Deze week staat in het teken van Microsoft Ignite (FL) in de US. Tijdens Ignite kunnen ontwikkelaars en IT-professionals allerlei technologische sessies en workshops volgen, over uiteenlopende onderwerpen zoals Productivity, Data & AI, Modern Management, Security en Platform. Ook dit jaar is InSpark ruim vertegenwoordigd met maar liefst 15 medewerkers. Onze collega’s gaan kennis op doen in hun relevante expertise gebieden. We zijn tenslotte een kennisorganisatie en vinden het belangrijk om hierin te investeren. Niet alleen om bij te blijven of voorop te lopen qua kennis, maar om onze klanten nog beter van dienst te zijn met de laatste technische inzichten, de kansen die deze ontwikkelingen te bieden hebben en daarmee blijvende meerwaarde te creëren.

Ignite is voor Microsoft het grootste event waar belangrijke aankondigingen worden gedaan. Zo ook deze week. Op het gebied van Management & Security heeft niemand minder dan Brad Anderson, Corporate Vice President (CVP) een aantal belangrijke aankondigingen gepresenteerd. Tijdens zijn 45 minuten durende Breakout (BRK008) sessie met als titel “Modern Management: How/why you do it now”, heeft Brad Anderson de integratie van Mobile Endpoint Security (MES) oplossing van Lookout gedemonstreerd met Microsoft Intune op basis van alleen een App Protection Policy, ook wel bekend als Mobile Application Management (MAM).

Wat doet de MES-oplossing van Lookout?

Lookout Mobile Endpoint Security (MES) is een oplossing voor de mobiele medewerkers van een bedrijf. Het biedt uitgebreide en continue risicobeoordeling op iOS- en Android-apparaten, om gebruikers te beschermen tegen app-, apparaat-, netwerk en phishing gebaseerde bedreigingen. Deze beveiligingsfunctionaliteiten kunnen op dit moment niet ingevuld worden door Microsoft Intune. Daarom is een Mobile Endpoint Security integratie met Microsoft Intune aan te bevelen voor bedrijven, zodat ook de mobiele endpoints worden beveiligd tegen verschillende bedreigingen. Een Windows-apparaat wordt ten slotte ook beveiligd met een endpoint oplossing zoals Microsoft Defender, dus waarom ook niet een endpoint oplossing op een mobile device (iOS/Android)?

Voorheen was het alleen mogelijk om een MES-oplossing als Lookout te integreren met Microsoft Intune, op basis van Mobile Device Management (MDM). Dit betekende dat het mobiele apparaat altijd in beheer genomen moest worden in Microsoft Intune om ook de integratie van Lookout te kunnen gebruiken. Dit had als consequentie, dat bedrijven alleen eindgebruikers met een zakelijk apparaat konden voorzien van Lookout. Eindgebruikers met mobiele apparaten welke door hun zelf zijn aangeschaft, zijn vaak niet bereid om hun apparaat in beheer te geven aan de beheerorganisatie van hun organisatie.

Met deze nieuwe integratiemogelijkheid van beide partijen is dit verleden tijd. Microsoft Intune is nu in staat om de MES-oplossing van Lookout af te dwingen met alleen een App Protection Policy voor beide platformen. Lookout is op dit moment de enige partij die deze integratie mogelijk maakt voor zowel iOS en Android.

Blog tom Blog tom Lookout beveiligt BYOD 12

Bedrijven die al gebruik maken van zowel Microsoft Intune en de MES-oplossing van Lookout, kunnen deze nieuwe feature eenvoudig configureren door onderstaande stappen uit te voeren. Deze stappen zijn inmiddels ook terug te vinden op de website van Microsoft.

MTD Connector

Allereerst dient de MTD Connector aangepast te worden om deze nieuwe functionaliteit beschikbaar te maken.

