Share via


Beveiligingsbasislijnprofielen beheren in Microsoft Intune

Om uw gebruikers en Windows-apparaten te beschermen, kunt u afzonderlijke exemplaren van Microsoft Intune-beveiligingsbasislijnprofielen configureren en implementeren op verschillende groepen Windows-apparaten en -gebruikers. Er zijn verschillende basislijnen voor verschillende producten en elk is een groep vooraf geconfigureerde instellingen die de aanbevolen beveiligingspostuur van het beveiligingsteam van dat product vertegenwoordigen. U kunt een standaardbasislijn (ongewijzigd) implementeren of uw profielen aanpassen om apparaten te configureren met de instellingen die uw organisatie nodig heeft.

Zie Overzicht van beveiligingsbasislijnen voor een lijst met beschikbare beveiligingsbasislijnen.

Deze functie is van toepassing op:

  • Windows 10 versie 1809 en hoger
  • Windows 11

Overzicht van beveiligingsbasislijnen

Wanneer u een beveiligingsbasislijnprofiel maakt in Intune, maakt u een sjabloon die uit meerdere apparaatconfiguratie-instellingen bestaat.

Wanneer er meerdere versies voor een beveiligingsbasislijn bestaan, kan alleen de meest recente versie worden gebruikt om een nieuw exemplaar van die basislijn te maken. U kunt exemplaren van oudere basislijnen blijven gebruiken die u eerder hebt gemaakt en de groepen bewerken waaraan ze zijn toegewezen. Verouderde versies bieden echter geen ondersteuning voor wijzigingen in hun instellingsconfiguraties. Maak in plaats daarvan nieuwe basislijnen die gebruikmaken van de meest recente basislijnversie of werk uw oudere basislijnen bij naar die nieuwste versie als u nieuwe configuraties voor instellingen wilt introduceren.

We raden u aan oudere basislijnversies bij te werken naar de nieuwste versie zodra dit praktisch is. Een nieuwere versie kan:

  • Voeg nieuwe instellingen toe die niet beschikbaar waren in de oudere versies.
  • Oude instellingen die niet meer worden ondersteund, buiten gebruik stellen en verwijderen.
  • Wijzig de standaardconfiguratie voor instellingen om af te stemmen op de huidige beveiligingsaanbeveling voor het toepasselijke product.

Veelvoorkomende taken bij het werken met beveiligingsbasislijnen zijn:

Vereisten

  • Voor het gebruik van Intune voor het implementeren van beveiligingsbasislijnen is een Microsoft Intune Abonnement 1-abonnement vereist.

    Tip

    Intune biedt een eenvoudig te gebruiken gebruikersinterface voor het configureren en implementeren van beveiligingsbasislijnen, maar maakt of definieert de beveiligingsbasislijnen niet. Buiten Intune zijn er andere opties voor het implementeren van beveiligingsbasislijnen beschikbaar, zoals de opties die beschikbaar zijn in de Security Compliance Toolkit.

  • Voor het gebruik van basislijnen via Intune moet u een actief abonnement voor het beheerde product hebben, indien van toepassing. Het gebruik van de basislijn van Microsoft Defender voor Eindpunt verleent bijvoorbeeld geen rechten voor het gebruik van Microsoft Defender. In plaats daarvan biedt de basislijn een methode voor het configureren en beheren van instellingen die aanwezig zijn op apparaten die zijn gelicentieerd voor en worden beheerd door Microsoft Defender for Endpoint.

  • Als u basislijnen in Intune wilt beheren, moet uw account de ingebouwde rol Beleid en Profielbeheer hebben.

Een profiel maken voor een beveiligingsbasislijn

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. SelecteerEindpuntbeveiligingsbeveiligingsbasislijnen> om de lijst met beschikbare basislijnen weer te geven.

    Selecteer een beveiligingsbasislijn om te configureren

  3. Selecteer de basislijn die u wilt gebruiken en selecteer profiel maken.

  4. Geef op het tabblad Basisinformatie de volgende eigenschappen op:

    • Naam: voer een naam in voor uw profiel voor beveiligingsbasislijnen. Voer bijvoorbeeld Standard-profiel in voor Defender voor Eindpunt.

    • Beschrijving: voer tekst in die beschrijft wat deze basislijn doet. De beschrijving is voor u om elke gewenste tekst in te voeren. Dit is optioneel, maar wordt aanbevolen.

