Acties configureren voor niet-compatibele apparaten in Intune
Als onderdeel van een nalevingsbeleid dat uw organisatiebronnen beschermt tegen apparaten die niet voldoen aan uw beveiligingsvereisten, bevat nalevingsbeleid ook Acties voor niet-naleving. Acties voor niet-naleving zijn een of meer tijdgebonden acties die worden uitgevoerd door een beleid om apparaten en uw organisatie te beschermen. Een actie voor niet-naleving kan bijvoorbeeld een apparaat op afstand vergrendelen om ervoor te zorgen dat het is beveiligd, of een melding verzenden naar apparaten of gebruikers om hen te helpen de niet-compatibele status te begrijpen en op te lossen.
Belangrijk
Microsoft Intune beëindigt de ondersteuning voor Beheer van Android-apparaten op apparaten met toegang tot Google Mobile Services (GMS) op 31 december 2024. Na die datum zijn apparaatinschrijving, technische ondersteuning, bugfixes en beveiligingspatches niet meer beschikbaar. Als u momenteel apparaatbeheerdersbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie in Intune voordat de ondersteuning afloopt. Zie Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.
Overzicht
Elk nalevingsbeleid bevat standaard de actie voor niet-naleving van apparaat markeren als niet-compatibel met een schema van nul dagen (0). Het resultaat van deze standaardinstelling is dat wanneer Intune detecteert dat een apparaat niet compatibel is, intune het apparaat onmiddellijk als niet-compatibel markeert. Nadat een apparaat is gemarkeerd als niet-compatibel, kan voorwaardelijke toegang van Microsoft Entra het apparaat blokkeren.
Door Acties voor niet-naleving te configureren, krijgt u flexibiliteit om te bepalen wat u moet doen met niet-compatibele apparaten en wanneer u dit moet doen. U kunt er bijvoorbeeld voor kiezen om het apparaat niet onmiddellijk te blokkeren en de gebruiker een respijtperiode te geven om compatibel te worden.
Voor elke actie die u instelt, kunt u een planning configureren die bepaalt wanneer die actie van kracht wordt. De planning is een aantal dagen nadat het apparaat is gemarkeerd als niet-compatibel. U kunt ook meerdere exemplaren van een actie configureren. Wanneer u meerdere exemplaren van een actie in een beleid instelt, wordt de actie opnieuw uitgevoerd op dat later geplande tijdstip als het apparaat niet compatibel blijft.
Niet alle acties zijn beschikbaar voor alle platforms.
Opmerking
In het Microsoft Intune-beheercentrum wordt de planning (dagen na niet-naleving) weergegeven in dagen. Het is echter mogelijk om een gedetailleerder interval (uren) op te geven met decimale breuken, zoals 0,25 (6 uur), 0,5 (12 uur), 1,5 (36 uur), enzovoort. Hoewel andere waarden mogelijk zijn, kunnen ze alleen worden geconfigureerd met Microsoft Graph en niet via het beheercentrum. Als u andere waarden in het beheercentrum probeert te gebruiken, zoals 0,33 (8 uur), resulteert dit in een fout bij het opslaan van het beleid.
Beschikbare acties voor niet-naleving
Hieronder volgen de beschikbare acties voor niet-naleving:
Apparaat markeren als niet-compatibel: deze actie wordt standaard ingesteld voor elk nalevingsbeleid en heeft een schema van nul (0) dagen, waarmee apparaten onmiddellijk als niet-compatibel worden gemarkeerd.
Wanneer u de standaardplanning wijzigt, geeft u een respijtperiode op waarin een gebruiker problemen kan oplossen of compatibel kan worden zonder te worden gemarkeerd als niet-compatibel.
Deze actie wordt ondersteund op alle platforms die worden ondersteund door Intune.
E-mail verzenden naar de eindgebruiker: met deze actie wordt een e-mailmelding naar de gebruiker verzonden. Wanneer u deze actie inschakelt:
- Selecteer een sjabloon voor meldingsberichten die door deze actie worden verzonden. U maakt een sjabloon voor een meldingsbericht voordat u er een kunt toewijzen aan deze actie. Wanneer u de aangepaste melding maakt, past u de landinstellingen, het onderwerp en de berichttekst aan en kunt u het bedrijfslogo, de bedrijfsnaam en andere contactgegevens bevatten.
- Kies ervoor om het bericht naar meer geadresseerden te verzenden door een of meer van uw Microsoft Entra-groepen te selecteren.
Intune gebruikt het e-mailadres dat is gedefinieerd in het profiel van de eindgebruiker en niet de UPN (User Principal Name). Als er geen gedefinieerd e-mailadres is gedefinieerd in het profiel van de gebruiker, verzendt Intune geen e-mailmelding. Wanneer de e-mail wordt verzonden, bevat Intune details over het niet-compatibele apparaat in de e-mailmelding.
Deze actie wordt ondersteund op alle platforms die worden ondersteund door Intune.
Opmerking
Meldings-e-mailberichten worden verzonden vanuit: microsoft-noreply@microsoft.com
Zorg ervoor dat u geen postvakbeleid hebt dat de levering van e-mailberichten van deze adressen verhindert, anders ontvangen eindgebruikers mogelijk geen e-mailmelding.
Vóór december 2022 werden e-mailberichten met meldingen in de commerciële cloud verzonden vanuit: IntuneNotificationService@microsoft.com
Het niet-compatibele apparaat op afstand vergrendelen: gebruik deze actie om een apparaat op afstand te vergrendelen. De gebruiker wordt vervolgens gevraagd om een pincode of wachtwoord om het apparaat te ontgrendelen. Meer informatie over de functie Extern vergrendelen .
De volgende platforms ondersteunen deze actie:
- Android apparaatbeheerder
- Android (AOSP)
- Android Enterprise:
- Volledig beheerd
- Toegewijd
- Corporate-Owned werkprofiel
- Werkprofiel in persoonlijk eigendom
- Android Enterprise-kioskapparaten
- iOS/iPadOS
- macOS
Apparaat toevoegen aan lijst buiten gebruik stellen: wanneer deze actie wordt uitgevoerd op een apparaat, wordt het apparaat toegevoegd aan een lijst met buiten gebruik gestelde, niet-compatibele apparaten in het Intune-beheercentrum. U kunt naar Naleving van apparaten> gaan en het tabblad Niet-compatibele apparaten buiten gebruik stellen selecteren om de lijst weer te geven. Het apparaat wordt echter pas buiten gebruik gesteld nadat een beheerder het buitengebruikstellingsproces expliciet heeft gestart. Wanneer een beheerder het apparaat buiten gebruik stelt van die lijst, worden alle bedrijfsgegevens van het apparaat verwijderd en wordt dat apparaat verwijderd uit Intune-beheer.
De volgende platforms ondersteunen deze actie:
- Android apparaatbeheerder
- Android (AOSP)
- Android Enterprise:
- Volledig beheerd
- Toegewijd
- Corporate-Owned werkprofiel
- Werkprofiel in persoonlijk eigendom
- iOS/iPadOS
- macOS
- Windows 10/11
Opmerking
Alleen apparaten waarvoor de actie Apparaat toevoegen aan lijst buiten gebruik stellen is geactiveerd, worden weergegeven op het tabblad Geselecteerde apparaten buiten gebruik stellen . Zie het rapport Niet-compatibele apparaten dat wordt vermeld in Nalevingsbeleid voor apparaten bewaken voor een lijst met alle apparaten die niet compatibel zijn.
Als u een of meer apparaten uit de lijst wilt buiten gebruik stellen, selecteert u apparaten die buiten gebruik moeten worden gesteld en selecteert u vervolgens Geselecteerde apparaten buiten gebruik stellen. Wanneer u een actie kiest waarmee apparaten buiten gebruik worden gesteld, ziet u een dialoogvenster om de actie te bevestigen. Pas na bevestiging van de intentie om de apparaten buiten gebruik te stellen, worden ze gewist van bedrijfsgegevens en verwijderd uit Intune-beheer.
Andere opties zijn alle apparaten buiten gebruik stellen, Alle apparaten buiten gebruik stellen wissen en De status buiten gebruik stellen van geselecteerde apparaten wissen. Als u de status Buiten gebruik stellen voor een apparaat wist, wordt het apparaat verwijderd uit de lijst met apparaten die buiten gebruik kunnen worden gesteld totdat de actie Apparaat toevoegen aan de lijst buiten gebruik stellen opnieuw wordt toegepast op dat apparaat.
Meer informatie over het buiten gebruik stellen van apparaten.
Pushmeldingen verzenden naar eindgebruikers: configureer deze actie om een pushmelding over niet-naleving naar een apparaat te verzenden via de bedrijfsportal-app of Intune-app op het apparaat.
De volgende platforms ondersteunen deze actie:
- Android apparaatbeheerder
- Android Enterprise:
- Volledig beheerd
- Toegewijd
- Corporate-Owned werkprofiel
- Werkprofiel in persoonlijk eigendom
- iOS/iPadOS
De pushmelding wordt verzonden wanneer een apparaat voor het eerst incheckt bij Intune en blijkt niet compatibel te zijn met het nalevingsbeleid. Wanneer een gebruiker de melding selecteert, wordt de bedrijfsportal-app of Intune-app geopend en wordt informatie weergegeven over waarom ze niet compatibel zijn. De gebruiker kan vervolgens actie ondernemen om het probleem op te lossen. De berichtdetails over niet-naleving worden gegenereerd door Intune en kunnen niet worden aangepast.
Belangrijk
Intune, de bedrijfsportal-app en de Microsoft Intune-app kunnen de levering van een pushmelding niet garanderen. Meldingen kunnen na enkele uren vertraging worden weergegeven, indien helemaal niet. Dit geldt ook wanneer gebruikers pushmeldingen hebben uitgeschakeld.
Vertrouw niet op deze meldingsmethode voor urgente berichten.
Elk exemplaar van de actie verzendt één keer een melding. Als u dezelfde melding opnieuw wilt verzenden vanuit een beleid, configureert u meer exemplaren van de actie in dat beleid, elk met een andere planning.
U kunt bijvoorbeeld de eerste actie voor nul dagen plannen en vervolgens een tweede exemplaar van de actie toevoegen die is ingesteld op drie dagen. Deze vertraging voor de tweede melding geeft de gebruiker enkele dagen de tijd om het probleem op te lossen en de tweede melding te voorkomen.
Als u wilt voorkomen dat gebruikers met te veel dubbele berichten spammen, controleert en stroomlijnt u welk nalevingsbeleid een pushmelding voor niet-naleving bevat en bekijkt u de planningen om te voorkomen dat meldingen te vaak worden herhaald.
Overwegen:
Voor één beleid dat meerdere exemplaren van een pushmelding bevat voor dezelfde dag, wordt er slechts één melding verzonden voor die dag.
Wanneer meerdere nalevingsbeleidsregels dezelfde nalevingsvoorwaarden bevatten en de pushmeldingsactie met hetzelfde schema bevatten, verzendt Intune meerdere meldingen naar hetzelfde apparaat op dezelfde dag.
Opmerking
De volgende acties voor niet-naleving worden niet ondersteund voor apparaten die worden beheerd door een partner voor apparaatnalevingsbeheer:
- E-mail verzenden naar eindgebruiker
- Het niet-compatibele apparaat op afstand vergrendelen
- Apparaat toevoegen aan lijst buiten gebruik stellen
- Pushmeldingen verzenden naar eindgebruikers
Voordat u begint
U kunt acties voor niet-naleving toevoegen wanneer u nalevingsbeleid voor apparaten configureert, of later door het beleid te bewerken. U kunt extra acties toevoegen aan elk beleid om aan uw behoeften te voldoen. Houd er rekening mee dat elk nalevingsbeleid automatisch de standaardactie voor niet-naleving bevat die apparaten markeert als niet-compatibel, met een schema dat is ingesteld op nul dagen.
Als u nalevingsbeleid voor apparaten wilt gebruiken om apparaten van bedrijfsresources te blokkeren, moet voorwaardelijke toegang van Microsoft Entra zijn ingesteld. Zie Voorwaardelijke toegang in Microsoft Entra ID of algemene manieren om voorwaardelijke toegang met Intune te gebruiken voor hulp.
Als u een nalevingsbeleid voor apparaten wilt maken, raadpleegt u de volgende platformspecifieke richtlijnen:
Een sjabloon voor een meldingsbericht maken
Als u e-mail naar uw gebruikers wilt verzenden, maakt u een sjabloon voor meldingsberichten en koppelt u deze aan uw nalevingsbeleid als een actie voor niet-naleving. Wanneer een apparaat vervolgens niet compatibel is, worden de details die u in de sjabloon invoert, weergegeven in de e-mail die naar uw gebruikers is verzonden.
Een sjabloon voor meldingsberichten kan meerdere berichten bevatten die elk voor een andere landinstelling zijn. Wanneer u meerdere berichten en landinstellingen opgeeft, ontvangen niet-compatibele eindgebruikers het juiste gelokaliseerde bericht op basis van hun O365-voorkeurstaal.
Voeg variabelen toe aan het bericht om een gepersonaliseerde e-mail met dynamische inhoud te maken. In de volgende tabel worden de variabelen beschreven die u kunt gebruiken in de onderwerpregel en hoofdtekst van het bericht.
Variabelenaam | Token dat moet worden gebruikt | Beschrijving |
---|---|---|
Gebruikersnaam | {{UserName}} | Voeg de naam van de primaire gebruiker toe voor het niet-compatibele apparaat. Voorbeeld: John Doe |
Apparaatnaam | {{DeviceName}} | Voeg de naam van het niet-compatibele apparaat toe zoals het is vastgelegd in Microsoft Intune. Voorbeeld: John's iPad |
Apparaat-id | {{DeviceId}} | Voeg de Intune-apparaat-id toe die bij het niet-compatibele apparaat hoort. Voorbeeld: 12ab345c-6789-def0-1234-000000000000 |
Versie van apparaatbesturingssystemen | {{OSAndVersion}} | Voeg het besturingssysteem en de versie van het niet-compatibele apparaat toe. Voorbeeld: Android 12 |
De sjabloon maken
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Eindpuntbeveiliging>Apparaatnaleving>Meldingen>melding maken.
Geef de sjabloon op de pagina Basisinformatie een beschrijvende naam om u te helpen deze te identificeren. Selecteer Volgende.
Voeg op de pagina Instellingen voor koptekst en voettekst uw bedrijfsgegevens en logo toe.
Uw opties:
- E-mailkoptekst: bedrijfslogo weergeven (standaard = Inschakelen): upload een logo om de huisstijl van uw organisatie toe te voegen aan de e-mailsjablonen. Zie Huisstijl aanpassen voor bedrijfsidentiteit voor meer informatie over de huisstijl van de bedrijfsportal.
- E-mailvoettekst: bedrijfsnaam weergeven (standaard = Inschakelen): schakel deze instelling in om de bedrijfsnaam in de e-mail weer te geven. Zie Tenantwaarde om de bedrijfsnaam in de record te controleren.
- E-mailvoettekst: contactgegevens weergeven (standaard = Inschakelen): schakel deze instelling in om de contactgegevens van uw organisatie, zoals naam, telefoonnummer en e-mailadres, in het e-mailbericht weer te geven. Zie Tenantwaarde om de contactgegevens in de record te bekijken.
- E-mailvoettekst: koppeling bedrijfsportalwebsite weergeven (standaard = Uitschakelen): schakel deze instelling in om een koppeling naar de bedrijfsportalwebsite in het e-mailbericht op te nemen. Zie Tenantwaarde om de websitekoppeling te controleren die wordt weergegeven voor gebruikers.
Selecteer Volgende om door te gaan.
Configureer op de pagina Meldingsberichtsjablonen een of meer berichten. Geef voor elk bericht de volgende details op:
- Landinstelling: selecteer de taal die overeenkomt met de landinstellingen van de apparaatgebruiker.
- Onderwerp: Voeg de onderwerpregel voor het e-mailbericht toe. U kunt maximaal 78 tekens invoeren.
-
Onbewerkte HTML-editor: schakel de HTML-editor in om suggesties te krijgen tijdens het toevoegen van HTML-opmaak en koppelingen naar uw bericht. U kunt het
href
kenmerk gebruiken om een koppeling toe te voegen (moet een HTTPS-URL zijn). Ondersteunde HTML-tags zijn:<a>
,<strong>
,<b>
,<u>
,<ol>
,<ul>
,<p>
<li>
,<br>
,<code>
,<table>
,<tbody>
,<tr>
, ,<td>
, ,<thead>
.<th>
U hoeft de HTML-editor niet te gebruiken en u kunt ondersteunde HTML toevoegen zonder de editor in te schakelen. - Bericht: maak een bericht waarin de reden voor niet-naleving wordt uitgelegd. U kunt maximaal 2000 tekens invoeren.
Als u een sjabloon met dynamische inhoud wilt maken, voegt u het token van een ondersteunde variabele in de onderwerpregel of het bericht in. Zie de tabel onder Een sjabloon voor meldingsberichten maken in dit artikel voor een lijst met ondersteunde variabelen.
Belangrijk
Zorg ervoor dat u alleen door Intune ondersteunde HTML-tags en -kenmerken in de berichttekst gebruikt. Intune verzendt berichten die andere typen tags, elementen of stijlen bevatten als tekst zonder opmaak in plaats van html-indeling. Dit omvat berichten die het volgende bevatten:
- CSS
- Tags en kenmerken die niet in dit artikel worden vermeld
Opmerking
Intune converteert nieuwe regeltekens in Windows-stijl naar
<br>
HTML-tags, maar negeert alle andere typen nieuwe regeltekens, inclusief die voor macOS en Linux. Om ervoor te zorgen dat regeleinden correct worden weergegeven in sjablonen, wordt u aangeraden de<br>
tag te gebruiken om het einde van een regel aan te geven.Schakel het selectievakje voor Is standaard in voor een van de berichten. Intune verzendt uw standaardbericht naar gebruikers die geen voorkeurstaal hebben ingesteld of wanneer de sjabloon geen specifiek bericht voor hun landinstelling bevat. Er kan slechts één bericht als standaard worden ingesteld. Als u een bericht wilt verwijderen, selecteert u het beletselteken (...) en vervolgens Verwijderen.
Selecteer Volgende om door te gaan.
Selecteer op de pagina Bereiktags tags om de zichtbaarheid en het beheer van dit bericht te beperken tot specifieke Intune-beheerdersgroepen, zoals
US-NC IT Team
ofJohnGlenn_ITDepartment
. Zie RBAC en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.Selecteer Volgende om door te gaan.
Controleer op de pagina Controleren en maken uw configuraties om ervoor te zorgen dat de sjabloon voor meldingsberichten gereed is voor gebruik. Selecteer Maken om het maken van de melding te voltooien.
Meldingen weergeven en bewerken
Meldingen die zijn gemaakt, zijn beschikbaar op de pagina Meldingen van nalevingsbeleid>. Op de pagina kunt u een melding selecteren om de configuratie ervan weer te geven en:
Selecteer Voorbeeld-e-mail verzenden om een voorbeeld van de e-mailmelding te verzenden naar het account dat u hebt gebruikt om u aan te melden bij Intune.
Als u de preview-e-mail wilt verzenden, moet uw account machtigingen hebben die gelijk zijn aan die van de volgende Microsoft Entra-groepen of Intune-rollen: Intune-beheerder (ook wel intune-servicebeheerder genoemd) of Beleid en profielbeheer.
Selecteer Bewerken voor Basis- of Bereiktags om een wijziging aan te brengen.
Opmerking
De voorbeeld-e-mail bevat niet de apparaatvariabelen die zijn opgegeven in de sjabloon voor meldingsberichten.
Acties voor niet-naleving toevoegen
Wanneer u een nalevingsbeleid voor apparaten maakt, maakt Intune automatisch een actie voor niet-naleving. Als een apparaat niet voldoet aan uw nalevingsbeleid, wordt met deze actie het apparaat gemarkeerd als niet-compatibel. U kunt aanpassen hoe lang het apparaat is gemarkeerd als niet-compatibel. Deze actie kan niet worden verwijderd.
U kunt optionele acties toevoegen wanneer u een nalevingsbeleid maakt of een bestaand beleid bijwerkt.
Meld je aan bij het Microsoft Intune-beheercentrum.
Ga naar Naleving van apparaten>.
Selecteer een beleid en selecteer vervolgens Eigenschappen.
Hebt u nog geen beleid? Maak een Android-, iOS-, Windows- of ander platformbeleid.
Opmerking
Apparaten die worden beheerd door externe apparaatnalevingspartners die zijn gericht op apparaatgroepen, kunnen op dit moment geen nalevingsacties ontvangen.
Selecteer Acties voor niet-naleving>Bewerken.
Selecteer uw actie:
E-mail verzenden naar eindgebruikers: wanneer het apparaat niet compatibel is, kiest u ervoor om de gebruiker een e-mail te sturen. Ook:
- Kies de berichtsjabloon die u eerder hebt gemaakt
- Voer eventuele extra geadresseerden in door groepen te selecteren
Het niet-compatibele apparaat op afstand vergrendelen: wanneer het apparaat niet compatibel is, vergrendelt u het apparaat. Deze actie dwingt de gebruiker om een pincode of wachtwoordcode in te voeren om het apparaat te ontgrendelen.
Apparaat toevoegen aan de lijst buiten gebruik stellen: wanneer het apparaat niet compatibel is, verwijdert u alle bedrijfsgegevens van het apparaat en verwijdert u het apparaat uit Intune-beheer.
Pushmeldingen verzenden naar eindgebruikers: configureer deze actie om een pushmelding over niet-naleving naar een apparaat te verzenden via de bedrijfsportal-app of Intune-app op het apparaat.
Een schema configureren: voer het aantal dagen (0 tot 365) na niet-naleving in om de actie op de apparaten van gebruikers te activeren. Na deze respijtperiode kunt u beleid voor voorwaardelijke toegang afdwingen. Als u 0 (nul) dagen invoert, wordt voorwaardelijke toegang onmiddellijk van kracht. Als een apparaat bijvoorbeeld niet compatibel is, gebruikt u voorwaardelijke toegang om de toegang tot e-mail, SharePoint en andere organisatieresources onmiddellijk te blokkeren.
Wanneer u een nalevingsbeleid maakt, wordt de actie Apparaat niet-compatibel markeren automatisch gemaakt en automatisch ingesteld op 0 dagen (onmiddellijk). Wanneer het apparaat met deze actie incheckt bij Intune en het beleid evalueert, wordt dat apparaat onmiddellijk gemarkeerd als niet-compatibel met dat beleid door Intune. Als de client op een later tijdstip incheckt nadat de problemen zijn opgelost die tot niet-naleving hebben geleid, wordt de status bijgewerkt naar de nieuwe nalevingsstatus. Als u voorwaardelijke toegang gebruikt, zijn deze beleidsregels ook van toepassing zodra een apparaat is gemarkeerd als niet-compatibel. Als u een respijtperiode wilt instellen om toe te staan dat een voorwaarde van niet-naleving wordt hersteld voordat het apparaat wordt gemarkeerd als niet-compatibel, wijzigt u de planning voor de actie Apparaat niet-compatibel markeren.
In uw nalevingsbeleid wilt u bijvoorbeeld ook de gebruiker op de hoogte stellen. U kunt de actie E-mail verzenden naar eindgebruiker toevoegen. Bij deze actie E-mail verzenden stelt u de planning in op twee dagen. Als het apparaat of de eindgebruiker op dag twee nog steeds als niet-compatibel wordt beoordeeld, wordt uw e-mail op dag twee verzonden. Als u de gebruiker opnieuw wilt e-mailen op dag vijf van niet-naleving, voegt u een andere actie toe en stelt u De planning in op vijf dagen.
Zie het overzicht van naleving voor meer informatie over naleving en de ingebouwde acties.
Wanneer u klaar bent, selecteert uOKtoevoegen> om uw wijzigingen op te slaan.