Samenvatting
Apple heeft onlangs aangekondigd dat het iPadOS (nieuw besturingssysteem voor iPad) zal releasen op 30 september 2019. We hebben ontdekt dat deze release een wijziging introduceert die invloed kan hebben op Microsoft Azure AD en Intune-klanten die gebruikmaken van beleid voor voorwaardelijke toegang binnen hun organisatie. Deze verklaring is bedoeld om u te helpen de belangrijke wijziging van Apple te begrijpen en de effecten op uw organisatie te evalueren. Deze verklaring bevat ook aanbevelingen van Microsoft.
Overzicht van de belangrijke wijziging
Alle iPads die updaten naar iOS 13+ zullen hun OS bijwerken van iOS naar iPadOS. Hoewel de iPadOS zich op dezelfde manier zullen gedragen als iOS, zijn er enkele belangrijke apps die zich anders gedragen. Safari, bijvoorbeeld, zal zich presenteren als macOS om ervoor te zorgen dat iPadOS-gebruikers een volledige desktopbrowser-ervaring zullen hebben.
Waarschuwing
Omdat beleid voor voorwaardelijke toegang vaak worden toegepast op OS- of app-specifieke basis, kan deze wijziging invloed hebben op uw beveiliging en naleving van een iPad-apparaat dat wordt bijgewerkt naar iPadOS.
Apps die kunnen worden beïnvloed door de belangrijke wijziging
Deze wijziging is van invloed op apps die gebruikmaken van voorwaardelijke toegang en die worden geïdentificeerd als macOS-apps in plaats van als iOS-apps. Bij het beoordelen van uw beleid voor voorwaardelijke toegang, focust u zich op het feit of u een andere app-ervaring tussen macOS en iOS biedt. Bovendien kan u het beleid voor voorwaardelijke toegang in Azure AD die gebruikmaken van de categorieën van de betrokken app beoordelen.
De belangrijke wijziging is van invloed op de handhaving van uw beleid voor voorwaardelijke toegang op iPad met iPadOS in de volgende scenario's:
-
Toegang tot webtoepassingen via de Safari-browser
-
Bedrijfseigen Apple-mailtoegang
-
Systeemeigen toegang voor toepassingen die gebruikmaakt van Safari View Controller
In deze gevallen behandelt Azure AD voorwaardelijke toegang elke aanvraag voor toegang als een macOS toegangsaanvraag.
Belangrijk
Het is zeer essentieel dat uw organisatie een beleid voor voorwaardelijke toegang voor macOS heeft . Het niet hebben van een beleid voor macOS kan leiden tot open toegang tot bronnen van uw organisatie voor de eerder geïdentificeerde scenario's.
Er is geen effect op de volgende toegangsscenario's:
-
Alle bedrijfseigen Microsoft-toepassingstoegang (zoals Outlook, Word of Edge)
-
Toegang tot webtoepassingen via een andere browser dan Safari (zoals Chrome)
-
Apps die gebruikmaken van intune app SDK/app Wrapping tool voor IOS/Microsoft identity platform v 2.0-verificatiebibliotheken of v1.0 verificatiebibliotheken
Laten we een paar scenario's doorlopen die kunnen worden beïnvloed voordat we naar de aanbevelingen van Microsoft kijken:
|
Scenario |
Resultaten |
|---|---|
|
U hebt een beleid voor voorwaardelijke toegang ingesteld dat 'een goedgekeurde client-app vereist' voor e-mailtoegang op een iOS-apparaat en u hebt geen beleid geconfigureerd voor macOS. |
In dit geval, na een iPad-updates voor iPadOS, wordt het goedgekeurde client-app-beleid niet afgedwongen voor de betrokken app-categorieën, zoals eerder beschreven. |
|
U hebt een beleid voor voorwaardelijke toegang ingesteld dat 'een compatibel apparaat vereist' voor het gebruik van een iOS-apparaat voor toegang tot bedrijfsbronnen. U hebt echter geen macOS-beleid geconfigureerd. |
Nadat de iPads zijn bijgewerkt naar iPadOS, kunnen gebruikers toegang krijgen tot bedrijfsbronnen door apps te gebruiken in de categorieën van de betreffende app van niet-compatibele iPads. |
|
U hebt een beleid voor voorwaardelijke toegang ingesteld dat 'MFA vereist' op een iOS-apparaat om toegang te krijgen tot Office365-websites zoals Outlook Web Access. U hebt echter geen corresponderend macOS-beleid geconfigureerd. |
Nadat de iPads zijn bijgewerkt naar iPadOS, kunnen gebruikers toegang krijgen tot dergelijke Office365 websites door apps uit de betreffende app-categorieën te gebruiken zonder dat wordt gevraagd naar multi-factor authenticatie (MFA). |
|
U hebt een beleid voor voorwaardelijke toegang ingesteld dat 'een compatibel apparaat vereist' voor iOS-apparaten en 'MFA vereist' voor macOS-apparaten. |
Nu, nadat de iPads zijn bijgewerkt naar iPadOS, kunnen gebruikers toegang krijgen tot bedrijfsbronnen door apps te gebruiken in de betreffende app-categorieën van niet-compatibele iPads. |
Dit zijn slechts enkele voorbeelden van gevallen waarin het beleid voor voorwaardelijke toegang voor iOS kan afwijken van het beleid voor voorwaardelijke toegang voor macOS. U moet alle dergelijke gevallen in uw beleid identificeren.
Aanbevelingen van Microsoft
We raden u aan de volgende handelingen uit te voeren:
-
Evalueer of u browser-gebaseerd Azure AD-CA-beleid voor iOS heeft dat de toegang vanaf iPad-apparaten regelt. Zo ja, volg dan deze stappen:
-
Maak een gelijkwaardig macOS Azure AD-browser toegangsbeleid. We raden u aan het beleid 'een compatibel apparaat vereisen' te gebruiken. Dit beleid schrijft uw iPad-en Mac-apparaten in Microsoft intune in (of JAMF Pro als u dat hebt geselecteerd als uw macOS-beheerprogramma) en zorgt ervoor dat browser-apps alleen toegang hebben tot compatibele apparaten (de veiligste optie). U moet ook een Intune-apparatuur nalevingsbeleid voor macOS maken.
-
In het geval dat u niet 'een compatibel apparaat vereisen' kan voor macOS en iPadOS voor toegang tot de browser, zorg er dan voor dat u 'MFA vereisen' kan voor dergelijke toegang.
-
-
Bepalen of een op gebruiksvoorwaarden (toestemming per apparaat) gebaseerd Azure AD-beleid voor voorwaardelijke toegang is geconfigureerd voor iOS. Zo ja, maak een gelijkwaardig beleid voor macOS.
Aanvullende updates
We blijven andere alternatieven zoeken die de effecten van deze belangrijke wijziging van Apple zullen minimaliseren die van invloed zullen zijn op het beleid voor voorwaardelijke toegang van onze klanten. We zullen extra informatie verstrekken in dit artikel zodra dit beschikbaar is.
Neem contact op met Microsoft Support voor meer informatie.
