Bedrijfslaptops en -telefoons zijn de nieuwe buitengrens van uw beveiliging. Met Microsoft Intune beheert u alle apparaten centraal vanuit de cloud: uitrol zonder een IT-er ter plaatse, beveiligingsbeleid dat automatisch afdwingt en BYOD-bescherming die het privégebruik met rust laat.
Toen het merendeel van de medewerkers vijf dagen per week op kantoor zat en alle apparaten verbonden waren met één bedrijfsnetwerk, was apparaatbeheer relatief eenvoudig. Alles stond achter de bedrijfsfirewall, updates werden via een centrale server uitgerold en een kabel verbond elk apparaat met de rest. Dat model bestaat nog wel, maar het dekt de werkelijkheid voor de meeste MKB-bedrijven al lang niet meer.
Medewerkers werken thuis, onderweg en bij klanten. Laptops worden op verschillende locaties gebruikt, telefoons zijn zowel privé als zakelijk. Applicaties draaien in de cloud in plaats van op een lokale server. Het gevolg: de traditionele netwerkgrens als beveiligingsmodel werkt niet meer. Wat werkt, is apparaatbeheer vanuit de cloud. Microsoft Intune is daarvoor de meest toegankelijke keuze voor MKB-bedrijven.
Intune is het apparaat- en applicatiebeheerplatform van Microsoft, onderdeel van de bredere Microsoft Intune Suite en nauw gekoppeld aan Microsoft Entra ID en Microsoft 365. Het kent twee kernfuncties. Mobile Device Management, kortweg MDM, geeft volledige beheerrechten over een apparaat. U kunt beleid afdwingen, applicaties uitrollen, apparaten op afstand vergrendelen of wissen en inzicht krijgen in de nalevingsstatus.
Mobile Application Management, ofwel MAM, richt zich uitsluitend op de bedrijfsapplicaties en -gegevens op een apparaat, zonder het apparaat zelf volledig te beheren. Dit is de sleuteloptie voor privéapparaten: medewerkers behouden volledig eigendom over hun telefoon, terwijl de IT-afdeling alleen de bedrijfsgegevens beschermt en bij uitdiensttreding selectief wist.
Een van de krachtigste combinaties is Intune samen met Windows Autopilot. Autopilot stelt u in staat een nieuwe laptop rechtstreeks van de leverancier naar een medewerker te sturen, zonder dat een IT-er het apparaat fysiek hoeft te configureren. De medewerker pakt de laptop uit, meldt zich aan met zijn bedrijfsaccount en Autopilot regelt de rest: computernaam, applicaties, certificaten, beveiligingsinstellingen en koppeling aan Entra ID.
Voorwaarde is dat de hardwareleverancier het apparaat vooraf registreert in uw Autopilot-omgeving, iets wat de meeste gerenommeerde zakelijke leveranciers standaard kunnen. Het resultaat is een volledig ingericht apparaat dat voldoet aan uw beveiligingseisen, zonder dat een IT-er naar de medewerker hoeft te reizen. Voor MKB-organisaties met meerdere vestigingen of een hybride werkmodel is dat een concrete tijdsbesparing bij elke nieuwe indiensttreding.
Intune laat u nalevingsbeleidsregels definiëren die bepalen of een apparaat als veilig wordt beschouwd. Voorbeelden: schijfversleuteling moet ingeschakeld zijn, het besturingssysteem mag niet ouder zijn dan een bepaalde patchversie, er moet een vergrendelingscode zijn ingesteld en er mag geen onbekende software zijn gedetecteerd. Apparaten die niet aan die regels voldoen krijgen de status 'niet-conform'.
De kracht zit in de koppeling met Voorwaardelijke toegang in Entra ID. Een niet-conform apparaat verliest automatisch toegang tot Microsoft 365, Teams, SharePoint en andere bedrijfsapplicaties. De medewerker ziet een melding met de instructie wat er opgelost moet worden. Zodra het apparaat weer voldoet, wordt de toegang automatisch hersteld, zonder handmatige tussenkomst.
