Delen via


Instellingen voor apparaatnaleving voor Windows 10/11 in Intune

In dit artikel worden de verschillende nalevingsinstellingen beschreven die u kunt configureren op Windows-apparaten in Intune. Als onderdeel van uw MDM-oplossing (Mobile Device Management) gebruikt u deze instellingen om BitLocker te vereisen, een minimaal en maximaal besturingssysteem in te stellen, een risiconiveau in te stellen met Microsoft Defender voor Eindpunt en meer.

Deze functie is van toepassing op:

  • Windows 10/11
  • Windows Holographic for Business
  • Surface Hub

Als Intune-beheerder kunt u deze nalevingsinstellingen gebruiken om uw organisatieresources te beschermen. Zie Aan de slag met apparaatnaleving voor meer informatie over nalevingsbeleid en wat ze doen.

Voordat u begint

Een nalevingsbeleid maken. Selecteer windows 10 en hoger bij Platform.

Apparaatstatus

Intune maakt gebruik van Microsoft Device Attestation-services om ervoor te zorgen dat apparaten worden opgestart met een vertrouwde status. Apparaten in commerciële Intune-, GCC High- en DoD-services met Windows 10 gebruiken de DHA-service (Device Health Attestation).

Zie voor meer informatie:

Evaluatieregels voor Windows Health Attestation-service

  • BitLocker vereisen:
    Windows BitLocker-stationsversleuteling versleutelt alle gegevens die zijn opgeslagen op het Volume van het Windows-besturingssysteem. BitLocker gebruikt de Trusted Platform Module (TPM) om het Windows-besturingssysteem en gebruikersgegevens te beveiligen. Het helpt ook te bevestigen dat er niet met een computer is geknoeid, zelfs als de computer onbeheerd, verloren of gestolen is gebleven. Als de computer is uitgerust met een compatibele TPM, gebruikt BitLocker de TPM om de versleutelingssleutels te vergrendelen die de gegevens beveiligen. Als gevolg hiervan kunnen de sleutels pas worden geopend als de TPM de status van de computer controleert.

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Vereisen : het apparaat kan gegevens die zijn opgeslagen op het station beschermen tegen onbevoegde toegang wanneer het systeem is uitgeschakeld of in de sluimerstand staat.

    Device HealthAttestation CSP - BitLockerStatus

    Opmerking

    Als u een nalevingsbeleid voor apparaten in Intune gebruikt, moet u er rekening mee houden dat de status van deze instelling alleen wordt gemeten tijdens het opstarten. Daarom is, hoewel BitLocker-versleuteling is voltooid, een herstart vereist om dit apparaat te detecteren en compatibel te worden. Zie de volgende Microsoft-ondersteuningsblog over Device Health Attestation voor meer informatie.

  • Vereisen dat Beveiligd opstarten is ingeschakeld op het apparaat:

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Vereisen : het systeem wordt gedwongen op te starten naar een vertrouwde fabrieksstatus. De kernonderdelen die worden gebruikt om de machine op te starten, moeten de juiste cryptografische handtekeningen hebben die worden vertrouwd door de organisatie die het apparaat heeft gemaakt. De UEFI-firmware controleert de handtekening voordat de machine kan worden gestart. Als er met bestanden wordt geknoeid, waardoor hun handtekening wordt verbroken, wordt het systeem niet opgestart.

    Opmerking

    De instelling Vereisen dat beveiligd opstarten is ingeschakeld op het apparaat wordt ondersteund op sommige TPM 1.2- en 2.0-apparaten. Voor apparaten die tpm 2.0 of hoger niet ondersteunen, wordt de beleidsstatus in Intune weergegeven als Niet compatibel. Zie Device Health Attestation voor meer informatie over ondersteunde versies.

  • Code-integriteit vereisen:
    Code-integriteit is een functie waarmee de integriteit van een stuurprogramma of systeembestand wordt gevalideerd telkens wanneer het in het geheugen wordt geladen.

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Vereisen : code-integriteit vereisen, waarmee wordt gedetecteerd of een niet-ondertekend stuurprogramma of systeembestand in de kernel wordt geladen. Het detecteert ook of een systeembestand is gewijzigd door schadelijke software of wordt uitgevoerd door een gebruikersaccount met beheerdersbevoegdheden.

Zie voor meer informatie:

Apparaateigenschappen

Versie van besturingssysteem

Als u buildversies wilt detecteren voor alle onderdelenupdates en cumulatieve updates van Windows 10/11 (die in sommige van de onderstaande velden moeten worden gebruikt), raadpleegt u Windows-release-informatie. Zorg ervoor dat u het juiste versievoorvoegsel voor de buildnummers opneemt, zoals 10.0 voor Windows 10, zoals in de volgende voorbeelden wordt geïllustreerd.

  • Minimale versie van het besturingssysteem:
    Voer de minimaal toegestane versie in de nummerindeling major.minor.build.revision in. Als u de juiste waarde wilt ophalen, opent u een opdrachtprompt en typt u ver. De ver opdracht retourneert de versie in de volgende indeling:

    Microsoft Windows [Version 10.0.17134.1]

    Wanneer een apparaat een eerdere versie heeft dan de versie van het besturingssysteem dat u invoert, wordt het als niet-compatibel gerapporteerd. Er wordt een koppeling weergegeven met informatie over het upgraden. De eindgebruiker kan ervoor kiezen om het apparaat te upgraden. Nadat ze een upgrade hebben uitgevoerd, hebben ze toegang tot bedrijfsresources.

  • Maximale versie van het besturingssysteem:
    Voer de maximaal toegestane versie in de nummerindeling major.minor.build.revision in. Als u de juiste waarde wilt ophalen, opent u een opdrachtprompt en typt u ver. De ver opdracht retourneert de versie in de volgende indeling:

    Microsoft Windows [Version 10.0.17134.1]

    Wanneer een apparaat een versie van het besturingssysteem gebruikt die hoger is dan de opgegeven versie, wordt de toegang tot organisatieresources geblokkeerd. De eindgebruiker wordt gevraagd contact op te leggen met de IT-beheerder. Het apparaat heeft geen toegang tot organisatieresources totdat de regel is gewijzigd om de versie van het besturingssysteem toe te staan.

  • Minimale besturingssysteem vereist voor mobiele apparaten:
    Voer de minimaal toegestane versie in de getalnotatie major.minor.build in.

    Wanneer een apparaat een eerdere versie heeft die de versie van het besturingssysteem dat u invoert, wordt dit gerapporteerd als niet-compatibel. Er wordt een koppeling weergegeven met informatie over het upgraden. De eindgebruiker kan ervoor kiezen om het apparaat te upgraden. Nadat ze een upgrade hebben uitgevoerd, hebben ze toegang tot bedrijfsresources.

  • Maximum aantal vereiste besturingssystemen voor mobiele apparaten:
    Voer de maximaal toegestane versie in het nummer major.minor.build in.

    Wanneer een apparaat een versie van het besturingssysteem gebruikt die hoger is dan de opgegeven versie, wordt de toegang tot organisatieresources geblokkeerd. De eindgebruiker wordt gevraagd contact op te leggen met de IT-beheerder. Het apparaat heeft geen toegang tot organisatieresources totdat de regel is gewijzigd om de versie van het besturingssysteem toe te staan.

  • Geldige builds van besturingssystemen:
    Geef een lijst op met minimale en maximale builds van besturingssystemen. Geldige builds van besturingssystemen bieden extra flexibiliteit in vergelijking met de minimale en maximale versie van het besturingssysteem. Overweeg een scenario waarin de minimale versie van het besturingssysteem is ingesteld op 10.0.18362.xxx (Windows 10 1903) en de maximale versie van het besturingssysteem is ingesteld op 10.0.18363.xxx (Windows 10 1909). Met deze configuratie kan een Windows 10 1903-apparaat waarop geen recente cumulatieve updates zijn geïnstalleerd, worden geïdentificeerd als compatibel. Minimale en maximale versie van het besturingssysteem zijn mogelijk geschikt als u hebt gestandaardiseerd op één Windows 10-release, maar mogelijk niet aan uw vereisten voldoet als u meerdere builds moet gebruiken, elk met specifieke patchniveaus. In een dergelijk geval kunt u overwegen om in plaats daarvan geldige builds van besturingssystemen te gebruiken, waardoor meerdere builds kunnen worden opgegeven volgens het volgende voorbeeld.

    De grootste ondersteunde waarde voor elk van de velden versie, primaire, secundaire en build is 65535. De grootste waarde die u kunt invoeren, is bijvoorbeeld 65535.65535.65535,65535.

    Voorbeeld:
    De volgende tabel is een voorbeeld van een bereik voor de acceptabele versies van besturingssystemen voor verschillende Versies van Windows 10. In dit voorbeeld zijn drie verschillende functie-updates toegestaan (1809, 1909 en 2004). In het bijzonder worden alleen de versies van Windows die van juni tot september 2020 cumulatieve updates hebben toegepast, beschouwd als compatibel. Dit zijn alleen voorbeeldgegevens. De tabel bevat een eerste kolom met alle tekst die u wilt beschrijven, gevolgd door de minimale en maximale versie van het besturingssysteem voor die vermelding. De tweede en derde kolom moeten voldoen aan geldige buildversies van het besturingssysteem in de nummerindeling major.minor.build.revision . Nadat u een of meer vermeldingen hebt gedefinieerd, kunt u de lijst exporteren als een csv-bestand (door komma's gescheiden waarden).

    Beschrijving Minimale versie van het besturingssysteem Maximale versie van het besturingssysteem
    Win 10 2004 (jun-september 2020) 10.0.19041.329 10.0.19041.508
    Win 10 1909 (jun-september 2020) 10.0.18363.900 10.0.18363.1110
    Win 10 1809 (jun-september 2020) 10.0.17763.1282 10.0.17763.1490

    Opmerking

    Als u meerdere bereiken met versies van het besturingssysteem in uw beleid opgeeft en een apparaat een build heeft buiten de compatibele bereiken, meldt de bedrijfsportal de gebruiker van het apparaat dat het apparaat niet compatibel is met deze instelling. Houd er echter rekening mee dat vanwege technische beperkingen in het bericht nalevingsherstel alleen het eerste versiebereik van het besturingssysteem wordt weergegeven dat is opgegeven in het beleid. We raden u aan om de acceptabele versiebereiken van het besturingssysteem voor beheerde apparaten in uw organisatie te documenteren.

Configuration Manager-naleving

Alleen van toepassing op co-beheerde apparaten met Windows 10/11. Intune-apparaten retourneren de status Niet beschikbaar.

  • Apparaatcompatibiliteit vereisen vanuit Configuration Manager:
    • Niet geconfigureerd (standaard): Intune controleert niet op een van de Configuration Manager-instellingen op naleving.
    • Vereisen : vereisen dat alle instellingen (configuratie-items) in Configuration Manager compatibel zijn.

Systeembeveiliging

Wachtwoord

  • Een wachtwoord vereisen om mobiele apparaten te ontgrendelen:

    • Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
    • Vereisen : gebruikers moeten een wachtwoord invoeren voordat ze toegang hebben tot hun apparaat.
  • Eenvoudige wachtwoorden:

    • Niet geconfigureerd (standaard): gebruikers kunnen eenvoudige wachtwoorden maken, zoals 1234 of 1111.
    • Blokkeren : gebruikers kunnen geen eenvoudige wachtwoorden maken, zoals 1234 of 1111.
  • Wachtwoordtype:
    Kies het vereiste type wachtwoord of pincode. Uw opties:

    • Standaardwaarde voor apparaat (standaard): een wachtwoord, numerieke pincode of alfanumerieke pincode vereisen
    • Numeriek: een wachtwoord of numerieke pincode vereisen
    • Alfanumeriek : een wachtwoord of alfanumerieke pincode vereisen.

    Wanneer deze instelling is ingesteld op Alfanumeriek, zijn de volgende instellingen beschikbaar:

  • Minimale wachtwoordlengte:
    Voer het minimale aantal cijfers of tekens in dat het wachtwoord moet bevatten.

  • Maximum aantal minuten van inactiviteit voordat wachtwoord is vereist:
    Voer de niet-actieve tijd in voordat de gebruiker het wachtwoord opnieuw moet invoeren.

  • Wachtwoord verloopt (dagen):
    Voer het aantal dagen in voordat het wachtwoord verloopt en ze moeten een nieuw wachtwoord maken, van 1 tot 730.

  • Aantal eerdere wachtwoorden om hergebruik te voorkomen:
    Voer het aantal eerder gebruikte wachtwoorden in dat niet kan worden gebruikt.

  • Wachtwoord vereisen wanneer het apparaat terugkeert vanuit de inactieve status (Mobiel en Holographic):

    • Niet geconfigureerd (standaard)
    • Vereisen : vereisen dat apparaatgebruikers het wachtwoord invoeren telkens wanneer het apparaat terugkeert vanuit een niet-actieve status.

    Belangrijk

    Wanneer de wachtwoordvereiste wordt gewijzigd op een Windows-bureaublad, worden gebruikers beïnvloed wanneer ze zich de volgende keer aanmelden, omdat het apparaat van niet-actief naar actief gaat. Gebruikers met wachtwoorden die voldoen aan de vereiste, worden nog steeds gevraagd hun wachtwoord te wijzigen.

Versleuteling

  • Versleuteling van gegevensopslag op een apparaat:
    Deze instelling is van toepassing op alle stations op een apparaat.

    • Niet geconfigureerd (standaard)
    • Vereisen : gebruik Vereisen om gegevensopslag op uw apparaten te versleutelen.

    DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance

    Opmerking

    De instelling Versleuteling van gegevensopslag op een apparaat controleert algemeen op de aanwezigheid van versleuteling op het apparaat, meer specifiek op het niveau van het besturingssysteemstation. Momenteel ondersteunt Intune alleen de versleutelingscontrole met BitLocker. Voor een robuustere versleutelingsinstelling kunt u BitLocker vereisen gebruiken, die gebruikmaakt van Windows Device Health Attestation om de BitLocker-status op TPM-niveau te valideren. Wanneer u deze instelling gebruikt, moet u er echter rekening mee houden dat er mogelijk opnieuw moet worden opgestart voordat het apparaat als compatibel wordt weergegeven.

Apparaatbeveiliging

  • Firewall:

    • Niet geconfigureerd (standaard): Intune bepaalt de Windows Firewall niet en wijzigt geen bestaande instellingen.
    • Vereisen : schakel Windows Firewall in en voorkom dat gebruikers deze uitschakelen.

    Firewall-CSP

    Opmerking

    • Als het apparaat onmiddellijk wordt gesynchroniseerd nadat het opnieuw is opgestart, of als het apparaat onmiddellijk uit de slaapstand wordt gesynchroniseerd, wordt deze instelling mogelijk gerapporteerd als een fout. Dit scenario heeft mogelijk geen invloed op de algehele nalevingsstatus van het apparaat. Als u de nalevingsstatus opnieuw wilt evalueren, synchroniseert u het apparaat handmatig.

    • Als een configuratie wordt toegepast (bijvoorbeeld via een groepsbeleid) op een apparaat dat Windows Firewall configureert om al het binnenkomende verkeer toe te staan, of als de firewall wordt uitgeschakeld, wordt de instelling Firewall op Vereisengeretourneerd, zelfs als Intune-apparaatconfiguratiebeleid firewall inschakelt. Dit komt doordat het groepsbeleidsobject het Intune-beleid overschrijft. Om dit probleem op te lossen, raden we u aan om conflicterende groepsbeleidsinstellingen te verwijderen of uw firewall-gerelateerde groepsbeleidsinstellingen te migreren naar intune-apparaatconfiguratiebeleid. Over het algemeen raden we u aan de standaardinstellingen te behouden, waaronder het blokkeren van binnenkomende verbindingen. Zie Best practices voor het configureren van Windows Firewall voor meer informatie.

  • Trusted Platform Module (TPM):

    • Niet geconfigureerd (standaard): Intune controleert het apparaat niet op een TPM-chipversie.
    • Vereisen : Intune controleert de TPM-chipversie op naleving. Het apparaat is compatibel als de TPM-chipversie groter is dan 0 (nul). Het apparaat is niet compatibel als er geen TPM-versie op het apparaat is.

    DeviceStatus CSP - DeviceStatus/TPM/SpecificationVersion

  • Antivirus:

    • Niet geconfigureerd (standaard): Intune controleert niet op antivirusoplossingen die op het apparaat zijn geïnstalleerd.
    • Vereisen : controleer de naleving met behulp van antivirusoplossingen die zijn geregistreerd bij Het Windows-beveiligingscentrum, zoals Symantec en Microsoft Defender. Wanneer deze optie is ingesteld op Vereisen, is een apparaat waarop de antivirussoftware is uitgeschakeld of verouderd, niet compatibel.

    DeviceStatus CSP - DeviceStatus/Antivirus/Status

  • Antispyware:

    • Niet geconfigureerd (standaard): Intune controleert niet op antispywareoplossingen die op het apparaat zijn geïnstalleerd.
    • Vereisen : controleer de naleving met behulp van antispywareoplossingen die zijn geregistreerd bij Windows-beveiligingscentrum, zoals Symantec en Microsoft Defender. Wanneer deze optie is ingesteld op Vereisen, is een apparaat waarop de antimalwaresoftware is uitgeschakeld of verouderd, niet compatibel.

    DeviceStatus CSP - DeviceStatus/Antispyware/Status

Defender

De volgende nalevingsinstellingen worden ondersteund met Windows 10/11 Desktop.

  • Microsoft Defender Antimalware:

    • Niet geconfigureerd (standaard): Intune heeft geen controle over de service en wijzigt geen bestaande instellingen.
    • Vereisen : schakel de Microsoft Defender-antimalwareservice in en voorkom dat gebruikers deze uitschakelen.
  • Minimale versie van Microsoft Defender Antimalware:
    Voer de minimaal toegestane versie van de Microsoft Defender-antimalwareservice in. Voer bijvoorbeeld in 4.11.0.0. Wanneer deze leeg blijft, kan elke versie van de Microsoft Defender-antimalwareservice worden gebruikt.

    Standaard is er geen versie geconfigureerd.

  • Microsoft Defender Antimalware-beveiligingsinformatie up-to-date:
    Hiermee bepaalt u de windows-beveiligingsupdates voor virus- en bedreigingsbeveiliging op de apparaten.

    • Niet geconfigureerd (standaard): Intune dwingt geen vereisten af.
    • Vereisen : dwing af dat de Microsoft Defender-beveiligingsinformatie up-to-date is.

    Defender CSP - Defender/Health/SignatureOutOfDate CSP

    Zie Updates voor beveiligingsinformatie voor Microsoft Defender Antivirus en andere Microsoft-antimalware voor meer informatie.

  • Realtime-beveiliging:

    • Niet geconfigureerd (standaard): intune heeft geen controle over deze functie en wijzigt geen bestaande instellingen.
    • Vereisen : schakel realtime-beveiliging in, waarmee wordt gescand op malware, spyware en andere ongewenste software.

    Beleids-CSP - Defender/AllowRealtimeMonitoring CSP

Microsoft Defender voor Eindpunt

Regels voor Microsoft Defender voor Eindpunt

Zie Voorwaardelijke toegang configureren in Microsoft Defender voor Eindpunt voor meer informatie over de integratie van Microsoft Defender voor Eindpunt in scenario's voor voorwaardelijke toegang.

  • Vereisen dat het apparaat de risicoscore van de machine heeft of niet:
    Gebruik deze instelling om de risicoanalyse van uw defense threat services te gebruiken als voorwaarde voor naleving. Kies het maximaal toegestane bedreigingsniveau:

    • Niet geconfigureerd (standaard)
    • Wissen : deze optie is het veiligst, omdat het apparaat geen bedreigingen kan hebben. Als wordt gedetecteerd dat het apparaat een bedreigingsniveau heeft, wordt het geëvalueerd als niet-compatibel.
    • Laag : het apparaat wordt geëvalueerd als compatibel als er alleen bedreigingen op laag niveau aanwezig zijn. Als het apparaat hoger is, wordt het niet-compatibel.
    • Gemiddeld : het apparaat wordt als compatibel beoordeeld als bestaande bedreigingen op het apparaat laag of gemiddeld zijn. Als wordt gedetecteerd dat het apparaat bedreigingen op hoog niveau heeft, wordt vastgesteld dat het niet-compatibel is.
    • Hoog : deze optie is het minst veilig en staat alle bedreigingsniveaus toe. Dit kan handig zijn als u deze oplossing alleen gebruikt voor rapportagedoeleinden.

    Zie Microsoft Defender voor Eindpunt inschakelen met voorwaardelijke toegang als u Microsoft Defender voor Eindpunt wilt instellen als uw service voor beveiligingsrisico's.

Windows Holographic for Business

Windows Holographic for Business maakt gebruik van het Windows 10- en hoger-platform . Windows Holographic for Business ondersteunt de volgende instelling:

  • Systeembeveiliging>Codering>Versleuteling van gegevensopslag op apparaat.

Zie Apparaatversleuteling verifiëren om apparaatversleuteling op de Microsoft HoloLens te verifiëren.

Surface Hub

Surface Hub maakt gebruik van het Windows 10- en hoger-platform . Surface Hubs worden ondersteund voor zowel naleving als voorwaardelijke toegang. Als u deze functies wilt inschakelen op Surface Hubs, raden we u aan automatische inschrijving van Windows in Te schakelen in Intune (hiervoor is Microsoft Entra ID vereist) en de Surface Hub-apparaten als apparaatgroepen te richten. Surface Hubs moeten lid zijn van Microsoft Entra om naleving en voorwaardelijke toegang te laten werken.

Zie Inschrijving voor Windows-apparaten instellen voor hulp.

Speciale aandacht voor Surface Hubs met Windows 10/11 Team OS:
Surface Hubs met Windows 10/11 Team OS bieden momenteel geen ondersteuning voor het nalevingsbeleid voor Microsoft Defender voor eindpunten en wachtwoorden. Daarom stelt u voor Surface Hubs met Windows 10/11 Team OS de volgende twee instellingen in op de standaardinstelling Niet geconfigureerd:

  • Stel in de categorie Wachtwoordeen wachtwoord vereisen om mobiele apparaten te ontgrendelen in op de standaardwaarde Niet geconfigureerd.

  • Stel in de categorie Microsoft Defender voor Eindpunt de standaardinstelling Niet geconfigureerd in op Het apparaat moet de risicoscore van de machine hebben of niet.

Volgende stappen