Implementatiehandleiding: Android-apparaten beheren in Microsoft Intune
Intune ondersteunt mobile device management (MDM) van Android-apparaten om personen veilige toegang te geven tot zakelijke e-mail, gegevens en apps. Deze handleiding bevat Android-specifieke resources om u te helpen bij het instellen van inschrijving in Intune en het implementeren van apps en beleid voor gebruikers en apparaten.
Vereisten
Voordat u begint, moet u deze vereisten voltooien om Android-apparaatbeheer in Intune in te schakelen. Zie de intune-implementatiehandleiding voor meer gedetailleerde informatie over het instellen, onboarden of overstappen naar Intune.
- Gebruikers en groepen toevoegen
- Licenties toewijzen aan gebruikers
- Instantie voor beheer van mobiele apparaten instellen
Zie RBAC met Microsoft Intune voor meer informatie over Microsoft Intune-rollen en -machtigingen. De rollen Globale beheerder van Microsoft Entra en Intune-beheerder hebben volledige rechten in Microsoft Intune. De globale beheerder heeft meer machtigingen dan nodig is voor veel apparaatbeheertaken in Microsoft Intune. We raden u aan de minst bevoegde rol te gebruiken die nodig is om taken te voltooien. De rol met de minste bevoegdheden waarmee apparaatinschrijvingstaken kunnen worden voltooid, is bijvoorbeeld Beleids- en profielbeheer, een ingebouwde Intune-rol.
Uw implementatie plannen
Gebruik de Planningshandleiding voor Microsoft Intune voor hulp bij het plannen, ontwerpen en implementeren van Microsoft Intune in uw organisatie. De handleiding biedt informatie om u te helpen:
- Bepaal doelen, use-case-scenario's en vereisten.
- Implementatie- en communicatieplannen maken.
- Ondersteunings-, test- en validatieplannen maken.
Belangrijk
Microsoft Intune beëindigt de ondersteuning voor Beheer van Android-apparaten op apparaten met toegang tot Google Mobile Services (GMS) op 31 december 2024. Na die datum zijn apparaatinschrijving, technische ondersteuning, bugfixes en beveiligingspatches niet meer beschikbaar. Als u momenteel apparaatbeheerdersbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie in Intune voordat de ondersteuning afloopt. Zie Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.
Nalevingsregels maken
Gebruik nalevingsbeleid om de regels en voorwaarden te definiëren waaraan gebruikers en apparaten moeten voldoen om toegang te krijgen tot de beveiligde resources van uw organisatie. U kunt ook beleid voor voorwaardelijke toegang maken, dat samen met de nalevingsresultaten van uw apparaat de toegang tot resources vanaf niet-compatibele apparaten blokkeert. Zie Nalevingsbeleid gebruiken om regels in te stellen voor apparaten die u beheert met Intune voor een gedetailleerde uitleg over nalevingsbeleid en hoe u aan de slag gaat.
De volgende taken zijn van toepassing op zowel Android Enterprise- als Android-apparaatbeheerplatforms.
| Taak | Details |
|---|---|
| Een nalevingsbeleid maken | Krijg stapsgewijze instructies voor het maken en toewijzen van een nalevingsbeleid aan gebruikers- en apparaatgroepen. |
| Acties voor niet-naleving toevoegen | Kies wat er gebeurt wanneer apparaten niet meer voldoen aan de voorwaarden van uw nalevingsbeleid. U kunt acties voor niet-naleving toevoegen wanneer u een nalevingsbeleid voor apparaten configureert, of later door het beleid te bewerken. |
| Maak een beleid voor voorwaardelijke toegang op basis van apparaten of apps . | Geef de app of services op die u wilt beveiligen en definieer de voorwaarden voor toegang. |
| Toegang blokkeren tot apps die geen moderne verificatie gebruiken | Maak een op apps gebaseerd beleid voor voorwaardelijke toegang om apps te blokkeren die gebruikmaken van andere verificatiemethoden dan OAuth2. U kunt bijvoorbeeld apps blokkeren die gebruikmaken van basis- en formulierverificatie. Voordat u toegang blokkeert, meldt u zich aan bij Microsoft Entra ID en bekijkt u het activiteitenrapport verificatiemethoden om te zien of gebruikers basisverificatie gebruiken om toegang te krijgen tot essentiële zaken (zoals agendakiosken voor vergaderruimten) die u bent vergeten of waarvan u niet op de hoogte bent. |
Eindpuntbeveiliging configureren
Gebruik de intune-eindpuntbeveiligingsfuncties om apparaatbeveiliging te configureren en beveiligingstaken te beheren voor apparaten die risico lopen.
De volgende taken zijn van toepassing op zowel Android Enterprise- als Android-apparaatbeheerplatforms.
| Taak | Details |
|---|---|
| Apparaten beheren met eindpuntbeveiligingsfuncties | Gebruik de instellingen voor eindpuntbeveiliging in Intune om de beveiliging van apparaten effectief te beheren en problemen voor apparaten op te lossen. |
| De MTD-connector (Mobile Threat Defense) inschakelen voor ingeschreven apparaten | Schakel de MTD-verbinding in Intune in, zodat MTD-partner-apps kunnen werken met Intune en uw MTD-apparaatnalevingsbeleid. Als u Microsoft Defender voor Eindpunt niet gebruikt, kunt u overwegen om de connector in te schakelen, zodat u een andere mobile threat defense-oplossing kunt gebruiken. U kunt de MTD-connector ook inschakelen voor apparaten die niet zijn ingeschreven bij Intune. |
| Beveiligingsbeleid voor MTD-apps maken | Maak een Intune-beleid voor app-beveiliging dat risico's beoordeelt en de toegang van een apparaat tot werk- of school-apps beperkt. |
| Nalevingsbeleid voor MTD-apparaten maken | Maak een Intune-beleid voor app-beveiliging dat risico's beoordeelt en de zakelijke toegang van een apparaat beperkt op basis van het bedreigingsniveau. |
| MTD-apps toevoegen en toewijzen | MTD-apps toevoegen en implementeren in Intune. Deze apps werken met het nalevings- en app-beveiligingsbeleid voor uw apparaat om apparaatbedreigingen te identificeren en te verhelpen. U kunt ook MTD-apps toewijzen aan apparaten die niet zijn ingeschreven bij Intune. |
Apparaatinstellingen configureren
Gebruik Microsoft Intune om instellingen en functies op apparaten in of uit te schakelen. Als u deze instellingen wilt configureren en afdwingen, maakt u een apparaatprofiel en wijst u het profiel vervolgens toe aan groepen in uw organisatie. Apparaten ontvangen het profiel zodra ze zijn ingeschreven.
| Taak | Details | Platform |
|---|---|---|
| Een apparaatprofiel maken in Microsoft Intune | Meer informatie over de verschillende typen apparaatprofielen die u voor uw organisatie kunt maken. | Android Enterprise, Android-apparaatbeheerder |
| Wi-Fi profiel configureren | Met dit profiel kunnen personen het Wi-Fi netwerk van uw organisatie vinden en er verbinding mee maken. Zie voor een beschrijving van de instellingen in dit gebied de Wi-Fi instellingen voor Android Enterprise Wi-Fi-instellingen of Instellingen voor Android-apparaatbeheerder Wi-Fi. | Android Enterprise, Android-apparaatbeheerder |
| VPN-profiel configureren | Stel een beveiligde VPN-optie in, zoals Microsoft Tunnel, voor personen die verbinding maken met het netwerk van uw organisatie. Zie de naslaginformatie over VPN-instellingen voor Android Enterprise VPN-instellingen of VPN-instellingen voor Android-apparaatbeheerder voor een beschrijving van de instellingen in dit gebied. | Android Enterprise, Android-apparaatbeheerder |
| E-mailprofiel configureren | Configureer e-mailinstellingen zodat personen verbinding kunnen maken met een e-mailserver en toegang hebben tot hun werk- of school-e-mail. Zie e-mailinstellingen voor Android Enterprise of E-mailinstellingen voor Android-apparaatbeheerder voor een beschrijving van de instellingen in dit gebied. | Android Enterprise, Android-apparaatbeheerder |
| Apparaatfuncties beperken | Beveilig gebruikers tegen onbevoegde toegang en afleiding door de apparaatfuncties te beperken die ze op het werk of op school kunnen gebruiken. Zie Android Enterprise-apparaatinstellingen of Apparaatinstellingen voor Android-apparaatbeheerder voor een beschrijving van de instellingen in dit gebied. | Android Enterprise, Android-apparaatbeheerder |
| Aangepaste instellingen configureren voor Android-apparaatbeheerder | Aangepaste instellingen toevoegen of maken die niet zijn ingebouwd in Intune, zoals een VPN-profiel per app en webbeveiliging met Microsoft Defender voor Eindpunt. | Android apparaatbeheerder |
| Samsung Knox-apps configureren | Maak een aangepast profiel om apps voor Samsung Knox Standard-apparaten toe te staan en te blokkeren. | Android apparaatbeheerder |
| Aangepast profiel maken voor Android Enterprise | Aangepaste instellingen toevoegen of maken die niet zijn ingebouwd in Intune voor apparaten in persoonlijk eigendom. | Android Enterprise |
| Mx-profiel (Zebra Mobility Extensions) configureren | Gebruik de Mx-profielen (Mobility Extensions) van Zebra om meer Zebra-specifieke instellingen in Intune aan te passen of toe te voegen. | Android apparaatbeheerder |
| OEMConfig-configuratieprofiel maken | Gebruik OEMConfig om OEM-specifieke instellingen voor Android Enterprise-apparaten toe te voegen, te maken en aan te passen. | Android Enterprise |
| Huisstijl en inschrijvingservaring aanpassen | Pas de Intune-bedrijfsportal- en Microsoft Intune-apps aan met de huisstijl van uw organisatie om een vertrouwde ervaring te creëren voor mensen die hun apparaten inschrijven. | Android Enterprise, Android-apparaatbeheerder |
Veilige verificatiemethoden instellen
Stel verificatiemethoden in Intune in om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot uw interne resources. Intune ondersteunt meervoudige verificatie, SCEP- en PKCS-certificaten en afgeleide referenties. Certificaten kunnen ook worden gebruikt voor het ondertekenen en versleutelen van e-mail met behulp van S/MIME.
| Taak | Details | Platform |
|---|---|---|
| Meervoudige verificatie (MFA) vereisen | Vereisen dat personen twee vormen van referenties opgeven op het moment van inschrijving. | Android Enterprise |
| Een vertrouwd certificaatprofiel maken | Maak en implementeer een vertrouwd certificaatprofiel voordat u een SCEP-, PKCS- of GEÏMPORTEERD PKCS-certificaatprofiel maakt. Het vertrouwde certificaatprofiel implementeert het vertrouwde basiscertificaat op apparaten met behulp van SCEP-, PKCS- en PKCS-geïmporteerde certificaten. | Android Enterprise, Android-apparaatbeheerder |
| SCEP-certificaten gebruiken met Intune | Ontdek wat er nodig is om SCEP-certificaten te gebruiken met Intune en de vereiste infrastructuur te configureren. Nadat u dit hebt uitgevoerd, kunt u een SCEP-certificaatprofiel maken of een externe certificeringsinstantie instellen met SCEP. | Android Enterprise |
| PKCS-certificaten gebruiken met Intune | Configureer de vereiste infrastructuur (zoals on-premises certificaatconnectors), exporteer een PKCS-certificaat en voeg het certificaat toe aan een Intune-apparaatconfiguratieprofiel. | Android Enterprise, Android-apparaatbeheerder |
| Geïmporteerde PKCS-certificaten gebruiken met Intune | Geïmporteerde PKCS-certificaten instellen, waarmee u S/MIME kunt instellen en gebruiken om e-mail te versleutelen. | Android Enterprise, Android-apparaatbeheerder |
| Een verlener van afgeleide referenties instellen | Richt Android-apparaten in met certificaten die zijn afgeleid van smartcards van gebruikers. | Android Enterprise |
Apps implementeren
Denk bij het instellen van apps en app-beleid na over de vereisten van uw organisatie, zoals de platformen die u ondersteunt, de taken die mensen moeten uitvoeren, het type apps dat ze nodig hebben om deze taken te voltooien en de groepen die deze apps nodig hebben. U kunt Intune gebruiken om het hele apparaat (inclusief apps) te beheren of Intune gebruiken om alleen apps te beheren.
| Taak | Details | Platform |
|---|---|---|
| Google Play Store-apps toevoegen | Android-apps toevoegen uit de Google Play Store. | Android apparaatbeheerder |
| Beheerde Google Play-apps toevoegen | Voeg Store-apps, LOB-apps (Line-Of-Business) en web-apps toe via de beheerde Google Play Store. | Android Enterprise |
| Android Enterprise-systeem-apps toevoegen | Gebruik Intune om Android Enterprise-systeem-apps in en uit te schakelen. | Android Enterprise |
| Web-apps toevoegen | Web-apps toevoegen aan Intune en toewijzen aan groepen. | Android apparaatbeheerder |
| Ingebouwde apps toevoegen | Ingebouwde apps toevoegen aan Intune en toewijzen aan groepen. | Android apparaatbeheerder |
| Line-Of-Business-apps toevoegen | Voeg Lob-apps (Line-Of-Business) van Android toe aan Intune en wijs deze toe aan groepen. | Android apparaatbeheerder |
| Apps toewijzen aan groepen | Apps toewijzen aan gebruikers en apparaten. | Android Enterprise, Android-apparaatbeheerder |
| App-toewijzingen opnemen en uitsluiten | De toegang en beschikbaarheid van een app beheren door geselecteerde groepen op te geven en uit te sluiten van toewijzing. | Android Enterprise, Android-apparaatbeheerder |
| Beveiligingsbeleid voor Android-apps maken | Houd de gegevens van uw organisatie in beheerde apps zoals Outlook en Word. Zie Beveiligingsbeleidsinstellingen voor Android-apps voor meer informatie over elke instelling. | Android Enterprise, Android-apparaatbeheerder |
| Uw app-beveiligingsbeleid valideren | Controleer of uw app-beveiligingsbeleid correct is ingesteld en werkt voordat u het in de hele organisatie implementeert. | Android Enterprise, Android-apparaatbeheerder |
| Beleid voor app-beheer maken | Pas aangepaste configuratie-instellingen toe op Android-apps op ingeschreven apparaten. U kunt deze typen beleidsregels ook toepassen op beheerde apps, zonder apparaatinschrijving. | Android Enterprise, Android-apparaatbeheerder |
| Microsoft Edge configureren | Gebruik Intune-beleid voor app-beveiliging en -configuratie met Microsoft Edge voor Android om ervoor te zorgen dat bedrijfswebsites toegankelijk zijn met beveiligingsmaatregelen. | Android Enterprise, Android-apparaatbeheerder |
| Google Chrome configureren | Gebruik een Intune-app-configuratiebeleid om Google Chrome te configureren op Android-apparaten die zijn ingeschreven bij Intune. | Android Enterprise |
| Microsoft Managed Home Screen-app configureren | Managed Home Screen instellen op toegewezen Android Enterprise-apparaten in bedrijfseigendom die zijn ingeschreven via Intune en worden uitgevoerd in de kioskmodus voor meerdere apps. | Android Enterprise |
| Microsoft Launcher-app configureren | Configureer Microsoft Launcher om de ervaring met het startscherm aan te passen op de volledig beheerde apparaten van uw organisatie. | Android Enterprise |
| Microsoft Office-apps configureren | Gebruik Intune-beleid voor app-beveiliging en -configuratie met Office-apps om ervoor te zorgen dat zakelijke bestanden toegankelijk zijn met beveiligingsmaatregelen. | Android Enterprise |
| Microsoft Teams configureren | Gebruik Intune-beleid voor app-beveiliging en -configuratie met Teams om ervoor te zorgen dat samenwerkingsteamervaringen toegankelijk zijn met beveiligingsmaatregelen. | Android Enterprise |
| Microsoft Outlook configureren | Gebruik Intune-beveiligings- en configuratiebeleid voor apps met Outlook om ervoor te zorgen dat zakelijke e-mail en agenda's toegankelijk zijn met beveiligingsmaatregelen. | Android Enterprise |
Apparaten registreren
Als u apparaten registreert, kunnen ze het beleid ontvangen dat u maakt, dus zorg ervoor dat uw Microsoft Entra-gebruikersgroepen en -apparaatgroepen gereed zijn.
Intune ondersteunt de volgende inschrijvingsmethoden voor Android-apparaten:
- Bring-your-own-device (BYOD): Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel
- Toegewezen Android Enterprise-apparaten in bedrijfseigendom
- Volledig beheerd android enterprise-eigendom van het bedrijf
- Android Enterprise-werkprofiel in bedrijfseigendom
- Android apparaatbeheerder
Zie de handleiding voor android-apparaatinschrijving voor Microsoft Intune voor informatie over elke inschrijvingsmethode en hoe u een methode kunt kiezen die geschikt is voor uw organisatie.
| Taak | Details | Platform |
|---|---|---|
| Intune-account verbinden met een beheerd Google Play-account | Als u Android Enterprise-beheer in Intune wilt inschakelen, koppelt u uw Intune-tenantaccount aan uw beheerde Google Play-account. | Android Enterprise |
| Inschrijving van werkprofielen instellen voor apparaten in persoonlijk eigendom | Werkprofielbeheer instellen voor apparaten in persoonlijk eigendom. Met deze inschrijvingsmethode maakt u een afzonderlijk gebied op het apparaat voor werkgerelateerde gegevens, zodat persoonlijke zaken niet worden beïnvloed. | Android Enterprise |
| Inschrijving van werkprofielen instellen voor apparaten in bedrijfseigendom | Beheer van werkprofielen instellen voor apparaten in bedrijfseigendom die zijn bedoeld voor werk en persoonlijk gebruik. Met deze inschrijvingsmethode maakt u een afzonderlijk gebied op het apparaat voor werkgerelateerde gegevens, zodat persoonlijke zaken niet worden beïnvloed. | Android Enterprise |
| Inschrijving instellen voor toegewezen apparaten | Inschrijving instellen voor apparaten in kioskstijl in bedrijfseigendom voor eenmalig gebruik. | Android Enterprise |
| Inschrijving instellen voor volledig beheerde apparaten | Inschrijving instellen voor apparaten in bedrijfseigendom die zijn gekoppeld aan één gebruiker en uitsluitend voor werk worden gebruikt. | Android Enterprise |
| Toegewezen, volledig beheerde of bedrijfseigen apparaten met een werkprofiel inschrijven | Nadat u Intune hebt ingesteld voor Android Enterprise-inschrijving, kunt u apparaten inschrijven met behulp van een van de vijf ondersteunde inschrijvingsmethoden. | Android Enterprise |
| Registratie van apparaatbeheerder instellen | Inschrijving van Android-apparaatbeheerder instellen. Deze methode voor het beheren van apparaten is vervangen door Android Enterprise, dus we raden u af om nieuwe apparaten op deze manier in te schrijven. | Android apparaatbeheerder |
| Samsung Knox Mobile Enrollment gebruiken om Android-apparaten automatisch in te schrijven | Intune instellen voor Samsung Knox Mobile Enrollment (KME), waarmee u automatisch grote aantallen Android-apparaten in bedrijfseigendom kunt inschrijven. | Android Enterprise, Android-apparaatbeheerder |
| Apparaten identificeren als bedrijfseigendom | Wijs de status van bedrijfseigendom toe aan apparaten om meer beheer- en identificatiemogelijkheden in Intune mogelijk te maken. De status bedrijfseigendom kan niet worden toegewezen aan apparaten die zijn ingeschreven via Apple Business Manager. | Android Enterprise, Android-apparaatbeheerder |
| Eigendom van apparaat wijzigen | Nadat een apparaat is ingeschreven, kunt u het eigendomslabel in Intune wijzigen in bedrijfseigendom of persoonlijk eigendom. Deze aanpassing wijzigt de manier waarop u het apparaat kunt beheren. | Android Enterprise, Android-apparaatbeheerder |
| Inschrijvingsproblemen oplossen | Problemen oplossen en oplossen die optreden tijdens de inschrijving. | Android Enterprise, Android-apparaatbeheerder |
Externe acties uitvoeren
Nadat apparaten zijn ingesteld, kunt u externe acties in Intune gebruiken om apparaten op afstand te beheren en problemen op te lossen. De beschikbaarheid verschilt per apparaatplatform. Als een actie ontbreekt of is uitgeschakeld in de portal, wordt deze niet ondersteund op het apparaat.
| Taak | Details |
|---|---|
| Externe acties uitvoeren in Intune | Meer informatie over het inzoomen en extern beheren en oplossen van problemen met afzonderlijke apparaten in Intune. Dit artikel bevat alle externe acties die beschikbaar zijn in Intune en koppelingen naar deze procedures. |
| Beveiligingsproblemen oplossen die zijn geïdentificeerd door Microsoft Defender voor Eindpunt | Integreer Intune met Microsoft Defender voor Eindpunt om te profiteren van het bedreigings- en beveiligingsbeheer van Defender en gebruik Intune om eindpuntproblemen op te lossen die zijn geïdentificeerd door de functie voor beheer van beveiligingsproblemen van Defender. |
| Bedrijfsgegevens wissen uit door Intune beheerde apps | Verwijder selectief werkgerelateerde gegevens van een apparaat. |
Volgende stappen
Bekijk deze zelfstudies voor inschrijving voor meer informatie over het uitvoeren van enkele van de belangrijkste taken in Intune. Zelfstudies bestaan uit inhoud van 100 tot 200 niveaus voor personen die nieuw zijn bij Intune of een specifiek scenario.
- Lopen door het Intune-beheercentrum
- Slack configureren om Intune te gebruiken voor Enterprise Mobility Management (EMM) en app-configuratie
Zie Implementatiehandleiding: iOS-/iPadOS-apparaten beheren in Microsoft Intune voor de iOS-/iPadOS-versie van deze handleiding.