tweede een minimale versie van het besturingssysteem: apparaten die draaien op een versie zonder actuele beveiligingsupdates zijn kwetsbaar voor bekende aanvallen. Ten derde een actieve firewall en antivirusbeveiliging: Intune kan via de Windows Security Center-integratie controleren of deze actief zijn. Ten vierde wachtwoord- of pincodeafdwinging: zonder vergrendeling is een onbeheerd apparaat een open deur.
Voor mobiele apparaten, iOS en Android, gelden vergelijkbare eisen, aangevuld met controles op of het apparaat jailbroken of geroot is. Een jailbroken telefoon omzeilt de beveiligingslagen van het besturingssysteem en mag nooit toegang hebben tot bedrijfsdata.
Een ander risico dat organisaties regelmatig onderschatten is de zogenoemde shadow IT: apparaten die medewerkers gebruiken voor werk maar die nooit zijn aangemeld bij Intune. Een privéklaptop, een oud zakelijk apparaat dat nooit is overgedragen, een tablet van thuis. Deze apparaten zijn onzichtbaar voor uw compliancebeleid en worden door Intune simpelweg niet meegenomen in de beoordeling.
De enige manier om dit structureel te adresseren is door Conditional Access zo in te richten dat alleen beheerde en compliant-apparaten toegang hebben. Onbeheerde apparaten worden dan standaard geblokkeerd, ongeacht of de gebruiker de juiste inloggegevens heeft. Dit is een bewuste keuze die organisaties soms uitstellen omdat het weerstand oproept bij medewerkers die gewend zijn overal in te loggen. Maar het is de enige manier om werkelijk grip te houden op wie en wat toegang heeft tot uw bedrijfsomgeving.
Een goede aanpak begint met een inventarisatie: welke apparaten zijn er, welke zijn al in Intune, welke niet, en wat zijn de huidige compliancescores? Vervolgens stelt u een basisbeleid op dat aansluit bij uw risicobereidheid en de aard van uw data. Voor een advocatenkantoor of een zorginstelling zullen de eisen strenger zijn dan voor een klein marketingbureau.
Daarna koppelt u het compliancebeleid aan Conditional Access, begin in report-only modus, evalueer de resultaten en schakel daarna over naar afdwinging. Dit is geen eenmalig project maar een doorlopend beheerproces. Besturingssystemen worden bijgewerkt, nieuwe apparaten worden toegevoegd en beveiligingseisen veranderen. Compliance is een toestand die u actief moet onderhouden, geen configuratie die u eenmalig instelt.
Wilt u weten hoe uw huidige Intune-inrichting ervoor staat en waar de blinde vlekken zitten? Zarioh voert Intune-configuratiedoorlichtingen uit voor MKB-organisaties en helpt bij het opzetten van een compliancebeleid dat aansluit op uw specifieke situatie. Neem contact met ons op voor een vrijblijvend gesprek.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.