Via Intune rolt u applicaties uit naar specifieke groepen apparaten of gebruikers. Een verkoopmedewerker krijgt automatisch de CRM-client en het offerteprogramma. De financiële afdeling krijgt de boekhoudsoftware. Iedereen krijgt de bedrijfsbrowser met de gewenste instellingen. U kunt applicaties instellen als verplicht of als beschikbaar in de bedrijfsportal, waar medewerkers zelf kunnen installeren wat ze nodig hebben.
Naast uitrol bewaakt Intune ook of applicaties actueel zijn. Voor Microsoft 365-apps beheert Intune de updatecyclus. Voor andere applicaties beschikbaar als Win32-pakket of via de Microsoft Store is automatisch bijwerken instelbaar. Dat betekent minder achtergelopen versies in uw omgeving en een kleiner aanvalsoppervlak voor kwaadwillenden.
Niet elk MKB-bedrijf wil privéapparaten volledig beheren, en dat is een terecht standpunt. Medewerkers die hun eigen telefoon ook zakelijk gebruiken hebben een redelijke verwachting van privacy op hun persoonlijke toestel. Met MAM-beleid in Intune kiest u de middenweg: zakelijke gegevens binnen apps als Outlook, Teams en OneDrive worden versleuteld, beveiligd met een eigen pincode en kunnen op afstand gewist worden zonder dat het privégedeelte van het apparaat wordt geraakt.
Zodra een medewerker uit dienst gaat, wist u met één handeling alle bedrijfsgegevens van zijn privéapparaat. Foto's, berichten en persoonlijke apps blijven volledig intact. Dit maakt BYOD beheersbaar zonder dat medewerkers het gevoel krijgen dat uw IT-afdeling toegang heeft tot hun persoonlijke leven.
Intune is inbegrepen in Microsoft 365 Business Premium, de meest voorkomende zakelijke licentie voor MKB-bedrijven tussen de tien en driehonderd gebruikers. Als u al op Business Premium zit, beschikt u over Intune en hoeft u alleen de inrichting te verzorgen. Voor organisaties op Business Standard is Intune beschikbaar als aparte uitbreiding of via een upgrade naar Business Premium, waarbij ook Microsoft Defender for Business en uitgebreide Entra-functies worden meegeleverd.
De zakelijke rechtvaardiging is relatief eenvoudig aan te tonen. Minder uren voor handmatige apparaatconfiguratie, minder beveiligingsincidenten door afdwingbaar beleid en minder uitval door verouderde software. Voor organisaties met vijf of meer apparaten die regelmatig buiten de deur worden gebruikt, weegt de tijdsbesparing in het eerste jaar in de meeste gevallen ruimschoots op tegen de licentiekosten.
Een Intune-uitrol verloopt het beste in drie fasen. Fase een is inventarisatie: welke apparaten zijn in omloop, op welk besturingssysteem draaien ze, wie heeft wat en waar zitten de grootste risico's. Fase twee is een pilotgroep van vijf tot tien medewerkers, bij voorkeur met verschillende apparaattypen en gebruikspatronen. U test het beleid, ontdekt uitzonderingen en verfijnt de instellingen zonder de hele organisatie te raken.
Fase drie is de brede uitrol, waarbij u communicatie en ondersteuning inplant. Medewerkers moeten begrijpen wat er verandert en waarom, zeker bij BYOD-scenario's waar de stap naar zakelijk beheer soms weerstand oplevert. Met heldere uitleg en een goede helpdeskopzet verloopt die overgang in vrijwel alle gevallen vlotter dan verwacht.
Wilt u advies over de inrichting van Intune in uw omgeving, hulp bij de keuze tussen MDM en MAM voor uw situatie, of ondersteuning bij de Autopilot-registratie van nieuwe apparaten? Neem contact op met Zarioh voor een vrijblijvend gesprek.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.
