Workloads voor co-beheer

U hoeft geen van de workloads te wijzigen. Wanneer u klaar bent, kunt u deze afzonderlijk, meerdere tegelijk of allemaal tegelijk schakelen. Totdat u de workloads echter overschakelt naar Intune, blijft Configuration Manager de workloads beheren die u niet naar Intune overschakelt, samen met alle andere functies van Configuration Manager die niet worden ondersteund door co-beheer.

Als u een workload overzet naar Intune, maar later van gedachten verandert, kunt u deze terugzetten naar Configuration Manager, hoewel dit van invloed kan zijn. Windows- en Office-versies blijven bijvoorbeeld in een latere versie als deze worden geïnstalleerd door Intune.

Co-beheer ondersteunt de volgende workloads:

• Nalevingsbeleidsregels

• Windows Update-beleid

• Toegangsbeleid voor resources

• Endpoint Protection

• Apparaatconfiguratie

• Office Klik-en-Klaar-apps

• Client-apps

Nalevingsbeleidsregels

Nalevingsbeleid definieert de regels en instellingen waaraan een apparaat moet voldoen om te worden beschouwd als compatibel door beleid voor voorwaardelijke toegang. Gebruik ook nalevingsbeleid om nalevingsproblemen met apparaten onafhankelijk van voorwaardelijke toegang te bewaken en op te lossen. U kunt evaluatie van aangepaste configuratiebasislijnen toevoegen als een evaluatieregel voor nalevingsbeleid. Zie Aangepaste configuratiebasislijnen opnemen als onderdeel van de evaluatie van nalevingsbeleid voor meer informatie.

Zie Nalevingsbeleid gebruiken om regels in te stellen voor apparaten die u beheert met Intune voor meer informatie over de functie Intune.

Windows Update-beleid

Met Windows Update voor Bedrijven-beleid kunt u uitstelbeleid configureren voor Windows 10 of latere functie-updates of kwaliteitsupdates voor Windows 10 of nieuwere apparaten die rechtstreeks worden beheerd door Windows Update voor Bedrijven.

Opmerking

Als u Windows Autopatch met deze apparaten wilt gebruiken, moet deze workload worden beheerd door Intune. Zie Vereisten voor Windows Autopatch voor meer informatie.

Zie Windows-software-updates beheren in Intune voor meer informatie over de functie Intune.

Toegangsbeleid voor resources

Belangrijk

Vanaf versie 2203 worden deze toegangsfuncties voor bedrijfsresources van Configuration Manager en deze workload voor co-beheer niet meer ondersteund. Zie Veelgestelde vragen over afschaffing van resourcetoegang voor meer informatie.

Beleid voor resourcetoegang configureert VPN-, Wi-Fi-, e-mail- en certificaatinstellingen op apparaten.

Zie Profielen voor resourcetoegang implementeren voor meer informatie over de functie Intune.

Opmerking

De workload voor toegang tot resources maakt ook deel uit van de apparaatconfiguratie. Deze beleidsregels worden beheerd door Intune wanneer u de workload Apparaatconfiguratie overschakelt.

Endpoint Protection

De Endpoint Protection-workload bevat de Defender-suite met beveiligingsfuncties:

• Microsoft Defender Antivirus
• Microsoft Defender Application Guard
• Microsoft Defender SmartScreen
• Microsoft Defender voor Eindpunt (formeel bekend als Windows Defender Advanced Threat Protection)
• Windows Defender Firewall
• Windows-versleuteling (ook wel bekend als BitLocker)
• Windows Defender Exploit Guard
• Windows Defender-toepassingsbeheer
• Windows Defender-Beveiligingscentrum

Zie Windows 10 (en hoger) instellingen voor het beveiligen van apparaten met Intune voor meer informatie over de functie Intune.

Opmerking

Wanneer u deze workload overschakelt, blijven de Configuration Manager-beleidsregels op het apparaat staan totdat het Intune beleid ze overschrijft. Dit gedrag zorgt ervoor dat het apparaat nog steeds beveiligingsbeleid heeft tijdens de overgang.

De Endpoint Protection-workload maakt ook deel uit van de apparaatconfiguratie. Hetzelfde gedrag is van toepassing wanneer u de workload Apparaatconfiguratie overschakelt.

Wanneer de Endpoint Protection-workload zich bij Intune bevindt, worden windows-Information Protection-instellingen toegepast vanuit zowel Configuration Manager als Intune. Configuration Manager blijft Windows Information Protection-beleid toepassen totdat de workload Apparaatconfiguratie wordt verplaatst naar Intune.

De Microsoft Defender Antivirus-instellingen die deel uitmaken van het profieltype Apparaatbeperkingen voor Intune Apparaatconfiguratie zijn niet opgenomen in het bereik van de schuifregelaar Endpoint Protection. Als u Microsoft Defender Antivirus wilt beheren voor co-beheerde apparaten met de schuifregelaar eindpuntbeveiliging ingeschakeld, gebruikt u het nieuwe antivirusbeleid in Microsoft Intune beheercentrum>Eindpuntbeveiliging>Antivirus. Het nieuwe beleidstype bevat nieuwe en verbeterde opties en ondersteunt alle instellingen die beschikbaar zijn in het profiel Apparaatbeperkingen.

De functie Windows-versleuteling omvat BitLocker-beheer. Zie BitLocker-beheer implementeren voor meer informatie over het gedrag van deze functie met co-beheer.

Apparaatconfiguratie

De workload apparaatconfiguratie bevat instellingen die u beheert voor apparaten in uw organisatie. Als u deze workload wijzigt, worden ook de workloads ResourceToegang en Endpoint Protection verplaatst.

U kunt nog steeds instellingen van Configuration Manager implementeren op co-beheerde apparaten, ook al is Intune de apparaatconfiguratie-instantie. Deze uitzondering kan worden gebruikt voor het configureren van instellingen die uw organisatie vereist, maar die nog niet beschikbaar zijn in Intune. Geef deze uitzondering op in een Configuration Manager configuratiebasislijn. Schakel de optie Altijd deze basislijn toe, zelfs voor co-beheerde clients bij het maken van de basislijn in. U kunt dit later wijzigen op het tabblad Algemeen van de eigenschappen van een bestaande basislijn.

Als u Windows Autopatch met deze apparaten wilt gebruiken, moet deze workload worden beheerd door Intune. Zie Vereisten voor Windows Autopatch voor meer informatie.

Zie Een apparaatprofiel maken in Microsoft Intune voor meer informatie over de functie Intune.

Opmerking

Een beleid dat is gemaakt vanuit de instellingencatalogus, wordt beheerd door de schuifregelaar Werkbelasting apparaatconfiguratie, ongeacht de inhoud van het beleid.

Wanneer u de werkbelasting van de apparaatconfiguratie wijzigt, bevat deze ook beleidsregels voor de functie Windows Information Protection. Alleen beleidsregels van Intune worden toegepast zodra de workload Apparaatconfiguratie is verplaatst naar Intune.

Opmerking

Als u instellingen voor eindpuntbeveiliging wilt verwijderen, moet de werkbelasting apparaatconfiguratie ook worden gewijzigd.

Office Klik-en-Klaar-apps

Deze workload beheert Microsoft 365-apps op co-beheerde apparaten.

• Nadat de workload is verplaatst, wordt de app weergegeven in de Bedrijfsportal op het apparaat

• Het kan ongeveer 24 uur duren voordat Office-updates worden weergegeven op de client, tenzij de apparaten opnieuw worden opgestart

• Er is een algemene voorwaarde die standaard wordt toegevoegd als een vereiste voor nieuwe Microsoft 365-toepassingen. Wanneer u deze workload overzet, voldoen mede beheerde clients niet aan de vereiste voor de toepassing. Vervolgens installeren ze Microsoft 365 niet die is geïmplementeerd via Configuration Manager. De globale voorwaarde heeft een van de volgende namen:

  • Microsoft 365-apps die worden beheerd door Microsoft Intune (versie 2111 of hoger)
  • Worden Office 365 toepassingen beheerd door Intune op het apparaat (versie 2107 en eerder)

Updates kunt u beheren met een van de volgende functies:

• Instellingen voor updatekanaal en doelversie gebruiken om Microsoft 365 bij te werken met Microsoft Intune beheersjablonen
• Beheer Microsoft 365-apps met Configuration Manager.

Opmerking

Als u Windows Autopatch met deze apparaten wilt gebruiken, moet deze workload worden beheerd door Intune. Zie Vereisten voor Windows Autopatch voor meer informatie.

Zie Microsoft 365-apps toevoegen aan Windows-apparaten met Microsoft Intune voor meer informatie over de functie Intune.

Client-apps

Tip

Deze functie kan in de lijst met functies worden weergegeven als Mobiele apps voor co-beheerde apparaten.

Gebruik Intune om client-apps en PowerShell-scripts te beheren op apparaten met co-beheer Windows 10 of hoger. Nadat u deze workload hebt overgezet, zijn alle beschikbare apps die zijn geïmplementeerd vanuit Intune beschikbaar in de Bedrijfsportal. Apps die u vanuit Configuration Manager implementeert, zijn beschikbaar in Software Center.

Zie Wat is Microsoft Intune app-beheer? voor meer informatie over de functie Intune.

Opmerking

In Windows 10 versie 1903 en hoger worden PowerShell-scripts nog steeds uitgevoerd op co-beheerde apparaten, zelfs als u de client-apps-workload niet hebt overgezet naar Intune.

Wanneer u Microsoft Connected Cache inschakelt op uw Configuration Manager-distributiepunten, kunnen deze Microsoft Intune Win32-apps leveren aan co-beheerde clients. Zie Microsoft Connected Cache met Configuration Manager voor meer informatie.

Als u bijvoorbeeld de nieuwe Store-toepassingen (winget) wilt implementeren via Microsoft Intune, moet u deze workload wijzigen.

Diagram voor app-workloads

Tip

U kunt de Bedrijfsportal configureren om ook Configuration Manager apps weer te geven. Als u deze app-portalervaring wijzigt, verandert dit het gedrag dat in het bovenstaande diagram wordt beschreven. Zie De Bedrijfsportal-app gebruiken op co-beheerde apparaten voor meer informatie.

Volgende stappen

Overschakelen naar werkbelasting