  1. Meld je aan bij de Microsoft Intune
  2. Kies in het Intune-dashboard de optie Device Compliance” en selecteer vervolgens “Mobile Threat Defense” onder de sectie Setup”

    Blog tomBlog tom Blog tom Lookout beveiligt BYOD 4
  3. Selecteer vervolgens de MTD Connector “Lookout for Work”.
    Blog tom Blog tomBlog tom Blog tom Lookout beveiligt BYOD 12 3 4
  4. Schakel vervolgens de App Protection Policy in voor de desbetreffende platformen iOS en/of Android en klik op “Save” en sluit vervolgens het venster.Blog tom Lookout beveiligt BYOD 5

App Protection Policy

Als laatste dient in een bestaande of nieuwe App Protection Policy de Mobile Threat Defense integratie ingeschakeld te worden. In dit voorbeeld hebben we al een bestaande App Protection Policy en dienen we alleen de MTD-integratie te configureren.

  1. Kies in het Intune-dashboard de optie “Client apps” en selecteer vervolgens “App Protection Policies” onder de sectie “Manage”.
    Blog tom Lookout beveiligt BYOD 6
  1. Creëer een nieuwe policy of selecteer een bestaande App Protection Policy van het platform Android of iOS/iPadOS. In dit voorbeeld, is er gekozen voor een bestaande Android App Protection Policy.
    Blog tom Lookout beveiligt BYOD 7
  1. Na het selecteren van de App Protection Policy, klikken we op “Properties” en bewerken we onderaan het scherm het onderdeel “Conditional Launch”.
    Blog tom Lookout beveiligt BYOD 8
  1. In de betreffende App Protection Policy onder de sectie “Device conditions” voegen we de setting “Max allowed device threat level” toe met een bijpassende waarde “Secure” en de daarbij behorende actie “Block access”. Vervolgens klikken we op “Review + Save” en nogmaals op “Save”.Blog tom Lookout beveiligt BYOD 9
  2. De desbetreffende App Protection Policy is nu opgeslagen en heeft nu een integratie met de MES-oplossing van Lookout.
    Blog tom Lookout beveiligt BYOD 10

Ervaring eindgebruiker

Onderstaand een afbeelding en de betreffende stappen bij het openen van Microsoft Outlook zonder Lookout op een persoonlijk mobiel apparaat van een eindgebruiker waar alleen een App Protection Policy op actief is.

  1. De eindgebruiker opent de mobiele Outlook-app op zijn persoonlijke telefoon en logt in bij de e-mail voor het controleren van het werk.
  2. Microsoft verifieert de inloggegevens van de eindgebruiker EN controleert het apparaat risiconiveau van Lookout.
  3. Eindgebruiker activeert Lookout en scant het apparaat op bedreigingen en waarschuwt de eindgebruiker dat zijn apparaat veilig is.
  4. Als het apparaat vrij is van bedreigingen, wordt de eindgebruiker rechtstreeks teruggebracht naar zijn Outlook-inbox.
  5. Als een bedreiging wordt gedetecteerd, wordt de toegang tot bedrijfsgegevens geblokkeerd en krijgt de gebruiker de instructie om de bedreiging te verhelpen.

De volledige eindgebruikers ervaring kun je zien in onderstaande instructie video’s.

Lookout for Work wordt afgedwongen wanneer deze ontbreekt op het apparaat

Toegang tot bedrijfsgegevens wordt geblokkeerd bij een eventuele threat.

Alle voordelen op een rij:

  • Alleen apparaten die door Lookout beheerders als gezond zijn gedefinieerd, kunnen toegang krijgen tot bedrijfsgegevens.
  • De eindgebruiker privacy wordt gerespecteerd omdat MDM-registratie van het mobiele apparaat niet vereist is.
  • Intune App Protection Policy is vereist, maar het apparaat hoeft niet te worden beheerd.
  • Deze aanpak is onopvallend voor de eindgebruiker, tenzij er een probleem is op het apparaat.
  • Zodra een probleem is opgelost, wordt de eindgebruiker teruggebracht naar de beheerde app die hij gebruikte

Meer informatie

Als je meer informatie wenst over de mogelijkheden van de Mobile Endpoint Security-oplossing van Lookout en/of Microsoft Intune, neem dan contact op met ons onder aan dit blog, of stuur een email naar info@inspark.nl.

SHARE
Tom Klaver
Share

Gerelateerde blogs

Tom Klaver

Consultant Modern Workplace Foundation

Wil je meer informatie?
Ik kan je alles vertellen over de beveiliging van apparaten.
Altijd up to date?
Blijf op de hoogte van de laatste innovaties. Geef aan welke mailings jij maandelijks wil ontvangen. Schrijf je nu in!