Nalevingsbeleid gebruiken om regels in te stellen voor apparaten die u beheert met Intune
MDM-oplossingen (Mobile Device Management), zoals Intune, kunnen helpen bij het beveiligen van organisatiegegevens door te vereisen dat gebruikers en apparaten aan bepaalde vereisten voldoen. In Intune wordt deze functie nalevingsbeleid genoemd.
Nalevingsbeleid in Intune:
- Definieer de regels en instellingen waaraan gebruikers en apparaten moeten voldoen om compatibel te zijn.
- Acties opnemen die van toepassing zijn op apparaten die niet compatibel zijn. Acties voor niet-naleving kunnen gebruikers waarschuwen voor de voorwaarden van niet-naleving en gegevens op niet-compatibele apparaten beveiligen.
- Kan worden gecombineerd met voorwaardelijke toegang, waardoor gebruikers en apparaten die niet aan de regels voldoen, kunnen worden geblokkeerd.
- Kan de configuratie van instellingen overschrijven die u ook beheert via apparaatconfiguratiebeleid. Zie Nalevings- en apparaatconfiguratiebeleid dat conflict veroorzaakt voor meer informatie over conflictoplossing voor beleidsregels.
Er zijn twee onderdelen voor nalevingsbeleid in Intune:
Instellingen voor nalevingsbeleid : tenantbrede instellingen die lijken op een ingebouwd nalevingsbeleid dat elk apparaat ontvangt. Instellingen voor nalevingsbeleid stellen een basislijn in voor de werking van nalevingsbeleid in uw Intune-omgeving, inclusief of apparaten die geen nalevingsbeleid voor apparaten hebben ontvangen, compatibel of niet-compatibel zijn.
Nalevingsbeleid voor apparaten : platformspecifieke regels die u configureert en implementeert voor groepen gebruikers of apparaten. Deze regels definiëren vereisten voor apparaten, zoals minimale besturingssystemen of het gebruik van schijfversleuteling. Apparaten moeten voldoen aan deze regels om als compatibel te worden beschouwd.
Net als bij andere Intune-beleidsregels zijn evaluaties van nalevingsbeleid voor een apparaat afhankelijk van wanneer het apparaat bij Intune incheckt en cycli voor beleid en profielvernieuwing.
Instellingen voor nalevingsbeleid
Instellingen voor nalevingsbeleid zijn instellingen voor de hele tenant die bepalen hoe de nalevingsservice van Intune communiceert met uw apparaten. Deze instellingen verschillen van de instellingen die u configureert in een nalevingsbeleid voor apparaten.
Als u de instellingen voor nalevingsbeleid wilt beheren, meldt u zich aan bij Microsoft Intune beheercentrum en gaat u naar Instellingen voornalevingsbeleid voorapparaatnaleving> voor eindpuntbeveiliging>.
Instellingen voor nalevingsbeleid omvatten de volgende instellingen:
Apparaten markeren waaraan geen nalevingsbeleid is toegewezen als
Met deze instelling wordt bepaald hoe Intune om gaat met apparaten waaraan geen nalevingsbeleid voor apparaten is toegewezen. Deze instelling heeft twee waarden:
- Compatibel (standaard): deze beveiligingsfunctie is uitgeschakeld. Apparaten die geen nalevingsbeleid voor apparaten hebben verzonden, worden beschouwd als compatibel.
- Niet compatibel: deze beveiligingsfunctie is ingeschakeld. Apparaten die geen nalevingsbeleid voor apparaten hebben ontvangen, worden beschouwd als niet-compatibel.
Als u voorwaardelijke toegang gebruikt met uw nalevingsbeleid voor apparaten, wijzigt u deze instelling in Niet compatibel om ervoor te zorgen dat alleen apparaten die als compatibel zijn bevestigd, toegang hebben tot uw resources.
Als een eindgebruiker niet compatibel is omdat er geen beleid aan de eindgebruiker is toegewezen, wordt in de Bedrijfsportal app Geen nalevingsbeleid toegewezen weergegeven.
Geldigheidsperiode van nalevingsstatus (dagen)
Geef een periode op waarin apparaten moeten rapporteren over al het ontvangen nalevingsbeleid. Als een apparaat de nalevingsstatus voor een beleid niet rapporteert voordat de geldigheidsperiode is verstreken, wordt het apparaat behandeld als niet-compatibel.
De periode is standaard ingesteld op 30 dagen. U kunt een periode van 1 tot 120 dagen configureren.
U kunt details bekijken over een apparaat dat voldoet aan de instelling voor de geldigheidsperiode. Meld u aan bij Microsoft Intune beheercentrum en ga naar Naleving van instellingen voor apparaten>bewaken>. Deze instelling heeft de naam Is actief in de kolom Instelling . Zie Naleving van apparaten bewaken voor meer informatie over deze en gerelateerde weergaven voor de nalevingsstatus.
Compliancebeleid voor apparaten
Intune-nalevingsbeleid voor apparaten:
- Definieer de regels en instellingen waaraan gebruikers en beheerde apparaten moeten voldoen om compatibel te zijn. Voorbeelden van regels zijn onder andere dat apparaten een minimale versie van het besturingssysteem moeten uitvoeren, niet worden gekraakt of geroot, en dat ze een bedreigingsniveau hebben dat is opgegeven door software voor bedreigingsbeheer die u hebt geïntegreerd met Intune.
- Ondersteuningsacties die van toepassing zijn op apparaten die niet voldoen aan uw nalevingsregels. Voorbeelden van acties zijn het op afstand vergrendelen of het verzenden van een e-mail van een apparaatgebruiker over de apparaatstatus, zodat deze kan worden opgelost.
- Implementeren voor gebruikers in gebruikersgroepen of apparaten in apparaatgroepen. Wanneer een nalevingsbeleid wordt geïmplementeerd voor een gebruiker, worden alle apparaten van de gebruiker gecontroleerd op naleving. Het gebruik van apparaatgroepen in dit scenario helpt bij het rapporteren van naleving.
Als u voorwaardelijke toegang gebruikt, kan uw beleid voor voorwaardelijke toegang de nalevingsresultaten van uw apparaat gebruiken om de toegang tot resources van niet-compatibele apparaten te blokkeren.
De beschikbare instellingen die u kunt opgeven in een nalevingsbeleid voor apparaten, zijn afhankelijk van het platformtype dat u selecteert wanneer u een beleid maakt. Verschillende apparaatplatforms ondersteunen verschillende instellingen en elk platformtype vereist een afzonderlijk beleid.
De volgende onderwerpen zijn gekoppeld aan speciale artikelen voor verschillende aspecten van apparaatconfiguratiebeleid.
Acties voor niet-naleving : elk nalevingsbeleid voor apparaten bevat een of meer acties voor niet-naleving. Deze acties zijn regels die worden toegepast op apparaten die niet voldoen aan de voorwaarden die u in het beleid instelt.
Standaard bevat elk nalevingsbeleid voor apparaten de actie om een apparaat als niet-compatibel te markeren als het niet voldoet aan een beleidsregel. Het beleid is vervolgens van toepassing op het apparaat eventuele aanvullende acties voor niet-naleving die u hebt geconfigureerd, op basis van de schema's die u voor deze acties hebt ingesteld.
Acties voor niet-naleving kunnen helpen gebruikers te waarschuwen wanneer hun apparaat niet compatibel is of gegevens te beveiligen die zich mogelijk op een apparaat bevindt. Voorbeelden van acties zijn:
- E-mailwaarschuwingen verzenden naar gebruikers en groepen met details over het niet-compatibele apparaat. U kunt het beleid zo configureren dat er onmiddellijk een e-mail wordt verzonden nadat deze is gemarkeerd als niet-compatibel, en vervolgens nogmaals, periodiek, totdat het apparaat compatibel is.
- Apparaten die al enige tijd niet compatibel zijn, op afstand vergrendelen.
- Apparaten buiten gebruik stellen nadat ze enige tijd niet compatibel zijn geweest. Met deze actie wordt een in aanmerking komend apparaat gemarkeerd als gereed om buiten gebruik te worden gesteld. Een beheerder kan vervolgens een lijst weergeven met apparaten die zijn gemarkeerd voor buitengebruikstelling en moet een expliciete actie ondernemen om een of meer apparaten buiten gebruik te stellen. Als u een apparaat buiten gebruik stelt, wordt het apparaat verwijderd uit het Intune-beheer en worden alle bedrijfsgegevens van het apparaat verwijderd. Zie Beschikbare acties voor niet-naleving voor meer informatie over deze actie.
