Voorkom met Intune dat gebruikers ongeautoriseerde applicaties kunnen installeren

Loading Likes...

Op het moment dat je een computer koppelt aan het Azure Active Directory krijgt de gebruiker volledige administrator rechten tot de computer. De gebruiker kan op dat moment dus willekeurige applicaties installeren zonder dat het bedrijf hier goedkeuring voor gegeven heeft. Met Intune is het mogelijk een beleid aan te maken waarmee we afdwingen dat applicaties alleen via de Windows App Store geïnstalleerd mogen worden.

De IT beheerder is vervolgens in staat apps te blokkeren of juist aan te bieden via de Windows App Store.


Verwachtte leestijd: 2 minuten

Scenario

De computers bij Bedrijf X zijn handmatig aan het Azure AD gekoppeld. De medewerker die de PC registreert heeft hierdoor administrator rechten op de computer. Bedrijf X staat vanwege veiligheidsredenen niet toe dat gebruikers zelf EXE of MSI applicaties kunnen installeren. Om die reden hebben ze een beleid aangemaakt in Intune waarin ze gebruikers afdwingen alleen apps te downloaden van de Windows App Store.

 

Technische implementatie

Vereisten:

  • Intune of EM+S licentie
  • Office365 Business of Enterprise licentie

Device policy aanmaken

  1. Meld u aan bij de Azure-portal met de beheerdersreferenties;
  2. Open de Intune portal;
  3. Open Device Configuration en open profiles;
  4. Klik op Create Profile;

    1. Vul een naam en beschrijving in;
    2. Kies het Windows 10-platform;
    3. Kies bij Platformtype Device Restrictions;
    4. Klik op Configure en open de App Store instellingen;
    5. Wijzig de Apps van store Only instellingen in Require;
    6. Klik op OK en sla het nieuwe profiel op;
  5. Nu we het profiel aangemaakt hebben moeten we dit beleid aan de juiste groepen toewijzen;
  6. Klik op Assignments;
  7. Klik op Select Groups en selecteer de juiste groep;
  8. Sla de policy op.

Nadat we het beleid hebben aangemaakt en aan de juiste groepen hebben toegewezen, kunnen we het op een Windows 10-apparaat testen. Log in op het apparaat en ga naar de instellingenpagina. Open de accountinstellingen en klik op Toegang tot Werk of School. Klik op de verbinding en klik op INFO. Klik op de synchronisatieknop om de nieuwe instellingen te vernieuwen.

Download en open een Exe installatie bestand. De volgende melding verschijnt en de gebruiker is niet in staat de Exe te installeren.

Rechten vooraf aanpassen met Windows Autopilot

Blog-collega Oktay Sari (http://www.allthingscloud.blog) attendeerde mij dat je met Windows Autopilot de rechten vooraf al kan aanpassen. Je kan in het Windows Autopilot profiel bepalen of een gebruiker standaard of administrator rechten krijgt.

Dit kan voor organisaties die de computers nog moeten aankopen of upgraden een betere optie zijn.

Meer informatie over AutoPilot vind je in mijn andere blog.

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *