Implementatiehandleiding: Apparaten met Windows 10/11 beheren
In deze handleiding wordt beschreven hoe u Windows-apps en -eindpunten beveiligt en beheert met Behulp van Microsoft Intune, en bevat onze aanbevelingen voor het instellen en resources, van vereisten tot inschrijving.
Controleer voor elke sectie in deze handleiding de bijbehorende taken. Sommige taken zijn vereist en sommige, zoals het instellen van voorwaardelijke toegang van Microsoft Entra, zijn optioneel. Selecteer de opgegeven koppelingen in elke sectie om naar onze aanbevolen Help-documenten op Microsoft Learn te gaan, waar u meer gedetailleerde informatie en instructies kunt vinden.
Stap 1: vereisten
Voer de volgende vereisten uit om de mogelijkheden voor eindpuntbeheer van uw tenant in te schakelen:
- Gebruikers en groepen toevoegen
- Licenties toewijzen aan gebruikers
- Instantie voor beheer van mobiele apparaten instellen
Zie RBAC met Microsoft Intune voor meer informatie over Microsoft Intune-rollen en -machtigingen. De rollen Globale beheerder van Microsoft Entra en Intune-beheerder hebben volledige rechten in Microsoft Intune. Deze rollen zijn zeer bevoegd en hebben meer toegang dan nodig is voor veel apparaatbeheertaken in Microsoft Intune. U wordt aangeraden de ingebouwde rol met de minste bevoegdheden te gebruiken die beschikbaar is om taken te voltooien.
Zie Migratiehandleiding: Microsoft Intune instellen of overstappen voor meer informatie en aanbevelingen over het voorbereiden van uw organisatie, het onboarden of gebruiken van Intune voor het beheer van mobiele apparaten.
Stap 2: uw implementatie plannen
Gebruik de Microsoft Intune-planningshandleiding om uw doelen voor apparaatbeheer, use-casescenario's en vereisten te definiëren. Gebruik de handleiding voor het plannen van implementatie, communicatie, ondersteuning, testen en validatie. In sommige gevallen hoeft u bijvoorbeeld niet aanwezig te zijn wanneer werknemers en studenten hun apparaten inschrijven. We raden u aan een communicatieplan te hebben, zodat mensen weten waar ze informatie kunnen vinden over het installeren en gebruiken van de Intune-bedrijfsportal.
Zie Planningshandleiding voor Microsoft Intune voor meer informatie.
Stap 3: nalevingsbeleid maken
Gebruik nalevingsbeleid om ervoor te zorgen dat apparaten die toegang hebben tot uw gegevens veilig zijn en voldoen aan de standaarden van uw organisatie. De laatste fase van het inschrijvingsproces is de nalevingsevaluatie, waarmee wordt gecontroleerd of de instellingen op het apparaat voldoen aan uw beleid. Apparaatgebruikers moeten alle nalevingsproblemen oplossen om toegang te krijgen tot beveiligde resources. Intune markeert apparaten die niet voldoen aan de nalevingsvereisten als niet-compatibel en onderneemt aanvullende actie (zoals het verzenden van een melding aan de gebruiker, het beperken van de toegang of het wissen van het apparaat) op basis van uw actie voor niet-nalevingsconfiguraties .
U kunt beleid voor voorwaardelijke toegang van Microsoft Entra gebruiken in combinatie met nalevingsbeleid voor apparaten om de toegang tot Windows-pc's, zakelijke e-mail en Microsoft 365-services te beheren. U kunt bijvoorbeeld een beleid maken dat verhindert dat werknemers toegang hebben tot Microsoft Teams in Edge zonder eerst hun apparaat te registreren of te beveiligen.
Tip
Zie Overzicht van naleving voor een overzicht van nalevingsbeleid voor apparaten.
| Taak | Details |
|---|---|
| Een nalevingsbeleid maken | Krijg stapsgewijze instructies voor het maken en toewijzen van een nalevingsbeleid aan gebruikers- en apparaatgroepen. |
| Acties voor niet-naleving toevoegen | Kies wat er gebeurt wanneer apparaten niet meer voldoen aan de voorwaarden van uw nalevingsbeleid. Voorbeelden van acties zijn het verzenden van waarschuwingen, het op afstand vergrendelen van apparaten of het buiten gebruik stellen van apparaten. U kunt acties voor niet-naleving toevoegen wanneer u een nalevingsbeleid voor apparaten configureert, of later door het beleid te bewerken. |
| Een beleid voor voorwaardelijke toegang op basis van apparaten of apps maken | Selecteer de apps of services die u wilt beveiligen en definieer de voorwaarden voor toegang. |
| Toegang blokkeren tot apps die geen moderne verificatie gebruiken | Maak een op apps gebaseerd beleid voor voorwaardelijke toegang om apps te blokkeren die gebruikmaken van andere verificatiemethoden dan OAuth2; Bijvoorbeeld apps die gebruikmaken van basis- en formulierverificatie. Voordat u de toegang blokkeert, meldt u zich echter aan bij Microsoft Entra ID en bekijkt u het activiteitenrapport verificatiemethoden om te zien of gebruikers basisverificatie gebruiken om toegang te krijgen tot essentiële zaken die u bent vergeten of waarvan u niet op de hoogte bent. Zaken zoals kiosken voor vergaderzalen maken bijvoorbeeld gebruik van basisverificatie. |
| Aangepaste nalevingsinstellingen toevoegen | Met aangepaste nalevingsinstellingen kunt u uw eigen Bash-scripts schrijven om nalevingsscenario's aan te pakken die nog niet zijn opgenomen in de ingebouwde opties voor apparaatnaleving in Microsoft Intune. In dit artikel wordt beschreven hoe u aangepast nalevingsbeleid voor Windows-apparaten maakt, bewaakt en oplost. Voor aangepaste nalevingsinstellingen moet u een aangepast script maken waarmee de instellingen en waardeparen worden geïdentificeerd. |
Stap 4: eindpuntbeveiliging configureren
Gebruik intune-eindpuntbeveiligingsfuncties om apparaatbeveiliging te configureren en beveiligingstaken te beheren voor apparaten die risico lopen.
| Taak | Details |
|---|---|
| Apparaten beheren met eindpuntbeveiligingsfuncties | Gebruik de instellingen voor eindpuntbeveiliging in Intune om de beveiliging van apparaten effectief te beheren en problemen voor apparaten op te lossen. |
| Instellingen voor eindpuntbeveiliging toevoegen | Configureer algemene beveiligingsfuncties voor eindpuntbeveiliging, zoals firewall, BitLocker en Microsoft Defender. Zie de referentie voor endpoint protection-instellingen voor een beschrijving van de instellingen in dit gebied. |
| Microsoft Defender voor Eindpunt configureren in Intune | Wanneer u Intune integreert met Microsoft Defender voor Eindpunt, helpt u niet alleen beveiligingsschendingen te voorkomen, maar kunt u ook profiteren van Microsoft Defender for Endpoints Threat & Vulnerability Management (TVM) en Intune gebruiken om eindpuntproblemen op te lossen die door TVM zijn geïdentificeerd. |
| BitLocker-beleid beheren | Zorg ervoor dat apparaten worden versleuteld bij de inschrijving door een beleid te maken waarmee BitLocker op beheerde apparaten wordt geconfigureerd. |
| Beveiligingsbasislijnprofielen beheren | Gebruik de beveiligingsbasislijnen in Intune om uw gebruikers en apparaten te beveiligen. Een beveiligingsbasislijn bevat de aanbevolen procedures en aanbevelingen voor instellingen die van invloed zijn op de beveiliging. |
| Windows Update voor Bedrijven gebruiken voor software-updates | Configureer een strategie voor de implementatie van Windows Update met Windows Update voor Bedrijven. In dit artikel maakt u kennis met de beleidstypen die u kunt gebruiken om windows 10/11-software-updates te beheren en hoe u kunt overstappen van uitstel van updatering naar een beleid voor functie-updates. |
Stap 5: apparaatinstellingen configureren
Gebruik Microsoft Intune om Windows-instellingen en -functies op apparaten in of uit te schakelen. Als u deze instellingen wilt configureren en afdwingen, maakt u een apparaatconfiguratieprofiel en wijst u het profiel vervolgens toe aan groepen in uw organisatie. Apparaten ontvangen het profiel zodra ze zijn ingeschreven.
