Share via


Beleid toewijzen in Microsoft Intune

Wanneer je een Intune-beleid maakt, bevat dit alle instellingen die je hebt toegevoegd en geconfigureerd in het beleid. Wanneer het beleid klaar is om te worden geïmplementeerd, is de volgende stap het 'toewijzen' van het beleid aan je gebruikers- of apparaatgroepen. Wanneer je het beleid toewijst, ontvangen de gebruikers en apparaten je beleid en worden de ingevoerde instellingen toegepast.

In Intune kun je het volgende beleid maken en toewijzen:

  • Beleid voor app-beveiliging
  • App-configuratiebeleid
  • Nalevingsbeleidsregels
  • Beleidsregels voor voorwaardelijke toegang
  • Apparaatconfiguratieprofielen
  • Inschrijvingsbeleid

In dit artikel wordt beschreven hoe je een beleid toewijst, bevat informatie over het gebruik van bereiktags, wordt beschreven wanneer je beleid toewijst aan gebruikersgroepen of apparaatgroepen en meer.

Voordat u begint

  • Zorg ervoor dat je de juiste rol hebt waarmee beleidsregels en profielen kunnen worden toegewezen. Zie Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune voor meer informatie over bereikgroepen.

  • Overweeg het gebruik van Microsoft Copilot in Intune. Enkele voordelen zijn:

    • Wanneer je een beleid maakt en instellingen configureert, biedt Copilot meer informatie over elke instelling, kan het een waarde aanbevelen en mogelijke conflicten vinden.
    • Wanneer je een beleid toewijst, kan Copilot je vertellen aan welke groepen het beleid is toegewezen en je helpen het effect van het beleid te begrijpen.

    Ga voor meer informatie naar Microsoft Copilot in Intune.

Een beleid toewijzen aan gebruikers of groepen

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apparaten>Apparaten beheren>Configuratie. Alle profielen worden weergegeven.

  3. Selecteer het profiel dat je wilt toewijzen >Eigenschappen>Toewijzingen>Bewerken:

    Als je bijvoorbeeld een apparaatconfiguratieprofiel wilt toewijzen:

    1. Ga naar Apparaten>Apparaten beheren>Configuratie. Alle profielen worden weergegeven.

    2. Selecteer het beleid dat je wilt toewijzen >Eigenschappen>Toewijzingen>Bewerken:

      Schermopname die laat zien hoe je toewijzingen selecteert om het profiel te implementeren voor gebruikers en groepen in Microsoft Intune.

  4. Kies onder Opgenomen groepen of Uitgesloten groepen de optie Groepen toevoegen om een of meer Microsoft Entra-groepen te selecteren. Als je het beleid breed wilt implementeren op alle toepasselijke apparaten, selecteer je Alle gebruikers toevoegen of Alle apparaten toevoegen.

    Opmerking

    Als je 'Alle apparaten' en 'Alle gebruikers' selecteert, wordt de optie voor het toevoegen van extra Microsoft Entra-groepen uitgeschakeld.

  5. Klik op Controleren + Opslaan. Met deze stap wordt je beleid niet toegewezen.

  6. Klik op Opslaan. Wanneer je dezecopslaat, wordt je beleid toegewezen. Je groepen ontvangen je beleidsinstellingen wanneer de apparaten inchecken bij de Intune-service.

Toewijzingsfuncties die je moet kennen en gebruiken

Gebruikersgroepen versus apparaatgroepen

Veel gebruikers vragen wanneer ze gebruikersgroepen moeten gebruiken en wanneer ze apparaatgroepen moeten gebruiken. Het antwoord is afhankelijk van je doel. Hier volgen enkele richtlijnen om je op weg te helpen.

Apparaatgroepen

Als je instellingen wilt toepassen op een apparaat, ongeacht wie is aangemeld, wijs je je beleid toe aan een apparaatgroep. Instellingen die zijn toegepast op apparaatgroepen, gaan altijd mee met het apparaat, niet met de gebruiker.

Bijvoorbeeld:

  • Apparaatgroepen zijn handig voor het beheren van apparaten die geen toegewezen gebruiker hebben. Je hebt bijvoorbeeld apparaten die tickets afdrukken, inventaris scannen, worden gedeeld door ploegendienstmedewerkers, worden toegewezen aan een specifiek magazijn, enzovoort. Plaats deze apparaten in een apparatengroep en wijs je beleid toe aan deze apparatengroep.

  • Je maakt een Intune-profiel (Device Firmware Configuration Interface) waarmee instellingen in het BIOS worden bijgewerkt. Je configureert dit beleid bijvoorbeeld om de camera van het apparaat uit te schakelen of de opstartopties te vergrendelen om te voorkomen dat gebruikers een ander besturingssysteem opstarten. Dit beleid is een goed scenario om toe te wijzen aan een groep apparaten.

  • Op sommige specifieke Windows-apparaten wil je altijd bepaalde Microsoft Edge-instellingen beheren, ongeacht wie het apparaat gebruikt. Je wilt bijvoorbeeld alle downloads blokkeren, alle cookies beperken tot de huidige browsesessie en de browsegeschiedenis verwijderen. Voor dit scenario plaats je deze specifieke Windows-apparaten in een apparaatgroep. Maak vervolgens een Beheersjabloon in Intune, voeg deze apparaatinstellingen toe en wijs dit beleid vervolgens toe aan de groep apparaten.

Om samen te vatten, gebruik je apparaatgroepen wanneer het je niet uitmaakt wie er op het apparaat is aangemeld of als iemand zich aanmeldt. Je wilt dat je instellingen altijd op het apparaat staan.

Gebruikersgroepen

Beleidsinstellingen die zijn toegepast op gebruikersgroepen, gaan altijd mee met de gebruiker en gaan mee met de gebruiker wanneer ze zijn aangemeld op hun vele apparaten. Het is normaal dat gebruikers veel apparaten hebben, zoals een Surface Pro voor werk en een persoonlijk iOS-/iPadOS-apparaat. En het is normaal dat een persoon vanaf deze apparaten toegang heeft tot e-mail en andere organisatiebronnen.

Als een gebruiker meerdere apparaten op hetzelfde platform heeft, kun je filters gebruiken voor de groepstoewijzing. Een gebruiker heeft bijvoorbeeld een persoonlijk iOS-/iPadOS-apparaat en een iOS-/iPadOS-apparaat dat eigendom is van de organisatie. Wanneer je een beleid voor die gebruiker toewijst, kunt je filters gebruiken om alleen het apparaat in organisatieeigendom te targeten.

Volg deze algemene regel: Als een functie van een gebruiker is, zoals e-mail of gebruikerscertificaten, wijs je toe aan gebruikersgroepen.

Bijvoorbeeld:

  • Je wilt een helpdeskpictogram plaatsen voor alle gebruikers op al hun apparaten. In dit scenario plaats je deze gebruikers in een gebruikersgroep en wijs je het pictogrambeleid voor de helpdesk toe aan deze gebruikersgroep.

  • Een gebruiker ontvangt een nieuw apparaat dat eigendom is van de organisatie. De gebruiker meldt zich aan bij het apparaat met het domeinaccount. Het apparaat wordt automatisch geregistreerd in Microsoft Entra ID en automatisch beheerd door Intune. Dit beleid is een goed scenario om toe te wijzen aan een gebruikersgroep.

  • Wanneer een gebruiker zich aanmeldt bij een apparaat, wil je functies in apps, zoals OneDrive of Office, beheren. Wijs in dit scenario je OneDrive- of Office-beleidsinstellingen toe aan een gebruikersgroep.

    Je wilt bijvoorbeeld niet-vertrouwde ActiveX-besturingselementen in je Office-apps blokkeren. Je kunt een Beheersjabloon maken in Intune, deze instelling configureren en dit beleid vervolgens toewijzen aan een gebruikersgroep.

Samenvattend kun je gebruikersgroepen gebruiken wanneer je wil dat je instellingen en regels altijd met de gebruiker meegaan, ongeacht het apparaat dat ze gebruiken.

Azure Virtual Desktop met meerdere sessies

Je kunt Intune gebruiken voor het beheren van Externe bureaubladen met Meerdere sessies van Windows die zijn gemaakt met Azure Virtual Desktop, net zoals je elk ander gedeeld Windows-clientapparaat beheert. Wanneer je beleid toewijst aan gebruikersgroepen of apparaten, is Azure Virtual Desktop met meerdere sessies een speciaal scenario. Bij virtuele machines moeten apparaat-CSP's zich richten op apparaatgroepen. CSP's van gebruikers moeten gericht zijn op gebruikersgroepen.

Ga naar Azure Virtual Desktop met meerdere sessies gebruiken met Microsoft Intune voor meer informatie.

Windows-CSP's en hun gedrag

De beleidsinstellingen voor Windows-apparaten zijn gebaseerd op de configuratieserviceproviders (CSP's). Deze instellingen worden toegewezen aan registersleutels of bestanden op de apparaten.

Dit is wat je moet weten over Windows CSP's:

  • Intune maakt deze CSP's beschikbaar, zodat u deze instellingen kunt configureren en toewijzen aan je Windows-apparaten. Deze instellingen kunnen worden geconfigureerd met behulp van de ingebouwde sjablonen en met behulp van de instellingencatalogus. In de catalogus met instellingen zie je dat sommige instellingen van toepassing zijn op het gebruikersbereik en sommige instellingen op het apparaatbereik.

    Ga naar Instellingencatalogus: Apparaatbereik versus gebruikersbereikinstellingen voor informatie over hoe instellingen voor gebruikersbereik en apparaatbereik worden toegepast op Windows-apparaten.

  • Wanneer een beleid wordt verwijderd of niet meer wordt toegewezen aan een apparaat, kunnen er verschillende dingen gebeuren, afhankelijk van de instellingen in het beleid. Elke CSP kan het verwijderen van het beleid anders afhandelen.

    Een instelling kan bijvoorbeeld de bestaande waarde behouden en niet teruggaan naar een standaardwaarde. Elke CSP bepaalt het gedrag. Zie Naslaginformatie over configuratieserviceprovider (CSP) voor een lijst met Windows CSP's.

    Als je een instelling wilt wijzigen in een andere waarde, maak je een nieuw beleid, configureert je de instelling op Niet geconfigureerd en wijs je het beleid toe. Wanneer het beleid van toepassing is op het apparaat, moeten gebruikers de controle hebben om de instelling te wijzigen in hun voorkeurswaarde.

  • Wanneer je deze instellingen configureert, raden we je aan om te implementeren in een testgroep. Zie een implementatieplan maken voor meer advies over de implementatie van Intune.

Groepen uitsluiten van een beleidstoewijzing

Met intune-apparaatconfiguratiebeleid kun je groepen opnemen en uitsluiten van beleidstoewijzing.

Als best practice:

  • Maak en wijs beleidsregels toe die specifiek zijn voor je gebruikersgroepen. Gebruik filters om apparaten van die gebruikers op te nemen of uit te sluiten.
  • Maak en wijs specifiek voor je apparaatgroepen verschillende beleidsregels toe.

Zie Groepen toevoegen om gebruikers en apparaten te organiseren voor meer informatie over groepen.

Beginselen van het opnemen en uitsluiten van groepen

Wanneer je je beleid en beleidsregels toewijst, moet je de volgende algemene principes toepassen:

  • Beschouw Opgenomen groepen of Uitgesloten groepen als uitgangspunt voor de gebruikers en apparaten die je beleid ontvangen. De Microsoft Entra-groep is de beperkende groep, dus gebruik het kleinste groepsbereik dat mogelijk is. Gebruik filters om je beleidstoewijzing te beperken of te verfijnen.

  • Toegewezen Microsoft Entra-groepen, ook wel statische groepen genoemd, kunnen worden toegevoegd aan Opgenomen groepen of Uitgesloten groepen.

    Normaal gesproken wijs je apparaten statisch toe aan een Microsoft Entra-groep als ze vooraf zijn geregistreerd in Microsoft Entra ID, zoals met Windows Autopilot. Of als je apparaten wilt combineren voor een eenmalige, ad-hoc-implementatie. Anders is het mogelijk niet praktisch om apparaten statisch toe te wijzen aan een Microsoft Entra-groep.

  • Dynamische Microsoft Entra-gebruikersgroepen kunnen worden toegevoegd aan opgenomen groepen of uitgesloten groepen.

  • Uitgesloten groepen kunnen groepen met gebruikers of groepen met apparaten zijn.

  • Dynamische Microsoft Entra-apparaatgroepen kunnen worden toegevoegd aan opgenomen groepen. Er kan echter latentie zijn bij het invullen van het dynamische groepslidmaatschap. Gebruik in latentiegevoelige scenario's filters om specifieke apparaten te targeten en wijs je beleid toe aan gebruikersgroepen.

    Je wilt bijvoorbeeld dat beleidsregels worden toegewezen aan apparaten zodra ze zijn ingeschreven. Maak in deze latentiegevoelige situatie een filter voor de gewenste apparaten en wijs het beleid met dit filter toe aan gebruikersgroepen. Niet toewijzen aan apparaatgroepen.

    Maak in een scenario zonder gebruiker een filter om de gewenste apparaten te bereiken en wijs het beleid met het filter toe aan de groep 'Alle apparaten'.

  • Vermijd het toevoegen van dynamische Microsoft Entra-apparaatgroepen aan uitgesloten groepen. Latentie in de berekening van dynamische apparaatgroepen bij de inschrijving kan leiden tot ongewenste resultaten. Ongewenste apps en beleidsregels kunnen bijvoorbeeld worden geïmplementeerd voordat het uitgesloten groepslidmaatschap is ingevuld.

Ondersteuningsmatrix

Gebruik de volgende matrix om inzicht te krijgen in de ondersteuning voor het uitsluiten van groepen:

  • ✔️:Ondersteund
  • ❌: Niet ondersteund
  • ❕ : gedeeltelijk ondersteund

Schermopname van de ondersteunde opties voor het opnemen of uitsluiten van groepen van een beleidstoewijzing.

Scenario Ondersteuning
1 ❕ Gedeeltelijk ondersteund

Het toewijzen van beleidsregels aan een dynamische apparaatgroep terwijl het uitsluiten van een andere dynamische apparaatgroep wordt ondersteund. Dit wordt echter niet aanbevolen in scenario's die gevoelig zijn voor latentie. Elke vertraging in de berekening van het uitsluiten van groepslidmaatschap kan ertoe leiden dat beleid wordt aangeboden aan apparaten. In dit scenario raden we je aan om filters te gebruiken in plaats van dynamische apparaatgroepen om apparaten uit te sluiten.

Je hebt bijvoorbeeld een apparaatbeleid dat is toegewezen aan Alle apparaten. Later heb je een vereiste dat nieuwe marketingapparaten dit beleid niet ontvangen. Je maakt dus een dynamische apparaatgroep met de naam Marketingapparaten op basis van de enrollmentProfilename eigenschap (device.enrollmentProfileName -eq "Marketing_devices"). In het beleid voeg je de dynamische groep Marketingapparaten toe als een uitgesloten groep.

Een nieuw marketingapparaat wordt voor het eerst ingeschreven bij Intune en er wordt een nieuw Microsoft Entra-apparaatobject gemaakt. Het dynamische groeperingsproces plaatst het apparaat in de groep Marketingapparaten met een mogelijke vertraagde berekening. Tegelijkertijd wordt het apparaat ingeschreven bij Intune en ontvangt het alle toepasselijke beleidsregels. Het Intune-beleid kan worden geïmplementeerd voordat het apparaat in de uitsluitingsgroep wordt geplaatst. Dit gedrag resulteert in een ongewenst beleid (of app) dat wordt geïmplementeerd in de groep Marketing-apparaten.

Daarom wordt het niet aanbevolen om dynamische apparaatgroepen te gebruiken voor uitsluitingen in latentiegevoelige scenario's. Gebruik in plaats daarvan filters.
2 ✔️ Ondersteund

Het toewijzen van een beleid aan een dynamische apparaatgroep terwijl het uitsluiten van een statische apparaatgroep wordt ondersteund.
3 ❌ Wordt niet ondersteund

Het toewijzen van een beleid aan een dynamische apparaatgroep en het uitsluiten van gebruikersgroepen (zowel dynamisch als statisch) wordt niet ondersteund. Intune evalueert geen groepsrelaties tussen gebruikers en apparaten en apparaten van de opgenomen gebruikers worden niet uitgesloten.
4 ❌ Niet ondersteund

Het toewijzen van een beleid aan een dynamische apparaatgroep en het uitsluiten van gebruikersgroepen (zowel dynamisch als statisch) wordt niet ondersteund. Intune evalueert geen groepsrelaties tussen gebruikers en apparaten en apparaten van de opgenomen gebruikers worden niet uitgesloten.
5 ❕ Gedeeltelijk ondersteund

Het toewijzen van een beleid aan een statische apparaatgroep terwijl het uitsluiten van een dynamische apparaatgroep wordt ondersteund. Dit wordt echter niet aanbevolen in scenario's die gevoelig zijn voor latentie. Elke vertraging in de berekening van het uitsluiten van groepslidmaatschap kan ertoe leiden dat beleid wordt aangeboden aan apparaten. In dit scenario raden we je aan om filters te gebruiken in plaats van dynamische apparaatgroepen om apparaten uit te sluiten.
6 ✔️ Ondersteund

Het toewijzen van een beleid aan een statische apparaatgroep en het uitsluiten van een andere statische apparaatgroep wordt ondersteund.
7 ❌ Niet ondersteund

Het toewijzen van een beleid aan een statische apparaatgroep en het uitsluiten van gebruikersgroepen (zowel dynamisch als statisch) wordt niet ondersteund. Intune evalueert geen groepsrelaties tussen gebruikers en apparaten en apparaten van de opgenomen gebruikers worden niet uitgesloten.
8 ❌ Niet ondersteund

Het toewijzen van een beleid aan een statische apparaatgroep en het uitsluiten van gebruikersgroepen (zowel dynamisch als statisch) wordt niet ondersteund. Intune evalueert geen groepsrelaties tussen gebruikers en apparaten en apparaten van de opgenomen gebruikers worden niet uitgesloten.
9 ❌ Wordt niet ondersteund

Het toewijzen van een beleid aan een dynamische gebruikersgroep en het uitsluiten van apparaatgroepen (zowel dynamisch als statisch) wordt niet ondersteund.
10 ❌ Wordt niet ondersteund

Het toewijzen van een beleid aan een dynamische gebruikersgroep en het uitsluiten van apparaatgroepen (zowel dynamisch als statisch) wordt niet ondersteund.
11 ✔️ Ondersteund

Het toewijzen van een beleid aan een dynamische gebruikersgroep en het uitsluiten van andere gebruikersgroepen (zowel dynamisch als statisch) wordt ondersteund.
12 ✔️ Ondersteund

Het toewijzen van een beleid aan een dynamische gebruikersgroep en het uitsluiten van andere gebruikersgroepen (zowel dynamisch als statisch) wordt ondersteund.
13 ❌ Niet ondersteund

Het toewijzen van een beleid aan een statische gebruikersgroep terwijl het uitsluiten van apparaatgroepen (zowel dynamisch als statisch) niet wordt ondersteund.
14 ❌ Niet ondersteund

Het toewijzen van een beleid aan een statische gebruikersgroep terwijl het uitsluiten van apparaatgroepen (zowel dynamisch als statisch) niet wordt ondersteund.
15 ✔️ Ondersteund

Het toewijzen van een beleid aan een statische gebruikersgroep terwijl andere gebruikersgroepen (zowel dynamisch als statisch) worden uitgesloten, wordt ondersteund.
16 ✔️ Ondersteund

Het toewijzen van een beleid aan een statische gebruikersgroep terwijl andere gebruikersgroepen (zowel dynamisch als statisch) worden uitgesloten, wordt ondersteund.

Volgende stappen

Zie apparaatprofielen bewaken voor hulp bij het bewaken van uw beleid en de apparaten waarop je beleid wordt uitgevoerd.