Als je werkomgeving Bring Your Own Device (BYOD) hanteert, is het misschien vreemd, maar er bestaat altijd een risico dat de IT-afdeling je persoonlijke gegevens op afstand wist. Om dit te voorkomen, gebruiken veel bedrijven Intune — maar het lastige is om te begrijpen hoe je het zo instelt dat je persoonlijke gegevens veilig blijven. Verkeerde configuraties of beheerdersfouten kunnen ertoe leiden dat alles wordt gewist — foto’s, berichten, zelfs apps — vooral als je apparaat verkeerd is geregistreerd. Deze handleiding gaat dieper in op hoe je persoonlijke apparaten beter kunt beschermen met Intune, zodat je niet voor verrassingen komt te staan. Het doel is ervoor te zorgen dat, als er een wisopdracht wordt verzonden, alleen de door het bedrijf beheerde gegevens worden gewist en niet je kattenmemes of persoonlijke contacten.
Hoe voorkom je dat Intune je persoonlijke apparaten wist?
Gebruik gebruikersregistratie voor Apple-apparaten.
Apple’s Gebruikersregistratie is een redder in nood op iOS/iPadOS-apparaten: het creëert een cryptografische scheiding tussen je persoonlijke gegevens en het beheerprofiel van het bedrijf. Kort gezegd, als de beheerder een wisactie uitvoert via Gebruikersregistratie, worden alleen de beheerde werkgegevens verwijderd; je foto’s, berichten en apps blijven onaangetast. Dat is een beetje vreemd, maar ook geweldig, want in theorie zou het de privacy behoorlijk moeten beschermen.
Deze configuratie is van toepassing als uw bedrijf Intune op Apple-apparaten gebruikt. Om dit werkend te krijgen, moet u enkele instellingen aanpassen in het Microsoft Endpoint Manager-beheercentrum:
- Ga naar Apparaten > Inschrijving > Beperkingen voor inschrijvingsapparaten op platformen.
- Selecteer de beperkingen voor iOS/iPadOS (in sommige configuraties kan dit ook MacOS zijn).
- Kies uw bestaande restrictiebeleid of maak een nieuw beleid aan.
- Stel de platformbeperkingen zo in dat gebruikersregistratie wordt ondersteund — schakel hiervoor de optie Gebruikersregistratie toestaan in voor apparaten in privébezit.
- Zorg ervoor dat gebruikers de Bedrijfsportal-app installeren en ‘Dit apparaat is van mij’ selecteren. Tijdens de registratie moeten ze Ik heb alleen werk- of school-apps nodig selecteren — dit activeert de Gebruikersregistratie-modus in plaats van volledig apparaatbeheer.
Op deze manier wordt een wisopdracht alleen naar de beheerde partitie gestuurd, waardoor je persoonlijke gegevens intact blijven. Klinkt goed, toch? Op sommige systemen is dit echter een kwestie van uitproberen. Op de ene machine werkte het meteen, op de andere probeert het het opnieuw na een herstart of na het opnieuw toevoegen van het profiel. Want ja, Windows en iOS maken het graag ingewikkelder dan nodig is.
Implementeer mobiel applicatiebeheer (MAM) zonder volledige inschrijving.
Als u extra gemoedsrust wilt en uw apparaat niet volledig wilt laten registreren voor MDM, is het gebruik van Mobile Application Management (MAM) een goede optie. Dit worden ook wel App Protection Policies (APP) genoemd – in feite regels die alleen specifieke apps zoals Outlook of Teams beheren, zonder het hele apparaat te controleren. Als iemand uw team verlaat, kan de technische dienst op afstand alleen de werkgegevens wissen, terwijl uw persoonlijke bestanden intact blijven.
Deze methode vereist geen apparaatregistratie, maar biedt toch enige controle:
- Ga in Intune naar Apps > App-beveiligingsbeleid.
- Maak een nieuw beleid aan voor iOS, Android of zelfs Windows.
- Configureer toegangsbeheer, zoals het vereisen van een pincode of biometrische authenticatie voor werkgerelateerde apps.
- Pas het beleid voor voorwaardelijke toegang in Azure AD aan om goedgekeurde client-apps te vereisen, maar dwing geen apparaatconformiteit af, zodat gebruikers flexibel kunnen blijven.
Met deze configuratie hebben gebruikers veilig toegang tot hun werkmail en -apps, zonder het risico te lopen dat hun gegevens volledig worden gewist. Eerlijk gezegd is het een prima compromis: geen registratie, maar wel enig beheer. Ik weet niet precies waarom het werkt, maar sommige apparaten reageren anders, afhankelijk van het beleid en de besturingssysteemversie.
Wipe Protection configureren via nalevingsbeleid.
Een veelvoorkomende oorzaak van onbedoelde resets is een verkeerde configuratie van het nalevingsbeleid. Als uw apparaat niet langer aan de vereisten voldoet (bijvoorbeeld door OS-updates of batterijproblemen), kan de standaardinstelling zijn om het apparaat automatisch te uitfaseren of te wissen. Dat kan best eng zijn als het een persoonlijk apparaat is. Om onbedoelde resets te voorkomen, kunt u deze acties aanpassen:
- Ga in het beheerderscentrum naar Apparaten > Nalevingsbeleid.
- Selecteer het beleid dat is toegewezen aan uw persoonlijke apparaten.
- Scroll omlaag naar het gedeelte Maatregelen bij niet-naleving.
- Wijzig de standaardactie van Wissen naar Apparaat als niet-conform markeren of E-mail verzenden. U kunt zelfs een langere respijtperiode instellen, bijvoorbeeld 14 dagen, voordat er gegevens worden gewist.
- Als u een Buiten gebruik stellen-actie wilt toevoegen, doe dit dan met de nodige voorzichtigheid: stel een lange periode in zodat gebruikers de tijd hebben om problemen op te lossen, en kies nooit voor een Wissen-actie voor persoonlijke apparaten.
Dit betekent in principe dat het apparaat je laat weten dat het niet aan de vereisten voldoet, of dat het gewoon blijft wachten tot je het probleem hebt opgelost. Niet perfect, maar beter dan automatisch alles kwijt te raken.
Schakel apparaatfiltering in voor veiligere acties.
In plaats van alle apparaten in een lijst in één keer te wissen, kunt u een vangnet creëren met apparaatfilters. Deze filters beperken de lijst tot alleen apparaten die eigendom zijn van het bedrijf, zoals apparaten met identificatiecodes of apparaten die zijn geregistreerd via Apple DEP/Android Zero Touch.
Ga in Intune naar Tenantbeheer > Filters en maak een nieuw filter aan, bijvoorbeeld Alleen zakelijke apparaten, met een regel zoals `(device.deviceOwnership -eq “Corporate”)`.Pas dit filter vervolgens toe wanneer u geautomatiseerde nalevingscontroles of bulkacties uitvoert. Op deze manier is de kans kleiner dat u per ongeluk uw persoonlijke apparaat wist, omdat dit apparaat wordt uitgesloten van deze destructieve opdrachten.
Dit is een beetje alsof je een label toevoegt met de tekst “blijf van mijn persoonlijke gegevens af”—want, raad eens, beheerders controleren niet altijd alles nog eens goed voordat ze op “alles wissen” klikken.
Kan Intune uw persoonlijke apparaat wissen?
In theorie wel. Maar alleen als uw apparaat is geregistreerd als een volledig beheerd, zakelijk apparaat. Als u Gebruikersregistratie op iOS of een werkprofiel op Android gebruikt, zou Intune alleen de zakelijke kant moeten beheren. Dit betekent dat bij het wissen alleen de zakelijke gegevens worden verwijderd, niet uw persoonlijke foto’s of apps. Toch is het de moeite waard om te controleren hoe de registratie van uw apparaat is uitgevoerd, omdat sommige configuraties standaard al volledig apparaatbeheer mogelijk toestaan.
Kan iemand mijn telefoon op afstand wissen?
Jazeker, als het apparaat correct wordt beheerd en de beheerder volledige controle heeft, kan een externe wisactie plaatsvinden. Meestal is dit beperkt tot apparaten in bedrijfseigendom of oudere BYOD-registraties die IT volledige apparaatrechten geven. Met nieuwere beheermodellen, zoals MAM zonder registratie of gebruikersregistratie, zijn externe wisacties beperkt tot werk-apps en -gegevens, niet tot de hele telefoon. Wees echter altijd alert op hoe uw apparaat is geregistreerd en welke controle het beheerprofiel biedt.