Waar Mobile Application Management (MAM), in Intune ook wel App Protection Policies genoemd, al langer beschikbaar is voor Android en iOS, is deze functionaliteit nu ook beschikbaar gekomen voor Edge op Windows. UEM Consultant, Tim Stuik, zoomt in op wat deze nieuwe functionaliteit in petto heeft voor jouw organisatie.
Een enigszins vergelijkbare App Protection Policy, genaamd Windows Information Protection (WIP), is al langer aanwezig binnen Intune. Echter heeft Microsoft vorig jaar al aangegeven Windows Information Protection te gaan afwaarderen. Tegelijk is de support op Windows Information Protection ‘without enrollment’ inmiddels per december 2022 gestopt.
Hoewel nog niet volwaardig, is hiervoor inmiddels een alternatief ter beschikking gekomen in de vorm van MAM voor Edge op Windows. Waar voor Android en iOS de App Protection Policy applicatie scope redelijk groot is, beperkt deze App Protection Policy voor Windows zich alleen tot de Edge browserapplicatie. Hoewel het nog niet duidelijk is of de applicatie scope voor Windows App Protection Policies naast Edge verder uitgebreid zal worden (Outlook, Teams, Onedrive, etc.), is de beschikbaarheid voor Edge een welkome functionaliteit. Vooral voor gebruikers die niet op een door het bedrijf beheerd device (kunnen) werken is via deze Edge App Protection Policy voor Windows enige mate van dataveiligheid af te dwingen bij het gebruik van webbased services als bijvoorbeeld Exchange Online, Teams en OneDrive for Business.
Voor het verplicht stellen van deze App Protection Policy bij het raadplegen van resources is, eveneens garandeer je hiermee dat op Edge-clients van eindgebruikers de App Protection Policy toegepast is voordat zij deze webbased resources kunnen raadplegen. Voor het correct inzetten van deze nieuwe App Protection Policy zijn de volgende licenties vereist:
- Intune licentie (al dan niet inbegrepen in Microsoft 365 E3 of vergelijkbaar);
- Entra ID P1 licentie (al dan niet inbegrepen in Microsoft 365 E3 of vergelijkbaar).
Een interessant verschil om te vermelden betreft de ondersteuning van App Protection Policies voor Android en iOS. Hierbij beschikt de IT-admin over de keuze om deze policies toe te passen op (Intune) beheerde devices of op onbeheerde devices (BYOD). In het geval van de App Protection Policy voor Edge op Windows is deze momenteel alleen toepasbaar op onbeheerde devices.
De Windows App Protection Policy werkt vergelijkbaar met Android en iOS, hij is gebruiker gestuurd. Met andere woorden de gebruiker moet inloggen met het zakelijke account in de applicatie om de App Protection Policy toe te passen op Edge:
Binnen de Windows App Protection Policy zijn op het moment van schrijven minder Data Protectionconfiguratiemogelijkheden beschikbaar dan bij bijvoorbeeld Android of iOS:
Naast de Data Protection Settings zijn er ook Healthchecks en Conditional Launch Settings te definiëren die vergelijkbaar zijn met Android en iOS:
Daarnaast is het ook mogelijk om op de beheerde Edge-applicatieinstellingen toe te passen vanuit de Settings Catalog:
Dit biedt de mogelijkheid om naast Data Protection Settings overige configuraties, bijvoorbeeld gericht op het verbeteren van de eindgebruikerservaring, te pushen binnen de Edge-applicatie.
Wanneer de Windows App Protection Policy voor Edge ingesteld en afgedwongen is, ziet dit er voor een eindgebruiker als volgt uit wanneer hij zonder App Protection Policy aanmeldt op een service die een App Protection Policy vereist:
Kortom, de eindgebruiker wordt gevraagd om in te loggen in de Edge browser applicatie. Als er vervolgens ingelogd wordt in de Edge-browser is in de adresbalk te zien dat de App Protection Policies geladen worden:
Wanneer blijkt dat het device waarop Edge geïnstalleerd is of wanneer de Edge-browser niet (meer) voldoet aan de eisen die de App Protection Policy stelt, verschijnt een vergelijkbare melding in de Edge-applicatie:
Direct na het toepassen van de App Protection Policy worden er binnen Edge restricties opgelegd, bijvoorbeeld in het geval van het kopieren van data uit een e-mail:
Naast dat het mogelijk is om het kopiëren van data vanuit de Edge browser te beperken, is ook het verplaatsen van data uit de Edge browser niet mogelijk. Denk hierbij bijvoorbeeld om het downloaden van een file.
Daarnaast zijn ook gelijk de App Configuration Policies toegepast:
Hoewel deze nieuwe Edge App Protection Policy voor Windows een goed begin is, zou een welkome toevoeging zijn dat de applicatie scope van de Windows App Protection Policies uitgebreid wordt.
Auteur: Tim Struik