Defender for Endpoint krijgt jailbreakdetectie en ingebouwde Tunnel-vpn

Microsofts beveiligingssoftware Defender for Endpoint kan voortaan detecteren of een iOS-apparaat gejailbreakt is. Ook krijgt de software op Android voortaan een vpn-functie via Microsofts Tunnel-gateway. Het bedrijf komt met meerdere functies voor de mobiele Defender-app.

Microsoft schrijft in een blogpost dat het met verschillende nieuwe features komt voor de iOS- en Android-apps van Defender for Endpoint. Zo wordt Mobile Application Management algemeen beschikbaar. Voorheen konden beheerders de software alleen gebruiken op telefoons die waren aangemeld via Mobile Device Management, maar nu kan Defender ook worden gedraaid zonder dat beheerders Microsofts eigen Intune hoeven draaien. MAM werkt onder andere met Workspace ONE, MobileIron en MaaS360.

Defender krijgt ook een detectie voor iOS-apparaten met een jailbreak. Beheerders krijgen daarmee te zien of een iPhone gejailbreakt is in hun beheerderssoftware. Volgens Microsoft lopen zulke apparaten soms grote beveiligingsrisico's, bijvoorbeeld omdat er apps kunnen worden geïnstalleerd buiten de App Store om. Als een jailbreak wordt gedetecteerd krijgt de beheerder een waarschuwing en wordt het apparaat in de hoogste risicocategorie geplaatst.

Defender for Endpoint

Microsoft maakt ook de Tunnel vpn-functie definitief beschikbaar voor Android. Die functie was er al via een aparte app. Met de Tunnel vpn-functie kunnen gebruikers via Intune een vpn opzetten naar hun organisatie, maar daarvoor hoeven ze nu geen aparte verbinding meer te leggen omdat de vpn direct in Defender for Endpoint zit. Bestaande Tunnel-gebruikers schakelen volgens Microsoft automatisch over naar de Defender for Endpoint-app. Systeembeheerders kunnen de Endpoint Manager-software blijven gebruiken om de Tunnel vpn te beheren.

Reacties (29)

Eonfge 16 juni 2021 11:04

Defender krijgt ook een detectie voor iOS-apparaten met een jailbreak. Beheerders krijgen daarmee te zien of een iPhone gejailbreakt is in hun beheerderssoftware. Volgens Microsoft lopen zulke apparaten soms grote beveiligingsrisico's, bijvoorbeeld omdat er apps kunnen worden geïnstalleerd buiten de App Store om.

Is dat niet juist precies de gebruikersvrijheid waarvoor Microsoft nu naar de rechter stapt?

Microsoft joins court battle between Apple and Fortnite maker Epic
https://www.theguardian.c...e-and-fortnite-maker-epic

Ik sta in dit geval aan de kant van de gebruiker en ik vindt het mijn goed recht dat ik mijn apparatuur kan gebruiken zoals ik dat wil. Vindt het alleen vreemd dat Microsoft zo afgeeft op gebruikersvrijheid waar ze zelf anders zo open over zijn.

10 app store principles to promote choice, fairness and innovation
https://blogs.microsoft.c...eroperability-principles/

hoeksmarp @Eonfge • 16 juni 2021 11:08

Gaat het hier niet om apparaten die juist niet van de gebruiker zijn (maar van de werkgever)?

MAdD @hoeksmarp • 16 juni 2021 11:15

niet 100%.... ik ben verplicht intune te draaien op mijn eigen android telefoon als ik gebruik wil maken van email (vanuit het bedrijf)...
Het is dit of met 2 telefoons lopen.... dus helaas mijn prive dualsim mobiel dan maar "beveiligen" met intune...

hoeksmarp @MAdD • 16 juni 2021 11:16

Dan moet je bij jouw bedrijf zijn en niet bij Microsoft lijkt me.

Zackito @MAdD • 16 juni 2021 11:24

Je wordt de keuze gegeven toch? Wat is hier dan verkeerd aan?
Bedrijven willen data lekken zoveel mogelijk voorkomen en een app protection policy kan hier bij helpen. Jou telefoon moet bijvoorbeeld encrypted zijn en een schermbeveiliging ingesteld hebben staan voordat het bedrijf toelaat dat je zakelijke gegevens daar op opslaat.

Jou werkgever kan er ook voor zorgen dat er een werkprofiel geinstalleerd wordt, alles wat van het bedrijf is draait dan binnen deze container en is in beheer van het bedrijf. Ga je uit dienst? Geen probleem, we wipen het gedeelte van het bedrijf en je telefoon blijft gewoon van jou.

Zoals je aangeeft, je kiest er zelf voor om privé en werk te combineren op 1 device.

[Reactie gewijzigd door Zackito op 23 juli 2024 14:00]

Epiphany @Zackito • 16 juni 2021 11:28

Je kan dan ook nog voor mobile app management kiezen ipv het hele device. Zo faciliteer je BYOD veel beter.

Zackito @Epiphany • 16 juni 2021 11:29

Ja dat is wat een app protection policy toch doet? Alleen dan is het een eis dat je intune op je telefoon hebt staat, via de intune app wordt dan het beleid afgedwongen.

Epiphany @Zackito • 16 juni 2021 11:40

Dat is niet waar, de intune app (company portal) heb je alleen nodig op het moment dat je Mobile Device Management doet.

Van de MS Site:

Intune MAM supports two configurations:

Intune MDM + MAM: IT administrators can only manage apps using MAM and app protection policies on devices that are enrolled with Intune mobile device management (MDM). To manage apps using MDM + MAM, customers should use Intune in the Microsoft Endpoint Manager admin center.
MAM without device enrollment: MAM without device enrollment, or MAM-WE, allows IT administrators to manage apps using MAM and app protection policies on devices not enrolled with Intune MDM. This means apps can be managed by Intune on devices enrolled with third-party EMM providers. To manage apps using MAM-WE, customers should use Intune in the Microsoft Endpoint Manager admin center. Also, apps can be managed by Intune on devices enrolled with third-party Enterprise Mobility Management (EMM) providers or not enrolled with an MDM at all. For more information about BYOD and Microsoft's EMS, see Technology decisions for enabling BYOD with Microsoft Enterprise Mobility + Security (EMS).

En waar ik op doel is MAM-WE

Zackito @Epiphany • 16 juni 2021 11:50

https://docs.microsoft.co...nt-guide-enrollment-mamwe

Tell users how to get the app. For example, you can:

Direct users to the Company Portal web site at portal.manage.microsoft.com. When they sign in with their organization credentials, they see a list of apps, including required apps. They can get the apps from this site.
Have users download and install the Company Portal app from the app store. Once authenticated, users can install apps, including required apps.

Met intune op je telefoon bedoel ik de Company Portal app, niet dat je telefoon in MDM/intune terecht komt.

Epiphany @Zackito • 16 juni 2021 12:24

Je kan de company portal app gebruiken om users de apps die je vanuit je organisatie aanbied eenvoudig weer te geven, maar het gebruik van de portal app is absoluut niet nodig. Wat WEL het geval is als je MDM doet

Frikandel @MAdD • 16 juni 2021 11:28

Beetje offtopic, maar ik zou aanraden om met de app 'Island' een apart werkprofiel te maken op je telefoon. Het gebruikt hiervoor de native Android for Work implementatie, dus er is goede integratie met je telefoon.

Het heeft als voordeel dat al je werkapps en bestanden staan losgekoppeld van je eigen bestanden en apps, echt in een losse 'container' dus.

marcovit @Frikandel • 16 juni 2021 11:38

Island wordt ontwikkeld door China, ik geef die liever niet admin rechten.

Frikandel @marcovit • 16 juni 2021 11:42

Island is een open source app ontwikkeld door Oasis Feng. Dat is dezelfde ontwikkelaar als die van Greenify, een app die vroeger ook zeer veel gebruikt is door de Android community. Beetje kort door de bocht om na het zien van een Chinese naam gelijk de app te wantrouwen. Je kan hem in ieder geval zelf compilen via Github.

DhrRob @marcovit • 16 juni 2021 11:44

Dan gebruik je Shelter, zelfde principe, en ook door ontwikkelaars uit China, maar dan FOSS.

Imho, China zelf ontwikkeld niks

[Reactie gewijzigd door DhrRob op 23 juli 2024 14:00]

Frost_Azimov @MAdD • 16 juni 2021 13:25

Ja geweldig, en daarom heb ik ook geen business mail op mijn (eigen) telefoon. Heerlijk rustig. Ik wil er best een tweede simmetje in stoppen voor bereikbaarheid, maar voor mail heb ik tijdens zakelijke uren gewoon mijn laptop.

RGAT @MAdD • 16 juni 2021 13:35

Je bent 'verplicht' om Intune op je eigen telefoon te hebben omdat je geen aparte werktelefoon wilt...
Volledig vrijwillig je eigen keuze dus, niets verplicht, je kiest er zelf voor werk en prive (telefoon...) niet gescheiden te houden.

FreshMaker

@hoeksmarp • 16 juni 2021 11:23

Nee, het gaat om apparaten die willen verbinden met jouw omgeving.
wie het eigendom heeft, maakt niet uit.

Ik vind het prima als mensen een jailbreak willen gebruiken, maar daar hoeft mijn infra niet onder te leiden.
Dus krijgt zo'n device een vlaggetje 'risico' en (waarschijnlijk) minder mogelijkheden.
De gebruiker heeft de keuze, veilig, of risico ...
Je hoeft niet te jailbreaken ... ook dat is een keuze, maar dan mag je zoals @MAdD OF 2 telefoons, of gehoor geven aan policies

Blokker_1999

Microsoft
Beveiliging en antivirus

@Eonfge • 16 juni 2021 11:42

Het probleem is dat met een jailbreak alle controlemogelijkheden wegvallen. De wens voor concurrentie op app stores kan je perfect combineren met de wens om jailbreak tegen te gaan.

UTMachine 16 juni 2021 10:36

Ansich vind ik dit een mooie aanvulling, want geen enkel bedrijf wilt dat hun telefoons (die in bruikleen gegeven worden normaliter), worden gehackt door hun medewerkers. Enja, als je een telefoon jailbreak, zou is er een vergrote kans dat er security problemen optreden in je netwerk (en contact gegevens/emails op de telefoon).

torretje2012 @UTMachine • 16 juni 2021 10:41

de officiele appstore van apple is niet de heilige graal, of zijn we XCodeGhost vergeten?

UTMachine @torretje2012 • 16 juni 2021 10:45

Dat wordt ook niet gezegd, maar buiten de appstore installeren geeft wel een veel hogere kans op malware.

torretje2012 @UTMachine • 16 juni 2021 11:46

bij de officiele appstore ben je afhankelijk van de apple screening ipv je eigen. Dus nee, buiten de appstore instaleren heeft geen hogere kans op malware.

JoeBlack2k @torretje2012 • 16 juni 2021 10:51

Hoe meer kranen je dichtdraait hoe minder gezeik je hebt, dus nee niet 100% safe maar wel een stuk safer

lenwar

Beveiliging en antivirus
Microsoft

@torretje2012 • 16 juni 2021 12:05

Je kan als bedrijf zelf ook een soort app store hosten met je eigen applicaties.

Die kan je dan netjes middels beheerprofielen beschikbaar maken. Zo heb ik op mijn zakelijke Apple telefoon interne (bedrijfs)applicaties ter beschikking die niet in de publieke app store staan.

Voor scholen zijn er ook dergelijke systemen beschikbaar al zal dat meer voor tablets gebruikt worden.

arjankoole @lenwar • 16 juni 2021 19:11

Klopt. Dat is de enterprise overeenkomst met Apple. Alleen moet je dan niet dingen doen als Facebook en Google deden (ook aan normale gebruikers verstrekken), want dan revoked apple je certificaten en werken al je interne apps niet meer. (Inclusief afrekenen in de kantine)

Icekiller2k6 @UTMachine • 16 juni 2021 10:57

Ach, ik betaal elke maand voordeel in natura voor mijn gsm en laptop....
Dus als je er niet mee mag doen wat je wilt, zou voordeel in natura ook niet betaald moeten worden..

Blokker_1999

Microsoft
Beveiliging en antivirus

@Icekiller2k6 • 16 juni 2021 11:43

Tuurlijk wel. Het blijft eigendom van de werkgever en het blijf verbinding maken met het netwerk van die werkgever.

Waar jij voor betaald is dat je er ook voor private doeleinden gebruik van mag maken. Zo ben je niet gedwongen om bijv met 2 telefoons rond te lopen.

Cergorach

Beveiliging en antivirus

@UTMachine • 16 juni 2021 11:38

Ansich vind ik dit een mooie aanvulling

Er is al jaren een optie in Intune voor iOS/Android om als requirement te stellen dat het device niet jailbroken is. Ik zie eigenlijk geen zakelijke situatie waarbij je wel Deffender op Endpoint gaat draaien op een iOS device, maar geen Intune.

@Icekiller2k6 Wat jij doet in natura hoeven wij niet te weten! ;-)

Titan_Fox 16 juni 2021 12:47

Mensen met een gejailbreaked / geroot toestel zijn zich daar in de regel heus wel van bewust

Op dit item kan niet meer gereageerd worden.

Defender for Endpoint krijgt jailbreakdetectie en ingebouwde Tunnel-vpn

Lees meer

Reacties (29)

Sorteer op:

Weergave: