Share via


Een apparaatprofiel maken in Microsoft Intune

Met apparaatprofielen kunt u instellingen toevoegen en configureren en deze instellingen vervolgens pushen naar apparaten in uw organisatie. U hebt een aantal opties bij het maken van beleidsregels:

  • Beheersjablonen: Op Windows 10/11-apparaten zijn deze sjablonen ADMX-instellingen die u configureert. Als u bekend bent met ADMX-beleid of groepsbeleidsobjecten (GPO), is het gebruik van beheersjablonen een logische stap voor Microsoft Intune.

    Ga voor meer informatie naar Beheersjablonen

  • Basislijnen: Op Windows 10/11-apparaten bevatten deze basislijnen vooraf geconfigureerde beveiligingsinstellingen. Als u beveiligingsbeleid wilt maken met aanbevelingen van Microsoft-beveiligingsteams, zijn beveiligingsbasislijnen voor u.

    Ga voor meer informatie naar Basislijnen voor beveiliging.

  • Instellingencatalogus: Op uw Apple- en Windows-apparaten kunt u de instellingencatalogus gebruiken om apparaatfuncties en -instellingen te configureren. De instellingencatalogus bevat alle beschikbare instellingen en op één locatie. U kunt bijvoorbeeld alle instellingen zien die van toepassing zijn op BitLocker en een beleid maken dat alleen is gericht op BitLocker. Gebruik op macOS-apparaten de instellingencatalogus om Microsoft Edge versie 77 en instellingen te configureren.

    Ga naar Instellingencatalogus voor meer informatie.

  • Sjablonen: Op Android-, iOS-/iPadOS-, macOS- en Windows-apparaten bevatten de sjablonen een logische groepering van instellingen waarmee een functie of concept wordt geconfigureerd, zoals VPN, e-mail, kioskapparaten en meer. Als u bekend bent met het maken van apparaatconfiguratiebeleid in Microsoft Intune, gebruikt u deze sjablonen al.

    Ga voor meer informatie, met inbegrip van de beschikbare sjablonen, naar Functies en instellingen toepassen op uw apparaten met behulp van apparaatprofielen.

Dit artikel:

  • Toont de stappen om een profiel aan te maken.
  • Laat zien hoe u een bereiktag toevoegt om uw beleid te 'filteren'.
  • Beschrijft toepasselijkheidsregels op Windows-clientapparaten en laat zien hoe u een regel maakt.
  • Bevat meer informatie over de vernieuwingscyclustijden voor inchecken wanneer apparaten profielen en eventuele profielupdates ontvangen.

Deze functie is van toepassing op:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

Het profiel maken

Profielen worden gemaakt in het Microsoft Intune-beheercentrum. Selecteer Apparaten in dit beheercentrum. U beschikt tevens over de volgende opties:

Schermopname die laat zien hoe u Apparaten selecteert om te zien wat u kunt configureren en beheren in Microsoft Intune.

  • Overzicht: toont de status van uw profielen. Hier vindt u ook meer informatie over de profielen die u hebt toegewezen aan gebruikers en apparaten.
  • Controleren: controleer de status van uw profielen op geslaagd of mislukt en bekijk ook logboeken op uw profielen.
  • Per platform: maak en bekijk beleidsregels en profielen van uw platform. In deze weergave kunnen ook functies worden weergegeven die specifiek zijn voor het platform. Selecteer bijvoorbeeld Windows 10 en hoger. U ziet Windows-specifieke functies, zoals Windows Update Rings en PowerShell-scripts.
  • Apparaten beheren: maak apparaatprofielen, upload aangepaste PowerShell-scripts om uit te voeren op apparaten en voeg gegevensabonnementen toe aan apparaten met behulp van eSIM.

Wanneer u een profiel maakt (Apparaten>Apparaten beheren>Configuratie>Maken), kiest u uw platform:

  • Android apparaatbeheerder
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10 en hoger
  • Windows 8.1 en hoger

Kies vervolgens het profiel. Afhankelijk van het platform dat u kiest, zijn de instellingen die u kunt configureren, verschillend. In de volgende artikelen worden de verschillende profielen beschreven:

Als u bijvoorbeeld Android Enterprise als platform selecteert, zien uw opties er ongeveer uit als in het volgende profiel:

Schermopname van het maken van een iOS-/iPadOS-apparaatconfiguratiebeleid en -profiel in Microsoft Intune.

Als u Windows 10 en hoger selecteert voor het platform, zien uw opties er ongeveer uit als in het volgende profiel:

Schermopname van het maken van een Windows-apparaatconfiguratiebeleid en -profiel in Microsoft Intune.

Bereiktags

Nadat u de instellingen hebt toegevoegd, kunt u ook een bereiktag toevoegen aan het profiel. Met bereiktags worden profielen gefilterd op specifieke IT-groepen, zoals US-NC IT Team of JohnGlenn_ITDepartment. En worden gebruikt in gedistribueerde IT.

Ga naar RBAC en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags en wat u kunt doen.

Regels voor toepasselijkheid

Van toepassing op:

  • Windows 11
  • Windows 10

Met toepasselijkheidsregels kunnen beheerders zich richten op apparaten in een groep die voldoen aan specifieke criteria. U maakt bijvoorbeeld een profiel voor apparaatbeperkingen dat van toepassing is op de groep Alle Windows 10/11-apparaten. En u wilt dat het profiel alleen wordt toegewezen aan apparaten met Windows Enterprise.

Als u deze taak wilt uitvoeren, maakt u een toepasselijkheidsregel. Deze regels zijn ideaal voor de volgende scenario's:

  • U gebruikt Windows 10 Education (EDU). Bij Bellows College wilt u zich richten op alle Windows 10 EDU-apparaten tussen RS3 en RS4.
  • U wilt zich richten op alle gebruikers in Personeelszaken bij Contoso, maar alleen Windows 10 Professional- of Enterprise-apparaten.

Als u deze scenario's wilt benaderen, gaat u als volgt te werk:

  • Maak een apparatengroep die alle apparaten van Bellows College bevat. Voeg in het profiel een toepasbaarheidsregel toe, zodat deze van toepassing is als de minimale versie van het besturingssysteem is 16299 en de maximale versie 17134 is. Dit profiel toewijzen aan de apparatengroep Bellows College.

    Wanneer het profiel wordt toegewezen, is dit van toepassing op apparaten tussen de minimale en maximale versie die u invoert. Voor apparaten die zich niet tussen de minimale en maximale versie bevinden die u invoert, wordt de status Niet van toepassing weergegeven.

  • Maak een gebruikersgroep die alle gebruikers in HR (Human Resources, Personeelszaken) bij Contoso bevat. Voeg in het profiel een toepasselijkheidsregel toe, zodat deze van toepassing is op apparaten met Windows 10 Professional of Enterprise. Wijs dit profiel toe aan de groep HR-gebruikers.

    Wanneer het profiel is toegewezen, is dit van toepassing op apparaten met Windows 10 Professional of Enterprise. Voor apparaten waarop deze edities niet worden uitgevoerd, wordt de status Niet van toepassing weergegeven.

  • Als er twee profielen met exact dezelfde instellingen zijn, wordt het profiel zonder toepassingsregel toegepast.

    ProfileA is bijvoorbeeld gericht op de Windows 10-apparatengroep, schakelt BitLocker in en heeft geen toepassingsregel. ProfileB is gericht op dezelfde Windows 10-apparatengroep, schakelt BitLocker in en heeft een toepasselijkheidsregel om het profiel alleen toe te passen op Windows 10 Enterprise.

    Wanneer beide profielen zijn toegewezen, wordt ProfileA toegepast omdat deze geen toepassingsregel heeft.

Wanneer u het profiel toewijst aan de groepen, fungeren de toepasselijkheidsregels als een filter en zijn ze alleen gericht op de apparaten die voldoen aan uw criteria.

Een regel toevoegen

  1. Selecteer Toepasselijkheidsregels in uw beleid. U kunt de Regel en het Eigenschap kiezen:

    Schermopname die laat zien hoe u een toepasbaarheidsregel toevoegt aan een Windows 10-apparaatconfiguratieprofiel in Microsoft Intune.

  2. Kies in Regel of u gebruikers of groepen wilt opnemen of uitsluiten. Uw opties:

    • Profiel toewijzen als: bevat gebruikers of groepen die voldoen aan de criteria die u invoert.
    • Wijs geen profiel toe als: hiermee worden gebruikers of groepen uitgesloten die voldoen aan de criteria die u invoert.
  3. Kies in Eigenschap het filter. Uw opties:

    • Editie van het besturingssysteem: controleer in de lijst de Windows-clientversies die u wilt opnemen (of uitsluiten) in uw regel.

    • Versie van het besturingssysteem: voer de minimale en maximale versienummers van de Windows-client in die u wilt opnemen in (of uitsluiten van) in uw regel. Beide waarden zijn vereist.

      U kunt bijvoorbeeld 10.0.16299.0 (RS3 of 1709) invoeren voor de minimale versie en 10.0.17134.0 (RS4 of 1803) voor de maximale versie. Of u kunt gedetailleerder zijn en 10.0.16299.001 invoeren voor de minimale versie en 10.0.17134.319 voor de maximale versie.

      Ga naar Release-informatie voor Windows-client voor meer versienummers.

  4. Selecteer Opslaan om de wijzigingen op te slaan.

Cyclustijden voor beleidsvernieuwing

Intune gebruikt verschillende vernieuwingscycli om te controleren op updates voor configuratieprofielen. Als het apparaat onlangs is geregistreerd, wordt het inchecken vaker uitgevoerd. Vernieuwingscycli voor beleid en profiel vermeldt de geschatte vernieuwingstijden.

Gebruikers kunnen op elk gewenst moment de bedrijfsportal-app openen en het apparaat synchroniseren om onmiddellijk te controleren op profielupdates.

Aanbevelingen

Houd bij het maken van profielen rekening met de volgende aanbevelingen:

  • Geef uw beleid een naam, zodat u weet wat het is en wat ze doen. Alle nalevingsbeleidsregels en configuratieprofielen hebben een optionele eigenschap Beschrijving. In Beschrijving moet u specifiek zijn en informatie opnemen, zodat anderen weten wat het beleid doet.

    Voorbeelden van configuratieprofielen zijn:

    Profielnaam: Beheerderssjabloon - OneDrive-configuratieprofiel voor alle Windows 10-gebruikers
    Profielbeschrijving: OneDrive-beheerderssjabloonprofiel met de minimale en basisinstellingen voor alle Windows 10-gebruikers. Gemaakt door user@contoso.com om te voorkomen dat gebruikers organisatiegegevens delen met persoonlijke OneDrive-accounts.

    Profielnaam: VPN-profiel voor alle iOS-/iPadOS-gebruikers
    Profielbeschrijving: VPN-profiel met de minimale en basisinstellingen voor alle iOS-/iPadOS-gebruikers om verbinding te maken met Contoso VPN. Gemaakt door user@contoso.com zodat gebruikers zich automatisch verifiëren bij VPN, in plaats van gebruikers om hun gebruikersnaam en wachtwoord te vragen.

  • Maak uw profiel op basis van de taak, zoals Microsoft Edge-instellingen configureren, antivirusinstellingen voor Microsoft Defender inschakelen, iOS-/iPadOS-apparaten blokkeren die zijn gekraakt, enzovoort.

  • Maak profielen die van toepassing zijn op specifieke groepen, zoals Marketing, Verkoop, IT-beheerders of per locatie of schoolsysteem. Gebruik de ingebouwde functies, waaronder:

  • Gebruikersbeleid scheiden van apparaatbeleid.

    Beheersjablonen in Intune hebben bijvoorbeeld duizenden ADMX-instellingen. Deze sjablonen geven aan of een instelling van toepassing is op gebruikers of apparaten. Wanneer u beheerderssjablonen maakt, wijst u uw gebruikersinstellingen toe aan een gebruikersgroep en wijst u uw apparaatinstellingen toe aan een apparaatgroep.

    In de volgende afbeelding ziet u een voorbeeld van een instelling die kan worden toegepast op gebruikers, op apparaten of op beide:

    Schermopname van een Intune-beheerderssjabloon die van toepassing is op gebruikers en apparaten in Microsoft Intune.

  • Gebruik Microsoft Copilot in Intune om uw beleid te evalueren, meer te weten te komen over een beleidsinstelling en de impact ervan op uw gebruikers en beveiliging, en om beleidsregels tussen twee apparaten te vergelijken.

    Ga voor meer informatie naar Microsoft Copilot in Intune.

  • Telkens wanneer u een beperkend beleid maakt, moet u deze wijziging doorgeven aan uw gebruikers. Als u bijvoorbeeld de vereiste wachtwoordcode wijzigt van vier (4) tekens in zes (6) tekens, laat dit dan aan uw gebruikers weten voordat u het beleid toewijst.

Volgende stappen

Wijs het profiel toe en controleer de status ervan.