    Selecteer Volgende om naar het volgende tabblad te gaan. Nadat u naar een nieuw tabblad bent doorgeleid, kunt u de naam van het tabblad selecteren om terug te keren naar een eerder bekeken tabblad.

  5. Bekijk op het tabblad Configuratie-instellingen de groepen Instellingen die beschikbaar zijn in de basislijn die u hebt geselecteerd. U kunt een groep uitvouwen om de instellingen in die groep en de standaardwaarden voor deze instellingen in de basislijn weer te geven. Ga als volgt te werk om specifieke instellingen te vinden:

    • Selecteer een groep om de beschikbare instellingen uit te vouwen en te controleren.
    • De inzichten voor een instelling zijn beschikbaar naast een gloeilamppictogram. Inzichten in instellingen bieden vertrouwen in configuraties door inzichten toe te voegen die vergelijkbare organisaties met succes hebben overgenomen. Inzichten zijn beschikbaar voor sommige instellingen en niet voor alle instellingen. Zie Inzicht in instellingen voor meer informatie.
    • Gebruik de zoekbalk en geef trefwoorden op die de weergave filteren om alleen de groepen weer te geven die uw zoekcriteria bevatten.

    Elke instelling in een basislijn heeft een standaardconfiguratie-voorinstelling voor die basislijnversie. Sommige worden niet geconfigureerd, terwijl andere zijn ingesteld om specifieke waarden of voorwaarden op een apparaat te configureren. De standaardinstellingen in een basislijn vertegenwoordigen de aanbevolen beveiligingspostuur van het beveiligingsteam van dat product. Bij het configureren van een basislijn:

    • Zorg ervoor dat u elke instelling controleert en zo nodig een standaardinstelling opnieuw configureert wanneer uw bedrijf een andere configuratie vereist.
    • Houd er rekening mee dat verschillende basislijntypen en -versies instellingen kunnen bevatten die in andere basislijnen zijn te vinden. Elke basislijn kan een andere standaardwaarde voor een instelling aanbevelen.

    Een groep uitvouwen om de instellingen voor die groep weer te geven

  6. Selecteer op het tabblad Bereiktagsde optie Bereiktags selecteren om het deelvenster Tags selecteren te openen om bereiktags toe te wijzen aan het profiel.

  7. Selecteer op het tabblad Toewijzingen de optie Groepen selecteren om op te nemen en wijs de basislijn vervolgens toe aan een of meer groepen. Gebruik Groepen selecteren om uit te sluiten om de toewijzing te verfijnen.

    Opmerking

    Beveiligingsbasislijnen moeten worden toegewezen aan gebruikersgroepen of apparaatgroepen op basis van het bereik van de instellingen die worden gebruikt. Daarom zijn mogelijk meerdere basislijnen nodig bij het toewijzen van zowel gebruikers- als apparaatinstellingen.

    Een profiel toewijzen

  8. Wanneer u klaar bent om de basislijn te implementeren, gaat u naar het tabblad Beoordelen en maken en bekijkt u de details voor de basislijn. Selecteer Maken om het profiel op te slaan en te implementeren.

    Zodra u het profiel maakt, pusht Intune het naar de toegewezen groep, waardoor het onmiddellijk wordt toegepast.

    Tip

    Als u een profiel opslaat zonder het eerst toe te wijzen aan groepen, kunt u het profiel later bewerken om dit te doen.

    De basislijn controleren

  9. Nadat u een profiel hebt gemaakt, bewerkt u dit door naar Eindpuntbeveiligingsbeveiligingsbasislijnen> te gaan, het basislijntype te selecteren dat u hebt geconfigureerd en vervolgens Profielen te selecteren. Selecteer het profiel in de lijst met beschikbare profielen en selecteer vervolgens Eigenschappen. U kunt instellingen bewerken op alle beschikbare configuratietabbladen en Controleren en opslaan selecteren om uw wijzigingen door te voeren.

Een profiel bijwerken naar de nieuwste versie

De informatie in deze sectie is van toepassing op het bijwerken van een basislijnexemplaren die vóór mei 2023 is gemaakt, naar een versie van dezelfde basislijn die na mei 2023 is uitgebracht.

Opmerking

In mei 2023 is Intune begonnen met de implementatie van een nieuwe beveiligingsbasislijnindeling voor elke nieuwe basislijnrelease of -update. Intune heeft ook een nieuw updateproces geïntroduceerd voor het migreren van een bestaand beveiligingsbasislijnprofiel naar een nieuw uitgebrachte beveiligingsbasislijn. Dit nieuwe gedrag vervangt bestaand gedrag bij het verplaatsen naar een basislijnversie die is uitgebracht in mei 2023 of hoger.

Het vorige gedrag blijft beschikbaar voor gebruik bij het bijwerken van basislijnen die nog geen nieuwe versie hebben ontvangen die de nieuwe indeling gebruikt. Zie Basislijnen bijwerken die de vorige indeling gebruiken voor hulp.

Na mei 2023, wanneer een nieuwe versie voor een basislijn wordt uitgebracht, kunt u uw bestaande profielen bijwerken naar de nieuwe versie. Wanneer u overstapt van een oudere indeling naar de nieuwe basislijnindeling (van een versie die is uitgebracht vóór mei 2023 naar een versie die is uitgebracht in mei 2023 of hoger):

  • Alle nieuwe profielen voor het basislijntype, zoals Microsoft Edge, gebruiken de nieuwe indeling. Het maken van een nieuwe basislijn die gebruikmaakt van een oudere basislijnversie wordt niet ondersteund.

  • Basislijnversies die vóór mei 2023 zijn uitgebracht, worden niet bijgewerkt naar de nieuwe indeling. Maak in plaats daarvan een nieuw profiel dat gebruikmaakt van de nieuwe indeling en configureer de instellingen van de oude basislijn in die nieuwe basislijnindeling. Het profiel opnieuw maken is een eenmalig proces dat nodig is om een basislijn te verplaatsen van de oude indeling naar de nieuwe basislijnindeling.

    Om u te helpen bij dit proces kan Intune het oude profiel exporteren naar een CSV-indeling die elke instelling identificeert op basis van de naam van de instelling zoals deze wordt weergegeven in de nieuwe profielversie, samen met de configuratie ervan.

  • Nadat u een nieuwe basislijn hebt gemaakt die uw oudere basislijnversie kan vervangen, blijft het oudere profiel ongewijzigd en kunt u het blijven gebruiken. U kunt doorgaan met het implementeren, opnieuw toewijzen en bewerken van de instellingen in de oudere basislijnindeling.

    Tip

    Ondersteuning voor het bewerken van instellingen in een oudere basislijnversie na het bijwerken naar een nieuwe versie is een wijziging ten opzichte van het gedrag in het verleden. Dit gedrag is alleen mogelijk wanneer u overstapt van basislijnversies die zijn gemaakt vóór mei 2023 naar versies die zijn gemaakt in mei 2023 of hoger, omdat de nieuwe basislijnindeling naast de oudere basislijnindeling bestaat in plaats van deze te vervangen. Wanneer u later een basislijnexemplaren bijwerkt die in mei 2023 of hoger is gemaakt naar een nieuwere versie, wordt het oorspronkelijke gedrag waarbij u geen instellingen in de oudere versie kunt bewerken, geretourneerd.

    U wordt aangeraden het gebruik van de oudere indeling stop te zetten en zo snel mogelijk een profiel te implementeren op basis van de nieuwste versie. De oudere profielen ontvangen geen updates terwijl de nieuwere versies in mei 2023 zijn uitgebracht:

    • Gebruik de nieuwe instellingenindeling in de Intune-gebruikersinterface die rechtstreeks is afgestemd op de CSP-bron (Configuration Service Provider) voor elke instelling.
    • Zijn vooraf geconfigureerd met standaardconfiguraties die door de relevante beveiligingsteams worden aanbevolen.

Een basislijn bijwerken naar de nieuwe indeling

Als u een basislijn die vóór mei 2023 is gemaakt, wilt bijwerken naar de nieuwe indeling, moet u een nieuw basislijnexemplaren maken. Om u te helpen bij het opnieuw maken van de oorspronkelijke basislijnconfiguratie, kunt u Intune uw huidige basislijnconfiguratie laten exporteren als een .CSV-bestand. De export omvat:

  • Elke instelling van de oudere basislijn wordt geïdentificeerd met behulp van de naam van de instelling zoals deze wordt weergegeven in de nieuwe basislijn. Hoewel de naam van de instelling niet letterlijk wordt weergegeven in de .csv, kunt u het pad voor de instelling vinden, dat een deel van de instellingsnaam bevat.
  • Hoe elke instelling in de oudere basislijn is geconfigureerd.
  • Als de configuratie van een instelling uit de oude basislijn overeenkomt met de standaardconfiguratie van de nieuwe basislijn.

Met de informatie uit de export kunt u de nieuwe basislijn snel opnieuw configureren om dezelfde waarden te gebruiken als het oudere basislijnexemplaren.

  1. Meld u aan bij het Microsoft Intune-beheercentrum, ga naar Endpoint Security>Security-basislijnen>selecteer het basislijntype en schakel vervolgens het selectievakje in voor het basislijnprofiel (exemplaar) dat u wilt repliceren in de nieuwe basislijnindeling en selecteer vervolgens Versie wijzigen. Intune geeft het deelvenster Versie wijzigen weer.

    In de volgende schermopname hebben we ingezoomd op de beveiligingsbasislijn voor Microsoft Edge. We hebben op dit moment twee profielen. De ene is een nieuw profiel voor Microsoft Edge v112 en het andere is een ouder profiel van september 2020. In het oudere profiel wordt ook een pijlpictogram weergegeven om aan te geven dat er een nieuwere versie is om het te vervangen.

    Schermafbeelding met het navigatiepad in het Intune-beheercentrum om het deelvenster Versie wijzigen te openen.

  2. In het deelvenster Versie wijzigen vindt u instructies voor het verplaatsen van de configuratiedetails van de oudere basislijn naar een profiel dat de nieuwe indeling gebruikt. Het deelvenster bevat ook de naam en versie van de geselecteerde basislijn en de meest recente basislijnversie.

    1. Selecteer Profielinstellingen exporteren om een .csv-bestand te maken met de instellingen in de geselecteerde basislijn, samen met de huidige configuraties als deze niet zijn ingesteld op de standaardbasislijn. Wanneer u de optie selecteert om de basislijngegevens te exporteren, bereidt Intune de export voor en moet u ermee akkoord gaan om door te gaan. Selecteer Ja om de export van het .CSV-bestand te downloaden.

    2. Nadat het bestand is gedownload, kunt u het openen om de huidige configuratie van oudere basislijnen weer te geven.

    Het deelvenster Versie wijzigen bevat ook een knop voor het maken van een nieuw profiel voor de geselecteerde basislijn, die dezelfde functie heeft als de optie Profiel maken die vaker wordt gebruikt voor het maken van nieuwe basislijnexemplaren.

    In de volgende schermopname ziet u een export voor het Microsoft Edge-profiel versie 85, zoals wordt weergegeven in Microsoft Excel. Van de nieuwe instellingen voor Microsoft Edge basislijn 17 die zijn gevonden in het oudere profiel, is slechts één instelling gewijzigd: Site-isolatie inschakelen voor elke site is ingesteld op Uitgeschakeld in de oudere basislijn. In de nieuwere basislijn wordt de instelling nu standaard ingesteld op Ingeschakeld:

    Schermafbeelding met een export van het Microsoft Edge-basislijnprofiel als een .csv-bestand.

    In de voorgaande afbeelding zijn er drie kolommen met informatie. De informatie identificeert de instellingen in het nieuwe profiel en de configuratie voor elk profiel die u in het oude profiel had.

    • DefinitionId : in deze kolom wordt de registernaam van de instellingen weergegeven. De informatie na het onderstrepingsteken ( _ ) identificeert de naam van de instellingen zoals deze wordt weergegeven in het nieuwe basislijnprofiel en de nieuwe indeling, maar zonder spaties in de naam. Deze waarde is ook de naam van de CSP-instelling die door deze basislijninstelling wordt beheerd.

      De gewijzigde instelling Site-isolatie inschakelen voor elke site wordt in deze export bijvoorbeeld weergegeven als admx- microsoftedge_SitePerProcess. Het laatste gedeelte, SitePerProcess, helpt bij het identificeren van de instelling.

    • defaultJson : in deze kolom wordt de standaardconfiguratie voor deze instelling geïdentificeerd, zoals te zien is in de nieuwe basislijnindeling. Onze voorbeeldinstelling voor de SitePerProcess-CSP is standaard ingesteld op ingeschakeld .

    • customizedJson : in de laatste kolom wordt de configuratie van elke instelling uit de oudere profielversie weergegeven. Deze informatie helpt u te begrijpen welke instellingen in het nieuwe profiel moeten worden aangepast aan de configuratie van de oudere profielen. Onze voorbeeldinstelling is ingesteld op uitgeschakeld. In alle andere instellingen wordt 'NotApplicable' weergegeven omdat deze niet zijn gewijzigd van de standaardconfiguratie in de oudere basislijnversie die we hebben gebruikt.

    Mogelijk heeft het bijgewerkte Microsoft Edge-basislijnprofiel meer dan de 17 instellingen in het oudere profiel. De basislijnexport identificeert deze nieuwe instellingen niet, omdat ze niet beschikbaar waren in de oudere basislijnversie die u bekijkt.

    Wanneer u later het nieuwe profiel maakt en configureert, kunt u de lijst uit de CSV-export gebruiken om ervoor te zorgen dat elke instelling van het vorige profiel is ingesteld in het nieuwe profiel met dezelfde configuratie.

Basislijnen bijwerken die de vorige indeling gebruiken

De informatie in deze sectie is van toepassing op het bijwerken van een bestaande basislijn die vóór mei 2023 is gemaakt naar een versie van dezelfde basislijn die ook vóór mei 2023 is uitgebracht.

Opmerking

In mei 2023 is Intune begonnen met de implementatie van een nieuwe beveiligingsbasislijnindeling voor elke nieuwe release of update van de basislijn. Intune heeft ook een nieuw updateproces geïntroduceerd voor het migreren van een bestaand beveiligingsbasislijnprofiel naar een nieuw uitgebrachte beveiligingsbasislijn. Dit nieuwe gedrag vervangt bestaand gedrag bij het verplaatsen naar een basislijnversie die is uitgebracht in mei 2023 of hoger.

De volgende richtlijnen zijn bedoeld voor gebruik bij het bijwerken van een basislijn naar een nieuwere versie die vóór mei 2023 is uitgebracht. Als u een basislijn bijwerkt naar een versie die in mei 2023 of hoger is uitgebracht, raadpleegt u Een profiel bijwerken naar de nieuwste versie.

Wanneer er een nieuwe versie voor een basislijn beschikbaar komt, kunt u uw bestaande profielen bijwerken naar de nieuwe versie:

  • Bestaande profielen worden niet automatisch bijgewerkt naar nieuwe versies.
  • Instellingen in basislijnprofielen die niet de nieuwste versie gebruiken, worden alleen-lezen. U kunt deze oudere profielen blijven gebruiken, inclusief het bewerken van hun naam, beschrijving en toewijzingen, maar u kunt geen instellingen voor deze profielen bewerken of nieuwe profielen maken op basis van die oudere versies.

U wordt aangeraden de versie-update te testen op een kopie van uw bestaande profielen voordat u uw liveprofielen bijwerkt.

Wanneer u de profielversie wijzigt:

  • U selecteert het meest recente exemplaar van dezelfde basislijn. U kunt niet schakelen tussen twee verschillende basislijntypen, zoals het wijzigen van een profiel van het gebruik van een basislijn voor Defender voor Eindpunt in het gebruik van de MDM-beveiligingsbasislijn.

  • U kunt een CSV-bestand exporteren en downloaden waarin de wijzigingen tussen de twee betrokken basislijnversies worden vermeld.

  • U kiest hoe u het profiel wilt bijwerken:

    • U kunt al uw aanpassingen van de oorspronkelijke basislijnversie behouden.
    • U kunt ervoor kiezen om de standaardwaarden te gebruiken voor alle instellingen in de nieuwe basislijnversie.

    U kunt tijdens de update niet alleen bepaalde instellingen in een profiel wijzigen.

Tijdens de conversie:

  • Nieuwe instellingen die zich niet in de oudere versie bevonden die u gebruikte, worden toegevoegd. Nieuwe instellingen van de nieuwe versie gebruiken hun standaardwaarden.

  • Instellingen die zich niet in de nieuwe basislijnversie bevinden die u selecteert, worden verwijderd en niet meer afgedwongen door dit beveiligingsbasislijnprofiel.

    Wanneer een instelling niet meer wordt beheerd door een basislijnprofiel, wordt die instelling niet opnieuw ingesteld op het apparaat. In plaats daarvan blijft de instelling op het apparaat ingesteld op de laatste configuratie totdat een ander proces de instelling beheert om deze te wijzigen. Voorbeelden van processen die een instelling kunnen wijzigen nadat u het beheer ervan hebt gestopt, zijn een ander basislijnprofiel, een groepsbeleidsinstelling of handmatige configuratie die op het apparaat is gemaakt.

Nadat de conversie naar de nieuwe basislijnversie is voltooid:

  • De basislijn wordt onmiddellijk opnieuw geïmplementeerd voor toegewezen groepen.
  • U kunt de basislijn bewerken om afzonderlijke instellingen te wijzigen.

De conversie en bijgewerkte basislijn testen

Voordat u een basislijnprofiel bijwerkt naar een nieuwe versie, maakt u er een kopie van zodat u de nieuwe versie van uw profiel op een groep apparaten kunt testen. Zie Een beveiligingsbasislijn dupliceren verderop in dit artikel.

  • Wanneer u een kopie maakt, worden groepstoewijzingen niet opgenomen, wat betekent dat uw basislijnkopie niet wordt geïmplementeerd op apparaten op het moment dat u een kopie maakt of op het moment dat u deze bijwerkt naar een nieuwe versie.
  • Nadat u het profiel hebt bijgewerkt naar de nieuwste versie, kunt u de instellingen ervan bewerken. U kunt de bijgewerkte kopie toewijzen aan een groep apparaten en deze bewerken om wijzigingen aan te brengen in afzonderlijke instellingen in het profiel.

De basislijnversie voor een profiel wijzigen

Voordat u de versie bijwerkt van een profiel dat is toegewezen aan groepen, test u de versie-update op een kopie van het profiel, zodat u vervolgens de nieuwe basislijninstellingen op testgroep apparaten kunt valideren.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Eindpuntbeveiliging>Beveiligingsbasislijnen en selecteer vervolgens de tegel voor het basislijntype met het profiel dat u wilt wijzigen.

  3. Selecteer vervolgens Profielen, schakel het selectievakje in voor het profiel dat u wilt bewerken en selecteer vervolgens Versie wijzigen.

    Schermopname met de selectie van een basislijn.

  4. Gebruik in het deelvenster Versie wijzigen de vervolgkeuzelijst Een beveiligingsbasislijn selecteren om bij te werken naar en selecteer het versie-exemplaar dat u wilt gebruiken.

    een versie selecteren

  5. Selecteer Update controleren om een CSV-bestand te downloaden waarin het verschil wordt weergegeven tussen de huidige versie van de profielen en de nieuwe versie die u hebt geselecteerd. Controleer dit bestand zodat u begrijpt welke instellingen nieuw of verwijderd zijn en wat de standaardwaarden voor deze instellingen zijn in het bijgewerkte profiel.

    Als u klaar bent, gaat u verder met de volgende stap.

  6. Kies een van de twee opties voor Selecteer een methode om het profiel bij te werken:

    • Basislijnwijzigingen accepteren, maar mijn bestaande instellingsaanpassingen behouden : met deze optie blijven de aanpassingen die u hebt aangebracht in het basislijnprofiel behouden en worden deze toegepast op de nieuwe versie die u hebt geselecteerd om te gebruiken.
    • Basislijnwijzigingen accepteren en bestaande instellingsaanpassingen negeren : met deze optie wordt uw oorspronkelijke profiel volledig overschreven. Het bijgewerkte profiel gebruikt de standaardwaarden voor alle instellingen.
  7. Selecteer Verzenden. Het profiel wordt bijgewerkt naar de geselecteerde basislijnversie en nadat de conversie is voltooid, wordt de basislijn onmiddellijk opnieuw geïmplementeerd in toegewezen groepen.

Een toewijzing van een beveiligingsbasislijn verwijderen

Wanneer een beveiligingsbasislijninstelling niet meer van toepassing is op een apparaat of instellingen in een basislijn zijn ingesteld op Niet geconfigureerd, worden deze instellingen op een apparaat mogelijk niet teruggezet naar een vooraf beheerde configuratie, afhankelijk van de instellingen in de beveiligingsbasislijn. De instellingen zijn gebaseerd op CSP's en elke CSP kan de wijziging op een andere manier afhandelen.

Andere processen die later instellingen op het apparaat kunnen wijzigen, zijn een andere of nieuwe beveiligingsbasislijn, apparaatconfiguratieprofiel, groepsbeleidsconfiguraties of handmatige bewerking van de instelling op het apparaat.

Een beveiligingsbasislijn dupliceren

U kunt dubbele waarden van uw beveiligingsbasislijnen maken. Het dupliceren van een basislijn kan handig zijn als u een vergelijkbare, maar unieke basislijn wilt toewijzen aan een subset van apparaten. Als u een duplicaat maakt, hoeft u de hele basislijn niet handmatig opnieuw te maken. In plaats daarvan kunt u een van uw huidige basislijnen dupliceren en vervolgens alleen de wijzigingen introduceren die voor het nieuwe exemplaar nodig zijn. U kunt alleen een specifieke instelling wijzigen en de groep waaraan de basislijn is toegewezen.

Wanneer u een duplicaat maakt, geeft u de kopie een nieuwe naam. De kopie is gemaakt met dezelfde instellingsconfiguraties en bereiktags als het origineel, maar heeft geen toewijzingen. U moet de nieuwe basislijn bewerken om toewijzingen toe te voegen.

Alle beveiligingsbasislijnen ondersteunen het maken van een duplicaat.

Nadat u een basislijn hebt gedupliceerd, controleert en bewerkt u het nieuwe exemplaar om wijzigingen aan te brengen in de configuratie.

Een basislijn dupliceren

  1. Meld je aan bij het Microsoft Intune-beheercentrum.
  2. Ga naar Eindpuntbeveiligingsbeveiligingsbasislijnen>, selecteer het type basislijn dat u wilt dupliceren en selecteer vervolgens Profielen.
  3. Klik met de rechtermuisknop op het profiel dat u wilt dupliceren en selecteer Dupliceren, of selecteer het beletselteken (...) rechts van de basislijn en selecteer Dupliceren.
  4. Geef een nieuwe naam op voor de basislijn en selecteer opslaan.

Na vernieuwen wordt het nieuwe basislijnprofiel weergegeven in het beheercentrum.

Een basislijn bewerken

  1. Selecteer de basislijn en selecteer vervolgens Eigenschappen.

  2. In deze weergave kunt u Bewerken selecteren voor de volgende categorieën om het profiel te wijzigen:

    • Basisprincipes
    • Toewijzingen
    • Bereiktags
    • Configuratie-instellingen

    U kunt een profiel bewerkenConfiguratie-instellingen alleen als dat profiel de nieuwste versie van die beveiligingsbasislijn gebruikt. Voor profielen die oudere versies gebruiken, kunt u Instellingen uitvouwen om de configuratie van instellingen in het profiel weer te geven, maar u kunt deze niet wijzigen. Nadat een profiel is bijgewerkt naar de meest recente basislijnversie, kunt u de profielinstellingen bewerken.

  3. Nadat je wijzigingen hebt aangebracht, selecteer je Opslaan om de wijzigingen op te slaan. U slaat bewerkingen op in één categorie voordat u bewerkingen kunt introduceren in extra categorieën.

Oudere basislijnversies

Microsoft Intune werkt de versies van ingebouwde beveiligingsbasislijnen bij, afhankelijk van de veranderende behoeften van een typische organisatie. Elke nieuwe release resulteert in een versie-update naar een bepaalde basislijn. De verwachting is dat klanten de nieuwste basislijnversie gebruiken als uitgangspunt voor hun apparaatconfiguratieprofielen.

Als er geen profielen meer zijn die gebruikmaken van een oudere basislijn in uw tenant, wordt in Microsoft Intune de meest recente beschikbare basislijnversie vermeld.

Als u een profiel hebt dat is gekoppeld aan een oudere basislijn, wordt die oudere basislijn nog steeds vermeld.

Co-beheerde apparaten

Beveiligingsbasislijnen op door Intune beheerde apparaten zijn vergelijkbaar met co-beheerde apparaten met Configuration Manager. Co-beheerde apparaten maken gebruik van Configuration Manager en Microsoft Intune om de Windows 10/11-apparaten tegelijkertijd te beheren. Hiermee kunt u uw bestaande Configuration Manager-investering in de cloud koppelen aan de voordelen van Intune. Overzicht van co-beheer is een uitstekende resource als u Configuration Manager gebruikt en ook de voordelen van de cloud wilt.

Wanneer u co-beheerde apparaten gebruikt, moet u de workload Apparaatconfiguratie (de instellingen ervan) overschakelen naar Intune. Werkbelastingen voor apparaatconfiguratie biedt meer informatie.

Volgende stappen