| Taak | Details |
|---|---|
| Een apparaatprofiel maken | Maak een apparaatprofiel in Microsoft Intune en zoek resources over alle apparaatprofieltypen. U kunt ook de catalogus met instellingen gebruiken om een volledig nieuw beleid te maken. |
| Instellingen voor groepsbeleid configureren | Gebruik Windows 10-sjablonen om groepsbeleidsinstellingen in Microsoft Intune te configureren. Beheersjablonen bevatten honderden instellingen die u kunt configureren voor Internet Explorer, Microsoft Edge, OneDrive, Extern bureaublad, Word, Excel en andere Office-programma's. Deze sjablonen bieden beheerders een vereenvoudigde weergave van instellingen die vergelijkbaar zijn met groepsbeleid en ze zijn 100% in de cloud gebaseerd. |
| Wi-Fi profiel configureren | Met dit profiel kunnen personen het Wi-Fi netwerk van uw organisatie vinden en er verbinding mee maken. Zie de naslaginformatie over Wi-Fi-instellingen voor Windows 10 en hoger voor een beschrijving van de instellingen in dit gebied. |
| VPN-profiel configureren | Stel een beveiligde VPN-optie in, zoals Microsoft Tunnel, voor personen die verbinding maken met het netwerk van uw organisatie. Zie de naslaginformatie over VPN-instellingen voor een beschrijving van de instellingen in dit gebied. |
| E-mailprofiel configureren | Configureer e-mailinstellingen zodat personen verbinding kunnen maken met een e-mailserver en toegang hebben tot hun werk- of school-e-mail. Zie de naslaginformatie over e-mailinstellingen voor een beschrijving van de instellingen in dit gebied. |
| Apparaatfuncties beperken | Beveilig gebruikers tegen onbevoegde toegang en afleiding door de apparaatfuncties te beperken die ze op het werk of op school kunnen gebruiken. Zie de naslaginformatie over apparaatbeperkingen voor Windows 10/11 en Windows 10 Teams voor een beschrijving van de instellingen in dit gebied. |
| Aangepast profiel configureren | Apparaatinstellingen en -functies toevoegen en toewijzen die niet in Intune zijn ingebouwd. Zie de naslaginformatie over aangepaste instellingen voor een beschrijving van de instellingen in dit gebied. |
| BIOS-instellingen configureren | Intune zo instellen dat u UEFI-instellingen (BIOS) op ingeschreven apparaten kunt beheren met behulp van de Device Firmware Configuration Interface (DFCI) |
| Domeindeelname configureren | Als u van plan bent om aan Microsoft Entra gekoppelde apparaten in te schrijven, moet u een profiel voor domeindeelname maken, zodat Intune weet aan welk on-premises domein u wilt deelnemen. |
| Instellingen voor delivery optimization configureren | Gebruik deze instellingen om het bandbreedteverbruik te verminderen op apparaten die apps en updates downloaden. |
| Huisstijl en inschrijvingservaring aanpassen | Pas de Intune-bedrijfsportal- en Microsoft Intune-app-ervaring aan met de eigen woorden, huisstijl, schermvoorkeuren en contactgegevens van uw organisatie. |
| Kiosken en toegewezen apparaten configureren | Maak een kioskprofiel om apparaten te beheren die in de kioskmodus worden uitgevoerd. |
| Gedeelde apparaten aanpassen | Toegang, accounts en energiefuncties beheren op gedeelde apparaten of apparaten met meerdere gebruikers. |
| Netwerkgrens configureren | Maak een netwerkgrensprofiel om uw omgeving te beschermen tegen sites die u niet vertrouwt. |
| Windows-statusbewaking configureren | Maak een Windows-statusbewakingsprofiel om Microsoft in staat te stellen gegevens over prestaties te verzamelen en aanbevelingen te doen voor verbeteringen. Als u een profiel maakt, wordt de functie eindpuntanalyse in Microsoft Intune ingeschakeld, waarmee verzamelde gegevens worden geanalyseerd, software wordt aanbevolen, de opstartprestaties worden verbeterd en veelvoorkomende ondersteuningsproblemen worden opgelost. |
| Een toets-app voor leerlingen/studenten configureren | Configureer de app Toets maken voor leerlingen/studenten die toetsen of examens maken op ingeschreven apparaten. |
| Mobiel eSim-profiel configureren | Je kunt eSIM configureren voor apparaten die geschikt zijn voor ESIM, zoals de Surface LTE Pro, om verbinding te maken met internet via een mobiele dataverbinding. Deze configuratie is ideaal voor wereldwijde reizigers die verbonden en flexibel moeten blijven tijdens het reizen, en elimineert de noodzaak van een simkaart. |
Stap 6: veilige verificatiemethoden instellen
Stel verificatiemethoden in Intune in om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot uw interne resources. Intune ondersteunt meervoudige verificatie, certificaten en afgeleide referenties. Certificaten kunnen ook worden gebruikt voor het ondertekenen en versleutelen van e-mail met behulp van S/MIME.
| Taak | Details |
|---|---|
| Meervoudige verificatie (MFA) vereisen | Vereisen dat personen twee vormen van referenties opgeven op het moment dat het apparaat wordt ingeschreven. Dit beleid werkt in combinatie met het beleid voor voorwaardelijke toegang van Microsoft Entra. |
| Een vertrouwd certificaatprofiel maken | Maak en implementeer een vertrouwd certificaatprofiel voordat u een SCEP-, PKCS- of GEÏMPORTEERD PKCS-certificaatprofiel maakt. Met het profiel voor vertrouwd certificaat wordt het vertrouwde basiscertificaat geïmplementeerd op apparaten en gebruikers met geïmporteerde SCEP-, PKCS- en PKCS-certificaten. |
| SCEP-certificaten gebruiken met Intune | Ontdek wat er nodig is om SCEP-certificaten te gebruiken met Intune en de vereiste infrastructuur te configureren. Vervolgens kunt u een SCEP-certificaatprofiel maken of een externe certificeringsinstantie met SCEP instellen. |
| PKCS-certificaten gebruiken met Intune | Configureer de vereiste infrastructuur (zoals on-premises certificaatconnectors), exporteer een PKCS-certificaat en voeg het certificaat toe aan een Intune-apparaatconfiguratieprofiel. |
| Geïmporteerde PKCS-certificaten gebruiken met Intune | Geïmporteerde PKCS-certificaten instellen, waarmee u S/MIME kunt instellen en gebruiken om e-mail te versleutelen. |
| Een verlener van afgeleide referenties instellen | Windows-apparaten inrichten met certificaten die zijn afgeleid van smartcards van gebruikers. |
| Windows Hello voor Bedrijven integreren met Microsoft Intune | Maak een Windows Hello voor Bedrijven-beleid om Windows Hello voor Bedrijven in of uit te schakelen tijdens de apparaatinschrijving. Hello for Business is een alternatieve aanmeldingsmethode die gebruikmaakt van Active Directory of een Microsoft Entra-account om een wachtwoord, smartcard of een virtuele smartcard te vervangen. |
Stap 7: apps implementeren
Denk bij het instellen van apps en app-beleid na over de vereisten van uw organisatie, zoals de platforms die u ondersteunt, de taken die mensen uitvoeren, het type apps dat ze nodig hebben om deze taken te voltooien en wie ze nodig hebben. U kunt Intune gebruiken om het hele apparaat (inclusief apps) te beheren of Intune gebruiken om alleen apps te beheren.
| Taak | Details |
|---|---|
| Line-Of-Business-apps toevoegen | MacOS LOB-apps (Line-Of-Business) toevoegen aan Intune en toewijzen aan groepen. |
| Microsoft Edge toevoegen | Microsoft Edge voor Windows toevoegen en toewijzen. |
| Intune-bedrijfsportal-app toevoegen vanuit Microsoft Store | De Intune-bedrijfsportal-app handmatig toevoegen en toewijzen als een vereiste app. |
| Intune-bedrijfsportal-app toevoegen voor Autopilot | Voeg de bedrijfsportal-app toe aan apparaten die zijn ingericht door Windows Autopilot. |
| Microsoft 365-apps toevoegen | Microsoft 365-apps voor ondernemingen toevoegen. |
| Apps toewijzen aan groepen | Nadat u apps aan Intune hebt toegevoegd, wijst u deze toe aan gebruikers en apparaten. |
| App-toewijzingen opnemen en uitsluiten | De toegang en beschikbaarheid van een app beheren door geselecteerde groepen op te geven en uit te sluiten van toewijzing. |
| PowerShell-scripts gebruiken | PowerShell-scripts uploaden om de mogelijkheden voor Windows-apparaatbeheer in Intune uit te breiden en het eenvoudiger te maken om over te stappen op modern beheer. |
Stap 8: Apparaten inschrijven
Tijdens de inschrijving wordt het apparaat geregistreerd bij Microsoft Entra ID en geëvalueerd op naleving. Zie windows-apparaatinschrijvingsgids voor Microsoft Intune voor informatie over elke inschrijvingsmethode en hoe u een methode kunt kiezen die geschikt is voor uw organisatie.
| Taak | Details |
|---|---|
| Automatische mdm-inschrijving inschakelen | Vereenvoudig de inschrijving door automatische inschrijving in te schakelen, waardoor apparaten automatisch worden ingeschreven in Intune die deelnemen aan of zich registreren met uw Microsoft Entra-id. Automatische inschrijving vereenvoudigt windows Autopilot-implementatie, BYOD-inschrijving, inschrijving met groepsbeleid en bulkinschrijving via een inrichtingspakket. |
| Automatische detectie van MDM-server inschakelen | Als u geen Microsoft Entra ID P1 of P2 hebt, raden we u aan een CNAME-recordtype te maken voor Intune-inschrijvingsservers. De CNAME-record leidt inschrijvingsaanvragen om naar de juiste server, zodat ingeschreven gebruikers de servernaam niet handmatig hoeven in te voeren. |
| Windows Autopilot-scenario's | Vereenvoudig de door de gebruiker gestuurde of zelf-implementerende OOBE voor u en uw gebruikers door microsoft Intune-apparaatinschrijving automatisch in te stellen tijdens Windows Autopilot. |
| Hybride gekoppelde Microsoft Entra-apparaten inschrijven met Windows Autopilot | Met de Intune-connector voor Active Directory kunnen apparaten in Active Directory Domain Services worden toegevoegd aan Microsoft Entra ID en vervolgens automatisch worden ingeschreven bij Intune. We raden deze inschrijvingsoptie aan voor on-premises omgevingen die gebruikmaken van Active Directory Domain Services en hun identiteiten momenteel niet kunnen verplaatsen naar Microsoft Entra ID. |
| Apparaten inschrijven met groepsbeleid | Automatische inschrijving bij Intune activeren met behulp van een groepsbeleid. |
| Apparaten bulksgewijs inschrijven | Maak een inrichtingspakket in Windows Configuration Designer dat grote aantallen nieuwe Windows-apparaten koppelt aan Microsoft Entra ID en deze inschrijft bij Intune. |
| De pagina voor de inschrijvingsstatus (ESP) instellen | Maak een profiel voor de statuspagina van de inschrijving met aangepaste instellingen om gebruikers te begeleiden bij het instellen en inschrijven van apparaten. |
| Label apparaateigendom wijzigen | Nadat een apparaat is ingeschreven, kunt u het eigendomslabel in Intune wijzigen in bedrijfseigendom of persoonlijk eigendom. Deze aanpassing wijzigt de manier waarop u het apparaat beheert en kan meer beheer- en identificatiemogelijkheden in Intune inschakelen of beperken. |
| Proxy configureren voor Intune Active Directory Connector | Configureer de Intune-connector voor Active Directory om te werken met uw bestaande uitgaande proxyservers. |
| Inschrijvingsproblemen oplossen | Problemen oplossen en oplossen die optreden tijdens de inschrijving. |
Stap 9: externe acties uitvoeren
Nadat apparaten zijn ingesteld, kunt u ondersteunde externe acties gebruiken om apparaten op afstand te beheren en problemen op te lossen. In de volgende artikelen maakt u kennis met de externe acties voor Windows. Als een actie ontbreekt of is uitgeschakeld in de portal, wordt deze niet ondersteund voor Windows.
| Taak | Details |
|---|---|
| Externe actie ondernemen op apparaten | Meer informatie over het inzoomen en extern beheren en oplossen van problemen met afzonderlijke apparaten in Intune. Dit artikel bevat alle externe acties die beschikbaar zijn in Intune en koppelingen naar deze procedures. |
| TeamViewer gebruiken om Intune-apparaten op afstand te beheren | Configureer TeamViewer in Intune en leer hoe u een apparaat op afstand beheert. |
| Beveiligingstaken gebruiken om bedreigingen en beveiligingsproblemen weer te geven | Gebruik Intune om eindpuntproblemen te verhelpen die zijn geïdentificeerd door Microsoft Defender voor Eindpunt. Voordat u met beveiligingstaken kunt werken, moet u Microsoft Defender voor Eindpunt integreren met Intune. |
Stap 10: Werknemers en studenten helpen
De resources in deze sectie vindt u in de Help-documentatie voor Microsoft Intune-gebruikers. Deze documentatie is bedoeld voor werknemers, studenten en andere apparaatgebruikers met een Intune-licentie die een persoonlijk of bedrijfsapparaat inschrijven. Documentatiekoppelingen zijn beschikbaar in de Intune-bedrijfsportal-app en verwijzen naar informatie over:
- Inschrijvingsmethoden, met stapsgewijze instructies voor het inschrijven
- Instellingen en functies van de bedrijfsportal
- De inschrijving van opgeslagen gegevens ongedaan maken en verwijderen
- Apparaatinstellingen voor nalevingsvereisten bijwerken
- App-problemen melden
Tip
Zorg ervoor dat de vereisten voor het besturingssysteem en de wachtwoordvereisten voor apparaten van uw organisatie gemakkelijk te vinden zijn op uw website of in een onboarding-e-mail, zodat werknemers de inschrijving niet hoeven uit te stellen om die informatie te zoeken.
| Taak | Details |
|---|---|
| Intune-bedrijfsportal-app voor Windows installeren | Meer informatie over waar u de bedrijfsportal-app kunt downloaden en hoe u zich aanmeldt. |
| Bedrijfsportal-app bijwerken | In dit artikel wordt beschreven hoe u de nieuwste versie van bedrijfsportal installeert en hoe u automatische app-updates inschakelt. |
| Een apparaat inschrijven | In dit artikel wordt beschreven hoe u persoonlijke apparaten met Windows 10 of Windows 11 registreert. |
| De registratie van een apparaat ongedaan maken | In dit artikel wordt beschreven hoe u de registratie van een apparaat bij Intune ongedaan maakt en de opgeslagen cache en logboeken voor de bedrijfsportal verwijdert. |
Volgende stappen
Zie Zelfstudie: Stapsgewijze instructies voor het Microsoft Intune-beheercentrum voor een overzicht van het Microsoft Intune-beheercentrum en hoe u erin navigeert. Zelfstudies bestaan uit inhoud van 100 tot 200 niveaus voor personen die nieuw zijn bij Intune of een specifiek scenario.
Zie voor andere versies van deze handleiding: