In deze instructie laat ik zien hoe je op een eenvoudige manier een goed beveiligde Microsoft 365 omgeving kan inrichten. Voor het gebruik van deze instructie is het handig om een Windows 10 Pro / Enterprise Virtual Machine met ingeschakelde TPM beschikbaar te hebben.
Voor deze instructie heb ik gebruik gemaakt van een demo tenant die door Microsoft beschikbaar wordt gesteld, je kan deze aanmaken op https://demos.microsoft.com.
De gebruikers in de demo omgeving waren voorzien van een Microsoft 365 Business Premium licenties.
Het blijkt dat Microsoft regelmatig links aanpast in de het portal, het kan dus zijn dat de hieronder beschreven locaties iets gewijzigd zijn.
Aanmaken DNS records
Voor het uitvoeren van de onderstaande instructie zijn de onderstaande records nodig, zorg ervoor dat deze aanwezig zijn voor je start.
Inschakelen Modern Authentication
Als je op de juiste manier gebruik wilt maken van MFA zal Modern Authentication op Enable moeten staan. In de oudere Tenants wil het nog wel een gebeuren dat deze op Disable staat. In de loop van 2021 wordt dit standaard voor elke Tenant aangezet.
Start de Microsoft 365 PowerShell en meld je aan met het admin account.
Schakel Modern Authentication aan:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Controleer of het aan staat:
Get-OrganizationConfig | Format-Table Name,OAuth* -Auto
Groepen aanmaken
Meld je aan met het Global Administrator account in de Azure Portal.
Ga in het (linker) menu naar Azure Active Directory, Groups, New group de naam van de Security Group is EMSUsers. Selecteer de gebruikers die de EMS licentie krijgen, kies Create om de groep aan te maken. Maak op de zelfde wijze een groep aan met de naam EMSnoTPM.
Je kan de Licenties toekennen aan de EMS groep zodat gebruikers deze direct krijgen als ze lid worden van deze groep. Ga naar Azure Active Directory, Licenses, All products selecteer hier Microsoft 365 Business Premium en klik op Assign bij Users and groups selecteer de EMSUsers en EMSnoTPM groep en kies Select, Assign.
Instellen MDM
Ga naar Azure Active Directory, Mobility (MDM en MAM), Microsoft Intune, kies Some en selecteer de Group EMSUsers en EMSnoTPM, klik op Save.
Aanmaken MDM Apple Push Certificate
Ga naar https://appleid.apple.com/account#!&page=create en maak een Apple ID aan. Ga naar Microsoft Endpoint Manager, Devices, Enroll device, Apple Enrollment, Apple MDM Push Certificate
- Zet een vinkje.
- Download de CSR, je hebt deze nodig in stap 3.
- Maak het certificaat via de Apple website, klik op Create your MDM push Certificate, bij de laatste stap download je het Certificaat.
- Vul het e-mailadres in van het Apple ID waarmee het certificaat is aangemaakt.
- Kies het certificaat en kies Upload.
- Let op dat dit Certificaat maar 1 jaar geldig is!
Apparaat instellen
Hier gaan we aangeven wie er een apparaat mag aanmelden in de AzureAD. Ga naar Azure Active Directory, Devices, Device settings, gebruik de onderstaande instellingen. Selecteer de groepen EMSUSERS en EMSnoTPM bij de gebruikers die de computer mogen aanmelden in de AzureAD. Let op de gebruiker die de computer aanmeld is standaard local admin op de computer.
Instellingen
Gebruikers zullen het ook fijn vinden als hun instellingen worden meegenomen. Ga naar Azure Active Directory, Devices, Enterprise State Roaming en stel de pagina in zoals hieronder. Selecteer ook hier de groepen EMSUSERS en EMSnoTPM, klik op Save.
Apparaten opruimen
Als er computers langer dan 3 maanden niet zijn aangemeld willen we die graag opruimen. In bijna alle gevallen zal het betekenen dat deze apparaten niet meer in gebruik zijn. Ga hiervoor naar Microsoft Endpoint Manager, Devices, Device cleanup rules en stel het scherm is zoals hieronder en klik op Save.
Apparaat Eisen
Ga naar Microsoft Endpoint Manager, Devices, onder het kopje Policy kies je Compliance policies, Compliance policy settings en stel het scherm is zoals hieronder en klik op Save.
Waarschuwings mail instellen
We gaan hieronder het beleid instellen, als een apparaat daar niet aan voldoet krijgt deze een mail. Deze stellen we nu in. Ga naar Microsoft Endpoint Manager, Devices, Compliance policies, Notifications, Create notification en vul het scherm in zoals hieronder en klik op Create.
Name:
Non Compliance Warning
Subject:
Waarschuwing – Device niet compliant
Message:
Let op, je device is momenteel niet compliant met de minimale beveiligingseisen zoals gesteld door bedrijfsnaam. Neem contact op met de beheerder om het apparaat weer compliant te krijgen.
De verbindingen tussen het apparaat en bedrijfsnaam worden stopgezet.
Windows 10 Beleid
Ga in Microsoft Endpoint Manager naar Devices, Compliance policies en klik op Create Policy, selecteer het platform Windows 10 and later, Create noem het beleid Windows 10 Basis, Next en vul het scherm is zoals hieronder. We passen voor nu alleen de Device Health en System Security aan.
Klik nu op Next en vul bij het scherm Actions for noncompliance dit in zoals hieronder, Next voeg de groep EMSUsers toe bij Select groups to include, Next, Create.
Voor de systemen zonder TPM 2.x maken we een aparte Policy. Ga in Microsoft Endpoint Manager naar Devices, Compliance policies en klik op Create Policy, selecteer het platform Windows 10 and later, Create noem het beleid Windows 10 Basis geen TPM, Next en vul het scherm is zoals hieronder. We passen voor nu alleen System Security aan.
Klik nu op Next en vul bij het scherm Actions for noncompliance dit in zoals hieronder, Next voeg de groep EMSnoTPM toe bij Select groups to include, Next, Create.
Instellen Windows 10 Updates
Ga in Microsoft Endpoint Manager naar Devices, Windows 10 Update rings, Create profile, bij Name Windows 10 Updates, Next en vul de schermen in zoals hieronder, Next, voeg de groepen EMSUsers en EMSnoTPM toe bij Select groups to include, Next, Create.
Android Beleid
Ga in Microsoft Endpoint Manager, naar Devices, Enroll device, Android enrollment, Android device administrator klik op Personal and corporate-owned devices with device administrator privileges en zet het vinkje aan bij Use device administrator to manage devices.
Ga in Microsoft Endpoint Manager naar Devices, Compliance policies, Policies en klik op Create Policy, selecteer het platform Android device administrator, Create noem het beleid Android Basis, Next en vul het scherm is zoals hieronder. We passen voor nu alleen de Device Health en System Security aan.
Klik nu op Next, Next en vul het scherm in zoals hieronder, Next voeg de groepen EMSUsers en EMSnoTPM toe bij Select groups to include, Next, Create.
macOS
Ga in Microsoft Endpoint Manager naar Devices, Compliance policies en klik op Create Policy, selecteer het platform macOS, Create noem het beleid macOS Basis, Next en vul het scherm is zoals hieronder. We passen voor nu alleen de Device Health en System Security aan.
Klik nu op Next en vul het scherm in zoals hieronder, Next voeg de groepen EMSUsers en EMSnoTPM toe bij Select groups to include, Next, Create.
iOS Beleid
Ga in Microsoft Endpoint Manager naar Device, Compliance policies en klik op Create Policy, selecteer het platform iOS/iPadOS, Create noem het beleid iOS Basis, Next en vul het scherm is zoals hieronder. We passen voor nu alleen de Device Health en System Security aan.
Device Health
System Security
Klik nu op Next en vul het scherm in zoals hieronder, Next voeg de groepen EMSUsers en EMSnoTPM toe bij Select groups to include, Next, Create.
OneDrive instellingen
Om OneDrive in te stellen, ga naar Microsoft Endpoint Manager naar Devices, Configuration profiles en kies Create profile, selecteer het platform Windows 10 and later bij Profile selecteer Administrative Templates, Create. Geef als naam Windows 10 OneDrive config, Next.
In het volgende scherm type je in het Search veld OneDrive, scroll naar Use OneDrive Files On-Demand open deze en kies Enabled, OK.
Zoek nu eerst het Tenant ID op, het Tenant ID vindt je Azure Active Directory, Properties, Directory ID en ga weer terug naar het vorige scherm.
Scroll nu naar Silently move Windows known folders to OneDrive en kies Enabled, vul het Tenant ID in en kies OK.
Scroll nu naar Silently sign in users to the OneDrive sync app with their Windows credentials en kies Enabled, OK, Next, Next voeg de groepen EMSUsers en EMSnoTPM toe bij Select groups to include, Next, Create.
SharePoint TeamSite koppelen
Het handmatig koppelen van Sharepoint Document Bibliotheken is nogal een tijdrovende klus, gelukkig is het sinds kort mogelijk dit te automatiseren. Voor elke Sharepoint Document Bibliotheken maken we een Microsoft 365 groep aan, deze gebruiken we ook om de site te koppelen.
Elke SharePoint site heeft zijn eigen ID, deze hebben we straks nodig bij het instellen. Zorg dat je aangemeld met een admin account met de juiste licenties. Open de site waar je het ID van nodig hebt en klik op Synchroniseren, klik op Kopieer de bibliotheek-id, deze wordt nu op het klembord gezet.
Om de SharePoint sync in te stellen, ga naar Microsoft Endpoint Manager, Device, Configuration profiles en kies Create profile, selecteer het platform Windows 10 and later bij Profile selecteer Administrative Templates, Create. Geef als naam Windows 10 SharePoint config, Next.
In het volgende scherm type je bij Search Team, scroll naar Configure team site libraries to sync automatically open de user variant en kies Enabled, en vul bij Name de SharePoint Teamsite naam, bij Value het ID dat je gekopieerd hebt, OK.
Je moet nog wel de groepsnaam (bijvoorbeeld SP_Algemeen) van de SharePoint Team Site koppelen aan dit profiel, dit doen je bij Assignments. In dit scherm kan je dat voor elke site doen. Klik OK om op te slaan.
Klik nu op Next, Next voeg de groepen EMSUsers en EMSnoTPM toe bij Select groups to include, Next, Create.
Uitschakelen Snel starten
Regelmatig zorgt de Snel Starten optie van Windows voor problemen, deze kan dus beter uit staan. Ga naar Microsoft Endpoint Manager, Devices, Scripts en kies Add, Windows 10 en vul het scherm in zoals hieronder.
# PowerShell Script DisableHiberBoot.ps1
REG ADD “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power” /v HiberbootEnabled /t REG_DWORD /d “0” /f
Klik nu op Next, voeg de groepen EMSUsers en EMSnoTPM toe bij Select groups to include, Next, Add.
Instellen Conditional Access
Ga naar Microsoft Endpoint Manager, Devices, Conditional access, New policy en stel alles in zoals hieronder.
Name: APP – Require Compliancy for Selective Company Data
Ga naar Microsoft Endpoint Manager, Device, Conditional access, New policy en stel alles in zoals hieronder.
Name:
WEB – Require MFA or Compliancy for ALL Company Data
Ga naar Microsoft Endpoint Manager, Devices, Conditional access, Named Locations, New location en stel het scherm in zoals hieronder met het IP of IP’s van je bedrijf in.
Ga naar Microsoft Endpoint Manager, Devices, Conditional access, Named Locations, Configure MFA trusted IPs en stel het scherm in zoals hieronder met het IP of IP’s van de klant.
Uitrollen programma’s
Een mooi onderdeel van Endpoint Manager is het uitrollen van Applicaties. Probeer indien mogelijk een MSI bestand van een programma te krijgen, dit werkt eigenlijk altijd. Hieronder wat voorbeelden.
Google Chrome (MSI)
Adobe Reader (Win32 App)