Een beleid maken : met de informatie in dit artikel kunt u de vereisten controleren, de opties voor het configureren van regels doorlopen, acties opgeven voor niet-naleving en het beleid toewijzen aan groepen. Dit artikel bevat ook informatie over de vernieuwingstijden van beleid.
Bekijk de instellingen voor apparaatnaleving voor de verschillende apparaatplatforms:
- Android-apparaatbeheerder
- Android Enterprise
- Android Open Source Project (AOSP)
- iOS
- Linux
- macOS
- Windows Holographic for Business
- Windows 8.1 en hoger
Belangrijk
Op 22 oktober 2022 heeft Microsoft Intune de ondersteuning voor apparaten met Windows 8.1 beëindigd. Technische ondersteuning en automatische updates op deze apparaten zijn niet beschikbaar.
Als u momenteel Windows 8.1 gebruikt, raden we u aan over te stappen op Windows 10/11-apparaten. Microsoft Intune beschikt over ingebouwde beveiligings- en apparaatfuncties waarmee Windows 10/11-clientapparaten worden beheerd.
- Windows 10/11
Aangepaste nalevingsinstellingen : met aangepaste nalevingsinstellingen kunt u de ingebouwde opties voor apparaatnaleving van Intune uitbreiden. Aangepaste instellingen bieden flexibiliteit om naleving te baseren op de instellingen die beschikbaar zijn op een apparaat, zonder dat u hoeft te wachten totdat Intune deze instellingen toevoegt.
U kunt aangepaste nalevingsinstellingen gebruiken met de volgende platforms:
- Linux – Ubuntu Desktop, versie 20.04 LTS en 22.04 LTS
- Windows 10/11
Nalevingsstatus bewaken
Intune bevat een dashboard voor apparaatnaleving dat u gebruikt om de nalevingsstatus van apparaten te bewaken en om in te zoomen op beleidsregels en apparaten voor meer informatie. Zie Apparaatcompatibiliteit bewaken voor meer informatie over dit dashboard.
Integreren met voorwaardelijke toegang
Wanneer u voorwaardelijke toegang gebruikt, kunt u uw beleid voor voorwaardelijke toegang configureren om de resultaten van uw nalevingsbeleid voor apparaten te gebruiken om te bepalen welke apparaten toegang hebben tot uw organisatieresources. Dit toegangsbeheer is een aanvulling op en staat los van de acties voor niet-naleving die u opneemt in uw nalevingsbeleid voor apparaten.
Wanneer een apparaat wordt ingeschreven bij Intune, wordt het geregistreerd in Microsoft Entra-id. De nalevingsstatus voor apparaten wordt gerapporteerd aan Microsoft Entra-id. Als voor uw beleid voor voorwaardelijke toegang toegang toegangsbeheer is ingesteld op Vereisen dat apparaat is gemarkeerd als compatibel, gebruikt voorwaardelijke toegang die nalevingsstatus om te bepalen of toegang tot e-mail en andere organisatieresources moet worden verleend of geblokkeerd.
Als u de apparaatnalevingsstatus gebruikt met beleid voor voorwaardelijke toegang, controleert u hoe uw tenant Apparaten markeren zonder toegewezen nalevingsbeleid heeft geconfigureerd als, die u beheert onder Instellingen voor nalevingsbeleid.
Zie Voorwaardelijke toegang op basis van apparaten voor meer informatie over het gebruik van voorwaardelijke toegang met het nalevingsbeleid voor apparaten
Meer informatie over voorwaardelijke toegang vindt u in de Microsoft Entra-documentatie:
Referentie voor niet-naleving en voorwaardelijke toegang op de verschillende platforms
In de volgende tabel wordt beschreven hoe niet-compatibele instellingen worden beheerd wanneer een nalevingsbeleid wordt gebruikt met een beleid voor voorwaardelijke toegang.
Hersteld: het besturingssysteem van het apparaat dwingt naleving af. De gebruiker wordt bijvoorbeeld gedwongen om een pincode in te stellen.
In quarantaine: het besturingssysteem van het apparaat dwingt naleving niet af. Android- en Android Enterprise-apparaten dwingen de gebruiker bijvoorbeeld niet om het apparaat te versleutelen. Wanneer het apparaat niet compatibel is, worden de volgende acties uitgevoerd:
- Als een beleid voor voorwaardelijke toegang van toepassing is op de gebruiker, wordt het apparaat geblokkeerd.
- De Bedrijfsportal-app stelt de gebruiker op de hoogte van eventuele nalevingsproblemen.
| Beleidsinstelling | Platform |
|---|---|
| Toegestane distributies | Linux(alleen) - In quarantaine |
| Apparaatversleuteling | - Android 4.0 en hoger: in quarantaine - Samsung Knox Standard 4.0 en hoger: In quarantaine - Android Enterprise: in quarantaine - iOS 8.0 en hoger: hersteld (door pincode in te stellen) - macOS 10.11 en hoger: in quarantaine - Linux: in quarantaine - Windows 10/11: In quarantaine |
| Email profiel | - Android 4.0 en hoger: Niet van toepassing - Samsung Knox Standard 4.0 en hoger: Niet van toepassing - Android Enterprise: niet van toepassing - iOS 8.0 en hoger: in quarantaine - macOS 10.11 en hoger: in quarantaine - Linux: niet van toepassing - Windows 10/11: Niet van toepassing |
| Gekraakt of geroot apparaat | - Android 4.0 en hoger: In quarantaine (geen instelling) - Samsung Knox Standard 4.0 en hoger: In quarantaine (geen instelling) - Android Enterprise: in quarantaine (geen instelling) - iOS 8.0 en hoger: In quarantaine (geen instelling) - macOS 10.11 en hoger: Niet van toepassing - Linux: niet van toepassing - Windows 10/11: Niet van toepassing |
| Maximale versie van het besturingssysteem | - Android 4.0 en hoger: in quarantaine - Samsung Knox Standard 4.0 en hoger: In quarantaine - Android Enterprise: in quarantaine - iOS 8.0 en hoger: in quarantaine - macOS 10.11 en hoger: in quarantaine - Linux: zie Toegestane distributies - Windows 10/11: In quarantaine |
| Minimale versie van het besturingssysteem | - Android 4.0 en hoger: in quarantaine - Samsung Knox Standard 4.0 en hoger: In quarantaine - Android Enterprise: in quarantaine - iOS 8.0 en hoger: in quarantaine - macOS 10.11 en hoger: in quarantaine - Linux: zie Toegestane distributies - Windows 10/11: In quarantaine |
| Configuratie van pincode of wachtwoord | - Android 4.0 en hoger: in quarantaine - Samsung Knox Standard 4.0 en hoger: In quarantaine - Android Enterprise: in quarantaine - iOS 8.0 en hoger: hersteld - macOS 10.11 en hoger: Hersteld - Linux: in quarantaine - Windows 10/11: Hersteld |
| Windows-statusverklaring | - Android 4.0 en hoger: Niet van toepassing - Samsung Knox Standard 4.0 en hoger: Niet van toepassing - Android Enterprise: niet van toepassing - iOS 8.0 en hoger: Niet van toepassing - macOS 10.11 en hoger: Niet van toepassing - Linux: niet van toepassing - Windows 10/11: In quarantaine |
Opmerking
De Bedrijfsportal-app komt in de stroom voor inschrijvingsherstel wanneer de gebruiker zich aanmeldt bij de app en het apparaat gedurende 30 dagen of langer niet is ingecheckt bij Intune (of het apparaat niet compatibel is vanwege een reden voor het verloren contact). In deze stroom proberen we nog één keer in te checken. Als dat nog steeds niet lukt, geven we een opdracht buiten gebruik stellen om de gebruiker toe te staan het apparaat handmatig opnieuw in te schrijven.
Volgende stappen
- Beleid maken en implementeren en vereisten controleren
- Apparaatcompatibiliteit bewaken
- Veelgestelde vragen, problemen en oplossingen met apparaatbeleid en -profielen in Microsoft Intune
- Naslaginformatie voor beleidsentiteiten bevat informatie over de Intune-Data Warehouse beleidsentiteiten
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor