Microsoft heeft onlangs de Intune Suite aangekondigd. De Intune Suite is een uitbreiding op de huidige standaard Intune licentie met daarin nieuwe producten die extra functionaliteit toevoegen. Het is een bundel waarin geavanceerde oplossingen voor Intune en beveiliging in één pakket zijn geïntegreerd.
Dit levert de volgende voordelen op:
- Eenvoudiger beheer (total cost of ownership)
- Een veiligere omgeving
- Betere gebruikerservaring
De Intune Suite wordt door Microsoft aangeboden als add-on op de huidige Intune licentie. Hiervoor moet overigens wel extra betaald worden. Microsoft heeft aangekondigd dat er verschillende producten aangeboden worden in de Intune Suite. Voor een uitgebreid overzicht zie de onderstaande afbeelding:
Een overzicht van de Intune Suite
Endpoint Privilege Management (EPM) is onderdeel van de Intune Suite en vanaf heden al beschikbaar als public preview in Intune. In april wordt de oplossing algemeen beschikbaar. Met de preview kan iedere organisatie met EPM aan de slag. Maar wat is nu eigenlijk EPM en waarom moet een organisatie deze oplossing gebruiken?
Administrator of standaard gebruiker
Voor het uitvoeren van bepaalde taken op een apparaat, zoals het installeren van een applicatie, kan het voor een gebruiker noodzakelijk zijn om lokale administrator rechten te hebben. Vaak wordt daarom gekozen om een gebruiker volledige administrator rechten te geven op het apparaat. Dit brengt echter veiligheidsrisico’s met zich mee, omdat het zogenaamde aanvalsoppervlak (attack surface) op het apparaat hiermee wordt vergroot. Het aanvalsoppervlak zijn de plekken waar een organisatie kwetsbaar is voor hackers. Om het aanvalsoppervlak beheersbaarder te maken wordt daarom aangeraden om gebruikers als standaard gebruiker toe te voegen met beperkte rechten. Dit kan echter weer beperkingen geven in de gebruikerservaring van de medewerker, omdat een taak niet kan worden uitgevoerd. Vaak worden daarom externe producten gebruikt of door IT handmatige acties uitgevoerd om medewerkers verder te kunnen helpen.
De oplossing
Endpoint Privilege Management (EPM) is ontwikkeld om bovenstaand vraagstuk op te lossen door gebruik te maken van geïntegreerde functionaliteit in Intune. Met EPM is het namelijk mogelijk om voor een bepaalde taak, zoals het installeren van een goedgekeurde applicatie, tijdelijk administrator rechten uit te delen aan de eindgebruiker. Hierdoor worden externe producten en handmatige acties voor IT overbodig. Door EPM te implementeren wordt tevens voldaan aan het “principe van de minste privileges”. Dit betekent dat medewerkers de minimale machtigingen en authorisaties toegekend krijgen om hun functie uit te kunnen voeren. Dit is een belangrijk principe binnen de Zero Trust architectuur.
Verschillende opties
EPM biedt op dit moment twee opties (en een derde op komst) om als standaard gebruiker administrator rechten te kunnen krijgen:
- User Confirmed
- Automatic
- (Support Approved)
Bij de optie “User Confirmed” geeft de gebruiker zelf aan of er een taak met administrator rechten moet worden uitgevoerd. In onderstaand voorbeeld wordt een bestand geopend door met de rechtermuisknop te klikken op het bestand en vervolgens te kiezen voor “Run with elevated access”. Deze optie is beschikbaar voor een goedgekeurde applicatie. Vervolgens wordt door EPM de vraag gesteld of het bestand geopend moet worden als administrator. Deze actie is dus volledig geïntegreerd in de standaard Windows gebruikerservaring. Afhankelijk van de EPM configuratie moet er nog een extra handeling worden uitgevoerd. Dit kan bestaan uit:
- Er moet een zakelijke reden opgegeven worden
- Er moet opnieuw geauthenticeerd worden
- Beide bovenstaande handelingen
- Geen extra handeling maar er wordt wel een melding vertoond dat er verhoogde rechten worden gebruikt.
EPM is geïntegreerd in de Windows gebruikerservaring.
Een andere mogelijkheid is om binnen Intune via een regel een bepaald bestand automatisch goed te keuren. Deze regel is dan toe te passen op bepaalde groepen waar gebruikers of apparaten in zitten. Hiervoor zijn geen extra acties vanuit de gebruiker meer nodig.
Er komt overigens nog een derde optie beschikbaar op korte termijn. Dit is “Support Approved”. Hiermee kan een gebruiker zelf een aanvraag doen voor tijdelijke administrator rechten. Vervolgens kan de IT-medewerker deze aanvraag binnen EPM wel of niet goedkeuren. Zodra de aanvraag is goedgekeurd kan de gebruiker de taak met de tijdelijke rechten uitvoeren.
Configuratie
Om dit mogelijk te maken moet in Intune een configuratie gedefinieerd worden. Deze configuratie wordt vervolgens op de apparaten uitgerold. Dit bestaat uit een “configuration policy” en uit de “elevation rules”. Met de “configuration policy” wordt EPM op het apparaat beschikbaar gemaakt en geconfigureerd. Met de “elevation rules” wordt de specifieke taak gedefinieerd waarvoor administrator rechten nodig zijn. In een “elevation rule” geeft de beheerder aan welk bestand geopend mag worden. Daarbij moet een detectie opgenomen worden om de applicatie op het apparaat te kunnen herkennen. Deze detectie kan bijvoorbeeld bestaan uit een bestandsnaam, hash, versie, productnaam of een certificaat. Vervolgens kan een actie gedefinieerd worden welke eerst door de gegebruiker moet worden uitgevoerd. Dit zijn de acties zoals eerder genoemd bij “User Confirmed”. Na de configuratie wordt het profiel gekoppeld aan een groep.
Reporting
EPM beschikt over uitgebreide reporting functionaliteit. Hierbij kan inzicht verkregen worden in alle pogingen van gebruikers voor administrator rechten op zowel managed als unmanaged apparaten. Dit kan vervolgens gebruikt worden als basis voor de inrichting van de EPM rules. Daarnaast is er ook een report beschikbaar om de status in te kunnen zien van alle managed EPM rules welke zijn ingesteld in Intune.
Wij helpen u graag
Endpoint Privilege Management zorgt voor een veiligere werkplek zonder standaard administrator rechten, bespaart de IT-afdeling tijd, bevordert de gebruikerservaring en voorkomt een wildgroei aan externe tools en custom scripts. Wil je meer weten over EPM en op welke manier EPM uw organisatie kan ontzorgen? Neem dan contact met ons op.
