Wat speelt er nu bij ShareValue?

Koos Koos / 29-06-2022

5 minuten lezen

Wat is Microsoft Defender for Endpoint nou precies, waar past het binnen het grotere plaatje van Microsoft 365 Defender en wat kan je er allemaal mee? Laatst heb ik hier een presentatie over gegeven tijdens ons evenement ShareVision, maar graag vertel ik het nogmaals in deze blog.

Wat is Microsoft Defender for Endpoint?

Een Endpoint is eigenlijk het apparaat waar jij de gegevens op benadert. Dat kan je laptop zijn, je telefoon, eigenlijk alles waarop je internetverbinding hebt en je bezig bent met bedrijfsdata.

Vaak denken mensen “ik heb toch al Microsoft Defender? Zo heet mijn virusscanner!”. Dat klopt, maar Microsoft Defender for Endpoint is nog een extra laag daar bovenop. Naast de standaardsignalen die een virusscanner oppakt, zijn er nog veel meer verdiepingsslagen die je kan doen. Hier komt Defender voor Endpoint naar voren. Zo werkt Defender voor Endpoint bijvoorbeeld preventief: het voorkomt dat je apparaat geïnfecteerd wordt door een virus, in plaats van reageren wanneer het virus of kwaadwillend bestand al aanwezig is.

Defender voor Endpoint is opgebouwd uit verschillende onderdelen:

De verschillende onderdelen van Microsoft Defender

  1. Bedreigings- en risicobeheer (Threat & Vulnerability Management): wat zijn de huidige bedreigingen op de markt en hoe zorg ik ervoor dat de risico’s zo klein mogelijk blijven?
  2. Kwetsbaarheid voor aanvallen verminderen (Attack surface reduction): door middel van mitigerende technieken voorkomen dat een virus of exploit een ingang kan vinden of worden uitgevoerd.
  3. Beveiliging van de next-generation (Next-generation protection): een tot nu toe onbekende bedreiging wordt gesignaleerd en daar wordt actie op ondernomen.
  4. Endpoint detectie en response: kijkt meer naar de big picture. Als bijvoorbeeld één laptop een virus heeft, dan wordt die geclassificeerd als ‘high risk laptop’. Je kunt een access rule instellen dat laptops die zijn geclassificeerd als high risk, geen toegang hebben tot de bedrijfsdata.
  5. Geautomatiseerd onderzoek en herstel (Automated investigation and remediation): bepaalde regels instellen om minder geavanceerde gevaren te voorkomen en genezen. Hier is dan geen security-expert voor nodig om dit handmatig te doen; dat doet het systeem voor je.
  6. Microsoft Threat experts: voor als je het niet zeker weet, kan je altijd experts online inschakelen die je dan kunnen helpen bij je (mogelijke) infectie.

Plaats binnen Microsoft 365 Defender Suite

Bij Defender voor Endpoint kijk je dus voornamelijk naar de apparaten binnen je organisatie. Maar er zijn nog meer producten binnen Microsoft 365 Defender. Laten we het daar ook even over hebben.

Microsoft Defender for Office 365: als je een Microsoft 365 – licentie hebt, neem je dit eigenlijk al af. In combinatie met Exchange Online Protection heb je dan al een heel sterk beveiligingspakket wat zich bezighoudt met alle Office-programma’s als Word, PowerPoint, Excel (waar nog wel eens bijzondere macro’s inzitten). Exchange Online Protection houdt zich voornamelijk bezig met mails waar bijvoorbeeld bijlages in zitten. Hiermee heb je dus al best veel afgevangen.

Azure AD Identity Protection houdt zicht vooral bezig met Azure AD. En dan heb je ook nog Microsoft Defender for Identity. Deze twee lijken erg op elkaar, maar de laatste houdt zich vooral bezig met de On-Prem Active Directory en AD FS. Deze gaan dus eigenlijk hand in hand, maar de een zit voornamelijk in de cloud, waar de ander echt On-Prem actief is.

De Microsoft Defender Suite

Alle signalen samen, van die verschillende pakketten, kan je terugvinden in de Defenderportal. Die portal laat ik aan het eind van deze blog even zien in een video.

Defender in actie

Een casus ter voorbeeld!

Stel: er komt een mailtje binnen met een bijlage die niet pluis is. Als die bijlage bekend is en het echt niet de bedoeling is dat deze bijlage geopend wordt, is daar Exchange Online Protection die dat oppakt.

Wordt het niet opgepakt en wordt de malware geïnstalleerd (of geprobeerd), dan komt Defender for Endpoint om de hoek kijken en onderneemt de actie. Heb je dat pakket niet of gebeurt er iets anders waardoor het niet wordt opgepakt? Dan komen de andere pakketten in actie. Is het bijvoorbeeld een fishing-praktijk en komt de aanvaller aan de gegevens van de gebruiker, zoals gebruikersnaam en wachtwoord, dan komt Defender for Identity om de hoek kijken. Die ziet bijvoorbeeld dat je vijf minuten geleden nog aan je bureau zat in Amsterdam en nu ineens in Sint Petersburg. Dat is raar, een ‘impossible travel’, dus log maar even in met een two-factor-authentication. Verifieer maar even dat jij het echt bent.

Microsoft Cloud App Security houdt zich meer bezig met signaleren dan met echt in actie komen. Als je ineens veel meer data verbruikt dan eerst bijvoorbeeld: dan geeft het aan ‘dit is niet gebruikelijk! Hier moet iemand van Security naar kijken!’

Licenties

Er zijn twee plannen voor Microsoft Defender for Endpoint: plan 1 en plan 2. Als je Microsoft 365 E3 hebt, heb je al Plan 1. Als je E5 hebt, heb je plan 2. Wat is nou het verschil?

Plan 1:

Microsoft Defender for Endpoint plan 1

Bij plan 1 heb je voornamelijk de Attack Surface Reduction (voorkomt dat dingen gebeuren) en de Next Generation Protection.

Plan 2:

Microsoft Defender for Endpoint plan 2

Hier heb je meer inzichten. Geautomatiseerde reacties. En je kunt de Threat Experts inschakelen (dat kan bij Plan 1 ook, maar daar zal je dan een aparte Add-on licentie voor moeten afnemen ).

Meer weten over licenties en hoe ShareValue je daarbij kan helpen? Neem dan vooral eens contact op!

De Microsoft 365 Defender Portal

In onderstaande video geef ik een korte demo van de Microsoft 365 Defender Portal.

Accepteer cookies om deze video te bekijken.

Mocht je nou nog vragen hebben over Microsoft 365 Defender for Endpoint en hoe je dit in kunt zetten bij jouw organisatie: laat het ons weten! Ik denk graag met je mee.

/ 24-02-2022

2 minuten lezen

Hoe gaaf zou het zijn om een applicatie te draaien in een omgeving die zich continu op basis van de behoefte uitbreidt of zelfs verkleint? Een omgeving die volledig geautomatiseerd als een mechanisme functioneert en dynamisch is? De wereld van hedendaagse containers en microservices is een oplossing die dit kan waarmaken. Dit wordt mede mogelijk gemaakt door Kubernetes (in het Grieks “stuurman (iemand die aan het roer staat) of piloot”).

Traditionele datacentertechnieken waarbij elke applicatie op een afzonderlijke virtuele machine draait, vragen veel kracht en brengen zo hoge kosten met zich mee. Kubernetes daarentegen is een orchestrator die de onderliggende container-virtualisatie-software (Docker) aan het managen is. Het opspinnen of opschalen van een container duurt in veel gevallen enkele seconden, omdat het alleen een container hoeft op te spinnen in plaats van eerst een systeem met daaropvolgend de applicatie. Op het gebied van schaalbaarheid en performance zorgt deze oplossing voor een efficiënt applicatielandschap.

Kubernetes fungeert als orchestrator

Wat moet je je voorstellen bij Kubernetes?

Je kunt het eigenlijk vergelijken met een zeehaven waar de Docker Nodes de containerschepen zijn en dat Kubernetes de kranen, geautomatiseerde voertuigen en opslag van de containers in de haven beheert. Op basis van de vraag naar containers breidt Kubernetes de omgeving uit en plaatst dit zelf op de schepen (Docker Nodes). Het plaatsen van de containers wordt bepaald door de configuratie van de orchestrator.

Het is te vergelijken met een zeehaven

Een oplossing die zelfs Kubernetes automatiseert

Hoe mooi zou het zijn om zelfs Kubernetes te automatiseren? Om dit gemakkelijker te maken heeft Microsoft een mooi laagje over het hele Kubernetes platform gebouwd: AKS (Azure Kubernetes Services). AKS is een samenstelling van de Operating System, Virtualisatie Software (Docker) en Orchestrator (Kubernetes). Dit maakt deployment en management on the go mogelijk. Vanuit de Azure portal is het mogelijk om met een aantal drukken op de knop een volledige Kubernetes cluster uit te rollen.

Je vraagt je dan misschien af hoe het zit met de configuratie. Die zijn simpel in te laden door parameter files en de meest belangrijke opties zijn al aan te passen via de Web interface. Zoals het opschalen van de nodes en het verkrijgen van nuttige informatie over de workload (pods), nodes (workers), networking, security en identity and access management van de omgeving.

Dit was het even in het kort over Kubernetes. De volgende keer gaan we dieper in op verschillende onderdelen. Mochten mijn collega’s en ik je in de tussentijd kunnen helpen bij het werken met Kubernetes of een ander vraagstuk binnen Azure, laat het ons weten. We helpen graag!

Barry Barry / 15-12-2021

5 minuten lezen

Sinds lange tijd is het mogelijk om weer een congres bij te wonen. Samen met twee collega’s ben ik op maandag 29 november naar Düsseldorf gereden.

Nadat we waren ingecheckt, hebben we drie steps gehuurd om naar het congrescentrum te gaan en onze registratie te voltooien. Dit bleek een goed idee: er was nog niemand aanwezig dus we konden rustig onze badges ophalen.

De volgende dag zijn we vroeg opgestaan om op tijd te gaan ontbijten. Bij het ontbijt blijkt al dat bijna alle hotelgasten deelnemers of sprekers zijn van het congres. Na het ontbijt in de auto. Het weer is erg slecht, dus vandaag geen step.

Aangekomen bij het congres laten we onze QR-codes en identiteitsbewijzen zien om toegang tot het congres te krijgen. Om aan te geven dat iedere dag iedereen werd gecontroleerd bij binnenkomst, werd per dag een andere kleur sticker gebruikt.

De keynote

Als eerste ga je, zoals altijd, naar de keynote. Deze begon anders dan je van te voren had verwacht, namelijk met een zandkunstenaar. Dit was een mooie verrassing.

De zandkunstenaar

Daarna nam Mike Fitzmaurice het woord op zijn gebruikelijke manier - met veel energie - om iedereen welkom te heten. Ditzelfde werd daarna gedaan door Spencer Harbar. Hierop volgde een videosessie door Jeff Teper, corporate vice president Microsoft 365. Hij deelde een overzicht van wat voor hem de belangrijkste aankondigingen zijn geweest op Ignite. Hierbij kan Microsoft Loop natuurlijk niet ontbreken.

Na de opening vonden er twee verschillende keynotes plaats, omdat het een gecombineerd congres was. Ik ben gegaan voor de keynote van de Cloud Summit.

KEYNOTE Cloud Summit

Deze keynote werd gegeven door Clemens Vasters, Lead Architect for the messaging and eventing services binnen het Microsoft Azure portfolio. Het is dan ook vanzelfsprekend dat deze sessie ging over message en eventing services. Een interessant verhaal waarbij verschillende types zijn besproken en een aantal best practices gedeeld.

Zo gaf Clements bijvoorbeeld aan dat wanneer je met jobs werkt, je altijd queues moet gebruiken om zo de load te kunnen verdelen. Hierdoor bouw je een stabielere en betere oplossing.

Gebruik queues bij jobs

De sessies

Toen beide keynotes voorbij waren en we een koffie break gehad hadden, was het tijd voor alle sessies. Een mooi detail is dat alle koffiebreaks in de Expo hal waren. Hierdoor werden de sponsors goed bezocht. Ander leuke gimmick was dat ze een virtuele munt hadden die je kon verdienen door een QR-code te scannen bij de sessies en de evaluatie in te vullen. Daarbij kon je extra munten verdienen als je een sponsor bezocht. Van deze munten kon je vervolgens allerlei swag krijgen en ook korting op het kaartje voor de Cloud Summit van 2022.

De agenda was vol, per tijdslot keuze uit ongeveer 8 sessies. Door corona waren er wel wat afzeggingen, zowel onder sprekers als deelnemers. Maar de organisatie heeft dit goed opgepakt en waar mogelijk ook weer opgevuld met andere sessies.

Hierbij een paar belangrijke zaken die mij zijn opgevallen tijdens de sessies die ik gevolgd heb.

Conditional Access & App Controls

Deze sessie is mij het meest bijgebleven en werd gegeven door Nicki Borell. Hierin werd goed uitgelegd wat je kan doen met Microsoft Defender for Cloud Apps (voorheen Microsoft Cloud App Security) in combinatie met Conditional Access. Met Microsoft Defender for Cloud Apps kan je verschillende applicaties blokkeren of juist op voorwaarde toestaan.

Microsoft Defender for Cloud Apps

Voordat je apps kunt beveiligen met deze oplossing, moet je ze eerst verbinden. Voor Microsoft 365 en Azure kan je dit vrij makkelijk doen, omdat deze al bekend zijn binnen het portaal, maar je moet ze wel toevoegen. Wanneer je een third party applicatie wilt koppelen, moet je een wizard doorlopen en daarbij alle gevraagde gegevens opgeven, zoals authenticatie URL e.d.

Wanneer een applicatie gekoppeld is, kan je deze voorzien van verschillende policies. De eindgebruiker ziet onderstaand scherm wanneer bijvoorbeeld Teams geopend wordt.

Het scherm dat de eindgebruiker ziet

Binnen een policy kan je verschillende instellingen definiëren. Een voorbeeld hiervan is dat wanneer je inlogt vanaf een onbeheerd apparaat, je dan geen documenten mag downloaden. Of je mag het wel downloaden, maar de download wordt dan voorzien van een sensitivity label, als deze nog niet gekoppeld is.

Misschien is het beste advies nog wel dat je altijd moet beginnen met de scenario’s en bepalen wat je wilt bereiken. Wanneer dit duidelijk is, weet je wat je moet inrichten en dus ook welke licenties je hiervoor nodig hebt.

All About Microsoft 365 Sensitivity Labels

Deze sessie werd gegeven door Tony Redmond en vertelde hij over alles wat te maken heeft met sensitivity labels, zoals de titel al verklapt.

Een belangrijke les die ik heb meegenomen uit deze sessie is dat je geduld moet hebben wanneer je gaat werken met sensitivity labels, de policies worden namelijk elke vier uur vernieuwd.

Mits je de juiste licenties hebt, kan je ook automatisch gaan labelen. Dit klinkt heel mooi, en dat is het, maar kan wel lang duren. Gemiddeld worden er ongeveer 25 duizend documenten per dag voorzien van een label.

Een ander goed punt is dat labels twee verschillende rollen hebben. Het beschermen van documenten en/of e-mails en het beschermen van een gehele container. Een container kan zijn:

  • Microsoft Team
  • SharePoint Site
  • Microsoft 365 Group

Wanneer je een document in een container plaats wordt deze beschermd door het label van de container. Echter wanneer je dit document uit de container haalt, zullen de instellingen niet meer gelden.

Een paar tips die we hebben meegekregen zijn:

  • Gebruik verschillende labels voor containers en documenten
  • Maak de inrichting zo simpel mogelijk
  • Gebruik duidelijke namen en sorteer ze op basis van sensitiviteit
  • Verwijderd nooit een label. Gebruik hiervoor het depubliceren.

En nog veel meer…

Uiteraard hebben we nog veel meer interessante sessies gezien, onder andere over Power BI, Kubernetes en een ‘robot’ voor het organiseren van een vergadering. Als ik over alle sessies zou schrijven wat we daar hebben opgepikt, schrijf ik bijna een heel boekwerk bij elkaar. Ik houd het dus even hierbij.

We houden de ontwikkelingen nauwlettend in de gaten en zullen ook in 2022 weer events bij ShareValue organiseren en blogs schrijven om jullie op de hoogte te houden. Mocht je nu al met specifieke vragen zitten, laat het dan gerust weten. Mijn collega’s en ik zijn altijd bereid om mee te denken naar de beste oplossing voor jóuw uitdaging.

Mark Mark / 16-11-2021

4 minuten lezen

Met het nieuwe werken van tegenwoordig onderzoeken veel bedrijven manieren om hun organisatie veerkrachtiger te maken. Daarbij komt de wens vaak naar voren om een veilige, externe bureaublad- en app-ervaring aan te bieden, waartoe werknemers vanaf vrijwel iedere locatie toegang hebben. Hier komt Azure Virtual Desktop naar voren als oplossing voor de organisatie. Een flexibel VDI-platform in de Cloud dat volledig wordt gehost op Microsoft Azure.

Virtual Desktop Infrastructure (VDI)

VDI wordt ingezet door bedrijven om een externe bureaublad-ervaring te bieden aan hun werknemers. Deze ervaring wordt vaak geleverd via Remote Desktop Services (RDS). Alleen is RDS een on-premise oplossing, wat inhoudt dat er meer beheerwerkzaamheden zijn voor de organisatie en de organisatie niet de voordelen van de moderniseringsmogelijkheden van bureaubladvirtualisatie in de Cloud heeft. Een RDS-omgeving wordt volledig door de organisatie beheerd en bij de Azure Virtual Desktop omgeving neemt Microsoft een gedeelte van het beheer over. Dit is het SAAS-gedeelte dat Microsoft biedt in de oplossing.

In de illustratie hieronder zie je de verschillen.

Traditionele RDS-omgeving

Microsoft-Managed

Het gedeelte bovenin het plaatje is een traditionele RDS-omgeving, waar de organisatie het beheer heeft over de services rondom de RD web access, gateway en broker. Het gedeelte onderin het plaatje geeft het Microsoft-Managed (SAAS) gedeelte weer bij Azure/Windows Virtual Desktop omgeving en dit bespaart de organisatie beheerwerkzaamheden.

Voordelen VDI in de Cloud

Wat is het voordeel om een VDI in de Cloud te overwegen? Azure Virtual Desktop wordt volledig gehost op Microsoft Azure waarmee je kunt beschikken over alle voordelen van modernisering zoals schaalbaarheid en lagere infrastructuurkosten. Daarnaast profiteert de organisatie van de voordelen van Azure, zoals geïntegreerde Microsoft-beveiligingsfuncties en de unieke multisessie-ervaring van Windows 10 Enterprise, die de Windows 10-ervaring combineert met de mogelijkheid om meerdere gelijktijdige gebruikerssessies uit te voeren, wat voorheen alleen beschikbaar was op Windows Server-besturingssystemen en een ander groot voordeel is de sterke samenwerking van de Microsoft 365-suite in combinatie met Azure Virtual Desktop.

FSLogix en Endpointmanager

Een andere functie die beschikbaar is, is de mogelijkheid om virtuele Windows 10 Enterprise multi-sessions-machines te beheren via Endpoint Manager, net zoals beheerders dit doen voor fysieke machines. Dit verbetert het proces van het beheren van zowel fysieke als virtuele desktops verder met behulp van het Endpoint Manager-beheercentrum. Een ander voordeel is de sterke optimalisatie van het profielbeheer met FSLogix.

FSLogix bewaart complete gebruikersprofielen in een profielcontainer binnen Azure storage welke bij het aanmelden dynamisch wordt gekoppeld aan de externe bureaublad- en app omgeving. Hierdoor is een gebruikersprofiel direct beschikbaar bij het starten van een sessie, wat daarmee snel is en het optimaliseert tevens de werking met Outlook en OneDrive.

Azure Virtual Desktop vs Windows 365

Beide platformen zijn een Desktop as a Service (DAAS) oplossing. Windows 365 is een echte Cloud-PC oplossing terwijl je met Azure Virtual Desktop naast een Full-desktop ook alleen de app-ervaring kunt aanbieden. De oplossingen maken beide gebruik van dezelfde control plane binnen Azure. De contol plane bestaat uit zaken zoals het web portal, gateway, connection broker, licensing en de diagnostics service. Deze componenten worden gemanaged door Microsoft.

Het grote verschil is als volgt:

Azure Virtual Desktop vereist dat alle sessiehost Virtuele Machines (VM’s), FSLogix profielopslag en netwerken zijn opgenomen in het Azure abonnement van de organisatie. Microsoft beheert de componenten van de control plane, terwijl de klant volledig verantwoordelijk is voor de VM’s, storage en netwerken. Met Windows 365 is alle rekenkracht (de VM’s) ondergebracht in een door Microsoft beheerd Azure abonnement. Dit betekent dat organisaties geen directe toegang hebben om de VM resources te beheren, aangezien deze resources niet toegankelijk zijn in hun Azure abonnement, dit kan bij Azure Virtual Desktop wel, waardoor je meer invloed hebt op kosten van de Azure resources. Bij Azure Virtual Desktop kunnen de sessiehosts gepoolde desktops aanbieden. Hiermee kan één VM worden gebruikt door meerdere gebruikers. Een Windows 365 Cloud-PC is een VM die is toegewezen aan één gebruiker via permanente toewijzing.

Prijzen voor Azure Virtual Desktop

De prijzen voor Azure Virtual Desktop bestaan uit twee onderdelen. De Azure infrastructuur zoals de Hostpool (sessiehost Virtuele Machines) en de storage. Een ander onderdeel zijn gebruikerstoegangsrechten. De licentierechten zijn inbegrepen in bijvoorbeeld een Microsoft 365 E3/E5 abonnement of per gebruiker af te nemen. Vanaf 1 januari 2022 zijn de prijzen per gebruiker verdeeld in alleen de apps of het extern bureaublad.

Kortom: indien de organisatie-omgeving geschikt is voor de infrastructuur van Azure Virtual Desktop, dan is er minder beheer, het is veilig en schaalbaar in de Cloud en het kan kosten besparen op licenties en de server infrastructuur.

Meer weten?

Wil je meer weten over Azure Virtual Desktop? Bekijk dan de algemene informatie en de prijsinformatie. Indien je aan de slag wilt met Azure Virtual Desktop of Windows 365 Cloud en we je hierbij kunnen helpen laat het ons weten. We helpen hier graag bij!

Barry Barry / 26-07-2021

2 minuten lezen

Microsoft heeft kort geleden aangekondigd dat ze met een nieuwe functionaliteit komen om het hybride werken nog meer te ondersteunen.

Windows 365 Cloud PC

Met deze techniek gaat Microsoft Desktop as a Service (DaaS) bieden. Deze cloud PC’s zullen in eerste instantie draaien op basis van Windows 10 en als later dit jaar Windows 11 beschikbaar komt zal dit ook als Cloud PC worden ondersteund.

Microsoft wil met het aanbieden van deze functionaliteiten bedrijven helpen om het hybride werken beter en gemakkelijker te maken. De Cloud PC maakt gebruik van alle Cloud-technieken en kan hierdoor op goede en veilige manier worden aangeboden. Daarbij zullen er apps voor alle bekende systemen zijn om verbinding te kunnen maken met de Desktop.

Windows 365 web portaal

Voor het gebruik van de Cloud PC heeft Microsoft een nieuw portaal beschikbaar gesteld, cloudpc.microsoft.com.

Via dit portaal kan de gebruiker gemakkelijk zijn eigen pc beheren. Hierbij kan je denken aan het herstarten of bij de juiste rechten het vergroten van de pc.

Windows 365 web portaal

Daarnaast biedt het portaal de mogelijkheid om verbinding te maken met de pc doormiddel van de browser of door het downloaden van de desbetreffende cliënt.

Remote desktop downloads

Beheer

De Cloud PC worden beheerd en uitgerold met behulp van Microsoft Endpoint Manager. Hiermee kunnen alle policies worden toegepast zoals op ‘normale’ apparaten.

Microsoft Endpoint Manager

Voor de Cloud PC zijn er verschillende type images bekend voor licht, gemiddeld en zwaar werk. Hierbij zijn standaard alle Office applicaties en Microsoft Teams geïnstalleerd. Daarnaast is het ook mogelijk om een eigen image te uploaden. De verschillende images kunnen dan aan Azure Active Directory groepen worden gekoppeld.

Prijzen

Op dit moment zijn er nog geen prijzen bekend: deze worden binnenkort bekend gemaakt. Dit zal wel een fixed price zijn op basis van de grootte van de Virtuele Machine. Deze kunnen, net zoals de huidige Microsoft 365 licenties, via het admin center aan gebruikers worden gekoppeld.

Technische vereisten

Om Windows 365 Cloud PC’s te kunnen activeren moet je de volgende licenties en rechten hebben.

  • Licentie voor het gebruik van de Cloud PC / Windows 365
    • Gebruiker met Windows 10 Pro
      • Windows 10 Enterprise E3 + EMS E3
      • Microsoft 365 F3/E3/E5/BP

  • Azure subscriptie
    • Owner rol voor het opzetten van een vNet virtual netwerk.

  • Hybrid identities in Azure AD wanneer er gebruikt wordt gemaakt van een on-premise Active Directory
  • Microsoft Intune licenties (bijvoorbeeld Microsoft 365 E3)
    • Intune Service Admin rechten voor het beheren van de Cloud PC’s

Meer weten?

Voor meer info en technische uitwerking kan je kijken op: Get started with Windows 365 – Microsoft Tech Community.

Mocht je Windows 365 Cloud PC in actie willen zien kijk dan op: Windows 365, your Cloud PC | What it is, how it works, and how to set it up – YouTube

Indien je aan de slag wilt met Windows 365 Cloud en we je hierbij kunnen helpen; laat het ons weten. Ook voor ons is het nieuw, maar we bijten ons er graag in vast!

Barry Barry / 20-05-2021

4 minuten lezen

Door de coronacrisis werden we overhaast gedwongen om met z’n allen vanuit huis te werken. Ondertussen hebben de meeste organisaties de juiste tools ingericht om samen te werken, bijvoorbeeld met Microsoft Teams. Maar hoe blijf je in controle van de apparaten en data waarmee je medewerkers vanaf externe locaties werken? Hoe zorgt Microsoft ervoor dat je bedrijfsgegevens ook buiten kantoor veilig zijn?

Microsoft Endpoint Manager

Microsoft Endpoint Manager voor modern werkplekbeheer

De moderne werkplek is helemaal van deze tijd, maar daar hoort ook modern werkplekbeheer bij. Of je nu in de cloud of on-premises werkt. Microsoft ontwikkelde de Endpoint Manager om de toenemende hoeveelheid apparaten te beheren die gebruik willen maken van het bedrijfsnetwerk. Het maakt daarbij niet uit welk OS je gebruikt (bijvoorbeeld macOS of Windows) en of een apparaat een bedrijfslaptop of privésmartphone is. Je creëert zelf een beleid waaraan apparaten moeten voldoen om toegang te krijgen tot bepaalde applicaties en bedrijfsgegevens. Op die manier kunnen medewerkers aan de slag waar en wanneer ze dat willen en zorg jij ervoor dat je compliant bent.

Configureren op afstand

Een onderdeel van Microsoft’s Endpoint Manager is de Intune. Hiermee kun je applicaties, updates en besturingssystemen installeren en configureren op apparaten die gekoppeld zijn met je bedrijfsnetwerk of Azure Active Directory. De Endpoint Manager ondersteunt je bij het beheer van servers, desktops, laptops, mobiele telefoons en configuratie van toegang, apps en software-updates.

Toegangsautorisatie

Het controleren en beheren van de toegang is een eerste stap in de beveiliging van je bedrijfsgegevens. Als beheerder kun je via de Endpoint Manager encryptie van de harde schijf en de aanwezigheid van antivirussoftware op het apparaat afdwingen. Pas dan krijgt een medewerker toegang tot een applicatie. Dit is mogelijk voor zowel beheerde als privéapparaten. Hierin kun je onderscheid maken, door bijvoorbeeld voor privéapparaten tweestapsverificatie te vereisen of minimaal Windows 10 of iOS 14. Ook per gebruiker kun je de toegangsinstellingen aanpassen: apparaten van de Raad van Bestuur beveilig je zwaarder dan apparaten van administratieve medewerkers.

Conditional access

Applicaties beheren

Om een zakelijke applicatie te gebruiken, regel je voor beheerde apparaten in dat je als gebruiker Face ID of een pincode nodig hebt voor toegang tot het apparaat. Maar bijvoorbeeld bij een privésmartphone kun je dit niet afdwingen. Dus dat vereist bepaalde instellingen van de applicatie zelf, zoals een pincode bij het openen van de app. Verder kun je instellen dat je geen data vanuit een zakelijke applicatie mag kopiëren naar een applicatie buiten het netwerk, zoals vanuit je bedrijfsmail naar WhatsApp. Waar je via beheerde apparaten volledig in controle bent over de applicaties, is dat een uitdaging voor privéapparaten en de Endpoint Manager helpt je daarbij.

Updates installeren

Waar je voorheen op kantoor moest zijn om updates op een apparaat te implementeren, kan dat nu op afstand. Gelukkig maar, want software-updates bevatten vaak belangrijke beveiligingspatches om lekken te dichten of kwetsbaarheden op te lossen. Niet iedere medewerker heeft zin om een update op zijn of haar apparaat te installeren, want dat kost tijd of ze vinden het niet belangrijk. Dan is het ook mogelijk om updates te pushen, zodat applicaties binnen 24 uur automatisch worden geüpdatet.

Hoe zit het met de privacy van medewerkers?

Medewerkers vinden het vaak maar niets dat een beheerder hun zakelijke apparaat of de applicaties op hun privéapparaat kan beheren op afstand. Voor hen voelt het vaak alsof de organisatie over hun schouder meekijkt naar alles wat ze bijvoorbeeld op hun smartphone doen. De Endpoint Manager biedt daar een handigheidje voor in de vorm van het bedrijfsportaal. Daarmee zie je als gebruiker exact wat een beheerder kan zien.

Bovendien is het zo dat beheerders alleen de configuratie van het apparaat of de app zien en nooit de inhoud. Als een medewerker een technisch probleem heeft, kan een beheerder op afstand meekijken op het apparaat via bijvoorbeeld TeamViewer. Maar daar is altijd toestemming (via een pop-up) voor nodig van de eindgebruiker. Dus ook dat gebeurt niet zomaar en niet zonder medeweten van de medewerker.

Privacy!

Wat als een apparaat is gestolen of verloren?

Met zoveel apparaten buiten het kantoor, is het natuurlijk mogelijk dat een apparaat wordt verloren of zelfs gestolen. Via de Endpoint Manager wis je op afstand alle gegevens van het apparaat of zet je het hele apparaat dicht, zodat je er niets meer mee kan. Ook bij een privéapparaat kun je gegevens van een zakelijke applicatie wissen. Gebruikt een medewerker Outlook zowel zakelijk als privé? Een beheerder wist altijd alleen de zakelijke gegevens, het privéaccount blijft dus gewoon bestaan.

Bedrijfsgegevens beschermen met Microsoft Endpoint Manager

Nu we minder vaak op kantoor zijn, zorgt Microsoft Endpoint Manager ervoor dat beheerders apparaten en applicaties op afstand kunnen beheren en configureren. Zo houd je controle op de apparaten die verbinding maken met je bedrijfsnetwerk en bescherm je bedrijfs- en gevoelige persoonsgegevens. Zo werken medewerkers altijd veilig, ongeacht hun locatie.

Wil je ook in controle blijven van je apparaten en data met Microsoft Endpoint Manager? En ben je nieuwsgierig wat wij voor je kunnen betekenen om locatieonafhankelijk werken veilig in te richten? Neem dan vrijblijvend contact met ons op, we helpen je graag verder.

{description}

Heb je een Microsoft Expert nodig?

Neem contact met ons op
{description}

Zoek je een nieuwe baan?

Bekijk onze vacatures