Hoe kan het dat de koning en koningin toegang tot het ICT-netwerk van een school wordt geweigerd? Simpel, als een school bijv. EduGuard als toegangsbeheer voor hun netwerk heeft, dan bepaalt de school wie op hun netwerk mag. Of je dan de koning of koningin, een hacker of een andere persoon bent, maakt niet uit, de school bepaalt.
Network Access Control (NAC) is de algemene term hiervan en deze zegt genoeg. Netwerk toegangscontrole, wie mag met welk apparaat op het lokale of wifi-netwerk van de school komen. Scholen houden zo hun netwerk veilig.
Gebruikers van het netwerk zijn bekend, evenals de apparaten zoals laptops of Chromebooks waarmee ze werken. Komt een bekende gebruiker met een niet-aangemeld apparaat, dan krijgt dat apparaat geen toegang. Is een aangemeld apparaat gestolen en probeert een onbekend iemand binnen te komen, dan lukt dat ook niet, want de persoon is onbekend.
Hoe werkt Eduguard als toegangscontrole voor je schoolnetwerk?
EduGuard sluit direct aan bij Azure, Intune, Google Workspace for Education en Eduroam. Het voorziet in alle connectiviteitsaanvragen binnen de school. Of het nu door de school beheerde apparaten voor leerlingen of medewerkers zijn, Bring-Your-Own-Devices (BYOD) van leerlingen of gasten met hun apparaat. Via EduGuard verleent de school toegang tot het netwerk. Zelfs op het niveau van switchpoorten kan EduGuard toegang tot het netwerk controleren en inregelen.
Het controleren van personen is makkelijk. De namen van gebruikers van een schoolnetwerk zijn bekend in de schooladministratie. Onbekenden vind je hier niet.
Bij de eerste uitrol van een door de school beheerde laptop wordt deze in Azure AD en Intune geregistreerd. Vervolgens worden de benodigde certificaten en wifi-instellingen naar de laptop gestuurd op basis van geconfigureerde profielen. Voor het certificaat vraagt de laptop een certificaat aan bij EduGuard. EduGuard kijkt in Intune of het een beheerde laptop is. Is dat het geval, dan valideert EduGuard dit en verstrekt een certificaat aan de laptop.
Authenticatie gebeurt op basis van het verleende certificaat. Is dat akkoord, dan mag de laptop verbinding maken met de beveiligde omgeving van de school. De bekende gebruiker en de gecertificeerde laptop kunnen dan gebruik maken van de applicaties en bestanden waarvoor ze gemachtigd zijn.
De geldigheid van een certificaat beheert de school in Intune. Op het moment dat de school het certificaat intrekt, is dit per direct niet meer geldig en krijgt het apparaat geen toegang meer tot het netwerk. Dit intrekken kan worden gedaan als een medewerker of leerling de school verlaat of als een apparaat vermist of gestolen is. Het intrekken van het certificaat wordt gerealiseerd door het betreffende apparaat te verwijderen, uit te schakelen, of als vermist op te geven in Intune. Intune geeft dit door aan Eduguard, waarop het certificaat wordt ingetrokken.
Toegang regelen voor BYOD
BYO-devices kunnen door een medewerker of leerling via een eenvoudige registratieprocedure in een portal worden aangemeld. Bij deze registratie wordt gecontroleerd of het daadwerkelijk een medewerker of leerling betreft, door eenmalig hun gebruikersnaam en wachtwoord te controleren. Vervolgens krijgt de medewerker of leerling op basis van een download of email, de juiste instellingen aangeleverd, met daarbij een korte instructie hoe deze toe te passen. Op deze wijze kunnen medewerkers en leerlingen hun BYO-device ook veilig op basis van een certificaat met het WiFi-netwerk van de school laten verbinden.
Voor gasten die gebruik willen maken van het WiFi-netwerk van de school tenslotte, verzorgt Eduguard ook de veilige toegang. Hiervoor voorziet Eduguard in een portal, waarmee bijvoorbeeld de receptie eenmalige, persoonlijk sleutels kan verstrekken. Daarnaast is het ook mogelijk om gasten middels een kiosk-faciliteit een korte registratie te laten doorlopen, waarna een QR-code getoond wordt, die na scannen ervan, toegang geeft tot het WiFi-netwerk van de school.
Op deze manier is de school volledig in controle, het netwerk veilig en wordt de kans op ongewenste malware en gijzelsoftware in de kiem gesmoord.
