Intune Managed Browser APP ontwikkelingen

Loading Likes...

Microsoft heeft onlangs een update uitgebracht in de Managed Browser app, maar wat is en kan dit nu eigenlijk?

Steeds meer applicatieleveranciers zijn hun applicaties aan het ombouwen tot SaaS applicaties. Dit zijn applicaties die via het web benaderbaar zijn. Vaak zijn deze SaaS applicaties te integreren met Azure Active Directory, zodat je bijvoorbeeld Single Sign On (SSO) kan toepassen. Super handig, maar hoe zit dit dan met beveiliging? In principe hoef je je hier geen zorgen over te maken, SSO werkt namelijk met beveiligde certificaten. Toch kan je met de Managed Browser app meer beveiliging toepassen. We kunnen bijvoorbeeld met voorwaardelijke toegang eisen dat je alleen de applicatie mag openen met de Managed Browser APP.

Naast SaaS applicaties kan je ook een connectie maken met je lokale web applicatie d.m.v. een Azure Application Proxy. Het voordeel is dat je geen VPN of andere poorten in de firewall open hoeft te zetten.

Andere mogelijkheden zijn bijvoorbeeld:

  1. Beperkingen voor het knippen, kopiëren en plakken van gegevens;
  2. Voorkomen dat er schermopnamen worden gemaakt;
  3. Centraal aanbieden van bookmarks;
  4. Centrale startpagina instellen;
  5. Pincode vereisen om toegang te krijgen tot de app.


Verwachtte leestijd: 5 minuten

Scenario

Het bedrijf waar je werkt maakt gebruik van de SaaS applicatie Exact Online. De IT beheerder heeft Exact Online geïntegreerd met Azure AD zodat je middels Signle Sign On toegang kan krijgen tot de website. Sterker nog, je weet het wachtwoord van Exact Online niet eens. De beheerder heeft een policy gemaakt dat je alleen toegang krijgt tot Exact Online als je de Managed Browser APP gebruikt. Ook heeft hij ervoor gezorgd dat de link naar Exact Online automatisch toegevoegd is aan de bookmarks. De APP maakt het mogelijk dat je middels SSO kan inloggen in Exact Online, je hoeft dus geen wachtwoord in te vullen. Omdat dit wel een beveiligingsrisico is heeft de IT beheerder bepaald dat je een pincode of vingerafdruk moet gebruiken voordat je de APP kan starten.

De gebruiker kan nu geen screenshots maken of gegevens kopiëren vanuit de site, omdat je wilt voorkomen dat financiële gegevens opgeslagen worden op de telefoon.

 

Technische implementatie

Voorwaardelijke toegang

We starten met het aanmaken van een policy waarbij we eisen dat het openen van een Cloud App alleen gedaan mag worden vanuit de Managed Browser.

  1. Log in als beheerder op https://portal.azure.com
  2. Open Azure Activice Directory en kies voor Conditional Access
  3. We gaan een nieuwe policy aanmaken, dus kies New Policy
    1. Geef de policy een naam
    2. Selecteer voor welke gebruikers de policy van toepassing is
    3. Selecteer voor welke Cloud Apps dit geldt (bijvoorbeeld Exchange Online)
    4. Selecteer bij condities > Client APPS > schakel deze in > en kies: Browser + Mobile Apps And Desktop clients
    5. Selecteer bij Grant  > Grant Access > Rquire approved client apps
    6. Schakel de policy in en sla hem op

Testen op een mobiel apparaat:

Laten we testen of het werkt. Browse op een telefoon met een willekeurige browser naar https://myapps.microsoft.com. Log hier in met je credentials en open de cloud app. Als het goed is krijg je nu bericht dat je geen toegang hebt en dat je een Managed Browser nodig hebt.

Testen op een computer:

De volgende browsers zijn gekenmerkt als veilige browsers. Je kan dus proberen om met Firefox in te loggen, je zult dan ook geen toegang krijgen.

OS Browsers Support
Windows 10 Internet Explorer, Edge, Chrome Check
Windows 8 / 8.1 Internet Explorer, Chrome Check
Windows 7 Internet Explorer, Chrome Check
iOS Safari, Intune Managed Browser Check
Android Chrome, Intune Managed Browser Check
Windows Phone Internet Explorer, Edge Check
Windows Server 2016 Internet Explorer, Edge Check
Windows Server 2016 Chrome Coming soon
Windows Server 2012 R2 Internet Explorer, Chrome Check
Windows Server 2008 R2 Internet Explorer, Chrome Check
macOS Chrome, Safari Check

Ik kan me voorstellen dat er geen noodzaak is om dit af te dwingen op een vaste werkplek. Je kan dit dan ook aanpassen in de policy van de Conditional access:

  1. Open de Conditinal Access Policy die we eerder aangemaakt hebben
  2. Kies Conditions en klik op Device Restrictions
  3. Selecteer hier alleen IOS, Android en Windows Phone
  4. Tie the access policy to the client OS
  5. Sla de policy op

Pincode instellen

  1. Log in als beheerder op https://portal.azure.com
  2. Open Intune en selecteer Mobile Apps
  3. Kies APP Protection Policies en klik op Add a Policy
    1. Vul een naam in voor de policy
    2. Platform: Kies IOS of Android
    3. Kies bij Apps de Managed Browser APP
    4. Onder Settings kunnen we nu verschillende instellingen gaan bepalen
    5. We schakelen nu in dat de pincode vereist is, maar uiteraard mag je hier meer instellen
    6. Sla de policy op
  4. Nu moeten we de policy nog toewijzen aan personen, dus we openen de policy en klikken op Assignments
  5. Selecteer hier een Security groep en sla alles op

Startpagina instellen

We gaan nu een beleid aanmaken waarbij we specifieke beleidsinstellingen kunnen bepalen.

  1. Log in als beheerder op https://portal.azure.com
  2. Open Intune en selecteer Mobile Apps
  3. Kies App Configuration Policies en klik op Add
    1. Vul een naam in voor de policy
    2. Kies bij Enrollment type: Managed Apps
    3. Kies bij Associated App de Managed Browser APP
    4. Hier kan je verschillende opties mee gaan geven. Voor nu gaan we een startpagina instellen:
      1. Name = com.microsoft.intune.mam.managedbrowser.homepage
      2. Value = de website volledig (https:// …. )
      3. Sla dit op
    5. Nu moeten we de policy nog toewijzen aan personen, dus we openen de policy en klikken op Assignments
    6. Selecteer hier een Security groep en sla alles op

Meer voorbeelden zijn te vinden op: https://docs.microsoft.com/nl-nl/intune/app-configuration-managed-browser

Link naar de mobile apps:

IOS: https://itunes.apple.com/nl/app/intune-managed-browser/id943264951?mt=8

Android: https://play.google.com/store/apps/details?id=com.microsoft.intune.mam.managedbrowser&hl=nl

2 Replies to “Intune Managed Browser APP ontwikkelingen

Leave a Reply

Your email address will not be published. Required fields are marked *