Defender for Endpoint krijgt jailbreakdetectie en ingebouwde Tunnel-vpn

Microsofts beveiligingssoftware Defender for Endpoint kan voortaan detecteren of een iOS-apparaat gejailbreakt is. Ook krijgt de software op Android voortaan een vpn-functie via Microsofts Tunnel-gateway. Het bedrijf komt met meerdere functies voor de mobiele Defender-app.

Microsoft schrijft in een blogpost dat het met verschillende nieuwe features komt voor de iOS- en Android-apps van Defender for Endpoint. Zo wordt Mobile Application Management algemeen beschikbaar. Voorheen konden beheerders de software alleen gebruiken op telefoons die waren aangemeld via Mobile Device Management, maar nu kan Defender ook worden gedraaid zonder dat beheerders Microsofts eigen Intune hoeven draaien. MAM werkt onder andere met Workspace ONE, MobileIron en MaaS360.

Defender krijgt ook een detectie voor iOS-apparaten met een jailbreak. Beheerders krijgen daarmee te zien of een iPhone gejailbreakt is in hun beheerderssoftware. Volgens Microsoft lopen zulke apparaten soms grote beveiligingsrisico's, bijvoorbeeld omdat er apps kunnen worden geïnstalleerd buiten de App Store om. Als een jailbreak wordt gedetecteerd krijgt de beheerder een waarschuwing en wordt het apparaat in de hoogste risicocategorie geplaatst.

Microsoft maakt ook de Tunnel vpn-functie definitief beschikbaar voor Android. Die functie was er al via een aparte app. Met de Tunnel vpn-functie kunnen gebruikers via Intune een vpn opzetten naar hun organisatie, maar daarvoor hoeven ze nu geen aparte verbinding meer te leggen omdat de vpn direct in Defender for Endpoint zit. Bestaande Tunnel-gebruikers schakelen volgens Microsoft automatisch over naar de Defender for Endpoint-app. Systeembeheerders kunnen de Endpoint Manager-software blijven gebruiken om de Tunnel vpn te beheren.

Door Tijs Hofmans

Redacteur

16-06-2021 • 10:21

29 Linkedin

Reacties (29)

Wijzig sortering
Defender krijgt ook een detectie voor iOS-apparaten met een jailbreak. Beheerders krijgen daarmee te zien of een iPhone gejailbreakt is in hun beheerderssoftware. Volgens Microsoft lopen zulke apparaten soms grote beveiligingsrisico's, bijvoorbeeld omdat er apps kunnen worden geïnstalleerd buiten de App Store om.
Is dat niet juist precies de gebruikersvrijheid waarvoor Microsoft nu naar de rechter stapt?

Microsoft joins court battle between Apple and Fortnite maker Epic
https://www.theguardian.c...e-and-fortnite-maker-epic

Ik sta in dit geval aan de kant van de gebruiker en ik vindt het mijn goed recht dat ik mijn apparatuur kan gebruiken zoals ik dat wil. Vindt het alleen vreemd dat Microsoft zo afgeeft op gebruikersvrijheid waar ze zelf anders zo open over zijn.

10 app store principles to promote choice, fairness and innovation
https://blogs.microsoft.c...eroperability-principles/
Gaat het hier niet om apparaten die juist niet van de gebruiker zijn (maar van de werkgever)?
niet 100%.... ik ben verplicht intune te draaien op mijn eigen android telefoon als ik gebruik wil maken van email (vanuit het bedrijf)...
Het is dit of met 2 telefoons lopen.... dus helaas mijn prive dualsim mobiel dan maar "beveiligen" met intune...
Dan moet je bij jouw bedrijf zijn en niet bij Microsoft lijkt me.
Je wordt de keuze gegeven toch? Wat is hier dan verkeerd aan?
Bedrijven willen data lekken zoveel mogelijk voorkomen en een app protection policy kan hier bij helpen. Jou telefoon moet bijvoorbeeld encrypted zijn en een schermbeveiliging ingesteld hebben staan voordat het bedrijf toelaat dat je zakelijke gegevens daar op opslaat.

Jou werkgever kan er ook voor zorgen dat er een werkprofiel geinstalleerd wordt, alles wat van het bedrijf is draait dan binnen deze container en is in beheer van het bedrijf. Ga je uit dienst? Geen probleem, we wipen het gedeelte van het bedrijf en je telefoon blijft gewoon van jou.

Zoals je aangeeft, je kiest er zelf voor om privé en werk te combineren op 1 device.

[Reactie gewijzigd door Zackito op 16 juni 2021 11:25]

Je kan dan ook nog voor mobile app management kiezen ipv het hele device. Zo faciliteer je BYOD veel beter.
Ja dat is wat een app protection policy toch doet? Alleen dan is het een eis dat je intune op je telefoon hebt staat, via de intune app wordt dan het beleid afgedwongen.
Dat is niet waar, de intune app (company portal) heb je alleen nodig op het moment dat je Mobile Device Management doet.

Van de MS Site:
Intune MAM supports two configurations:

Intune MDM + MAM: IT administrators can only manage apps using MAM and app protection policies on devices that are enrolled with Intune mobile device management (MDM). To manage apps using MDM + MAM, customers should use Intune in the Microsoft Endpoint Manager admin center.
MAM without device enrollment: MAM without device enrollment, or MAM-WE, allows IT administrators to manage apps using MAM and app protection policies on devices not enrolled with Intune MDM. This means apps can be managed by Intune on devices enrolled with third-party EMM providers. To manage apps using MAM-WE, customers should use Intune in the Microsoft Endpoint Manager admin center. Also, apps can be managed by Intune on devices enrolled with third-party Enterprise Mobility Management (EMM) providers or not enrolled with an MDM at all. For more information about BYOD and Microsoft's EMS, see Technology decisions for enabling BYOD with Microsoft Enterprise Mobility + Security (EMS).
En waar ik op doel is MAM-WE
https://docs.microsoft.co...nt-guide-enrollment-mamwe

Tell users how to get the app. For example, you can:

Direct users to the Company Portal web site at portal.manage.microsoft.com. When they sign in with their organization credentials, they see a list of apps, including required apps. They can get the apps from this site.
Have users download and install the Company Portal app from the app store. Once authenticated, users can install apps, including required apps.

Met intune op je telefoon bedoel ik de Company Portal app, niet dat je telefoon in MDM/intune terecht komt.
Je kan de company portal app gebruiken om users de apps die je vanuit je organisatie aanbied eenvoudig weer te geven, maar het gebruik van de portal app is absoluut niet nodig. Wat WEL het geval is als je MDM doet
Beetje offtopic, maar ik zou aanraden om met de app 'Island' een apart werkprofiel te maken op je telefoon. Het gebruikt hiervoor de native Android for Work implementatie, dus er is goede integratie met je telefoon.

Het heeft als voordeel dat al je werkapps en bestanden staan losgekoppeld van je eigen bestanden en apps, echt in een losse 'container' dus.
Island wordt ontwikkeld door China, ik geef die liever niet admin rechten.
Island is een open source app ontwikkeld door Oasis Feng. Dat is dezelfde ontwikkelaar als die van Greenify, een app die vroeger ook zeer veel gebruikt is door de Android community. Beetje kort door de bocht om na het zien van een Chinese naam gelijk de app te wantrouwen. Je kan hem in ieder geval zelf compilen via Github.
Dan gebruik je Shelter, zelfde principe, en ook door ontwikkelaars uit China, maar dan FOSS.

Imho, China zelf ontwikkeld niks ;)

[Reactie gewijzigd door DhrRob op 16 juni 2021 11:45]

Ja geweldig, en daarom heb ik ook geen business mail op mijn (eigen) telefoon. Heerlijk rustig. Ik wil er best een tweede simmetje in stoppen voor bereikbaarheid, maar voor mail heb ik tijdens zakelijke uren gewoon mijn laptop.
Je bent 'verplicht' om Intune op je eigen telefoon te hebben omdat je geen aparte werktelefoon wilt...
Volledig vrijwillig je eigen keuze dus, niets verplicht, je kiest er zelf voor werk en prive (telefoon...) niet gescheiden te houden.
Nee, het gaat om apparaten die willen verbinden met jouw omgeving.
wie het eigendom heeft, maakt niet uit.

Ik vind het prima als mensen een jailbreak willen gebruiken, maar daar hoeft mijn infra niet onder te leiden.
Dus krijgt zo'n device een vlaggetje 'risico' en (waarschijnlijk) minder mogelijkheden.
De gebruiker heeft de keuze, veilig, of risico ...
Je hoeft niet te jailbreaken ... ook dat is een keuze, maar dan mag je zoals @MAdD OF 2 telefoons, of gehoor geven aan policies
Het probleem is dat met een jailbreak alle controlemogelijkheden wegvallen. De wens voor concurrentie op app stores kan je perfect combineren met de wens om jailbreak tegen te gaan.
Ansich vind ik dit een mooie aanvulling, want geen enkel bedrijf wilt dat hun telefoons (die in bruikleen gegeven worden normaliter), worden gehackt door hun medewerkers. Enja, als je een telefoon jailbreak, zou is er een vergrote kans dat er security problemen optreden in je netwerk (en contact gegevens/emails op de telefoon).
de officiele appstore van apple is niet de heilige graal, of zijn we XCodeGhost vergeten?
Dat wordt ook niet gezegd, maar buiten de appstore installeren geeft wel een veel hogere kans op malware.
bij de officiele appstore ben je afhankelijk van de apple screening ipv je eigen. Dus nee, buiten de appstore instaleren heeft geen hogere kans op malware.
Hoe meer kranen je dichtdraait hoe minder gezeik je hebt, dus nee niet 100% safe maar wel een stuk safer
Je kan als bedrijf zelf ook een soort app store hosten met je eigen applicaties.

Die kan je dan netjes middels beheerprofielen beschikbaar maken. Zo heb ik op mijn zakelijke Apple telefoon interne (bedrijfs)applicaties ter beschikking die niet in de publieke app store staan.

Voor scholen zijn er ook dergelijke systemen beschikbaar al zal dat meer voor tablets gebruikt worden.
Klopt. Dat is de enterprise overeenkomst met Apple. Alleen moet je dan niet dingen doen als Facebook en Google deden (ook aan normale gebruikers verstrekken), want dan revoked apple je certificaten en werken al je interne apps niet meer. (Inclusief afrekenen in de kantine)
Ach, ik betaal elke maand voordeel in natura voor mijn gsm en laptop....
Dus als je er niet mee mag doen wat je wilt, zou voordeel in natura ook niet betaald moeten worden..
Tuurlijk wel. Het blijft eigendom van de werkgever en het blijf verbinding maken met het netwerk van die werkgever.

Waar jij voor betaald is dat je er ook voor private doeleinden gebruik van mag maken. Zo ben je niet gedwongen om bijv met 2 telefoons rond te lopen.
Ansich vind ik dit een mooie aanvulling
Er is al jaren een optie in Intune voor iOS/Android om als requirement te stellen dat het device niet jailbroken is. Ik zie eigenlijk geen zakelijke situatie waarbij je wel Deffender op Endpoint gaat draaien op een iOS device, maar geen Intune.

@Icekiller2k6 Wat jij doet in natura hoeven wij niet te weten! ;-)
Mensen met een gejailbreaked / geroot toestel zijn zich daar in de regel heus wel van bewust 8)7

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee