Begeleid scenario - In de cloud beheerd modern bureaublad
Het moderne bureaublad is het geavanceerde productiviteitsplatform voor de Information Worker. Microsoft 365-apps en Windows 10 zijn de kernonderdelen van het moderne bureaublad, samen met de nieuwste beveiligingsbasislijnen voor Windows 10 en Microsoft Defender voor Eindpunt.
Het beheren van het moderne bureaublad vanuit de cloud biedt het extra voordeel van externe acties op internet. Cloudbeheer maakt gebruik van het ingebouwde Windows Mobile Device Management-beleid en verwijdert afhankelijkheden van lokaal Active Directory-groepsbeleid.
Als u een in de cloud beheerd modern bureaublad in uw eigen organisatie wilt evalueren, worden in dit begeleide scenario alle benodigde configuraties voor een eenvoudige implementatie vooraf gedefinieerd. In dit begeleide scenario maakt u een beveiligde omgeving waarin u de mogelijkheden van Intune-apparaatbeheer kunt uitproberen.
Vereisten
- De MDM-instantie instellen op Intune : de mdm-instantieinstelling (Mobile Device Management) bepaalt hoe u uw apparaten beheert. Als IT-beheerder moet u een MDM-instantie instellen voordat gebruikers apparaten kunnen inschrijven voor beheer.
- Een Microsoft Intune-licentie (zoals Microsoft 365 Business Premium, Microsoft 365 E3 of Microsoft 365 E5). Zie Microsoft Intune-licenties voor meer informatie over licenties.
- Windows 10 1903-apparaat (geregistreerd bij Windows Autopilot voor de beste eindgebruikerservaring)
- Intune-beheerdersmachtigingen die vereist zijn om dit begeleide scenario te voltooien:
- Apparaatconfiguratie lezen, maken, verwijderen, toewijzen en bijwerken
- Inschrijvingsprogramma's Apparaat lezen, Profiel lezen, Profiel maken, Profiel toewijzen, Profiel verwijderen
- Mobiele apps lezen, maken, verwijderen, toewijzen en bijwerken
- Organisatie lezen en bijwerken
- Beveiligingsbasislijnen lezen, maken, verwijderen, toewijzen en bijwerken
- Beleidssets lezen, maken, verwijderen, toewijzen en bijwerken
Stap 1- Inleiding
Met behulp van dit begeleide scenario stelt u een testgebruiker in, schrijft u een apparaat in bij Intune en implementeert u het apparaat met door Intune aanbevolen instellingen, evenals Windows 10- en Microsoft 365-apps. Uw apparaat wordt ook geconfigureerd voor Microsoft Defender voor Eindpunt als u ervoor kiest om deze beveiliging in Intune in te schakelen. De gebruiker die u instelt en het apparaat dat u inschrijft, worden toegevoegd aan een nieuwe beveiligingsgroep en worden geconfigureerd met de aanbevolen instellingen voor beveiliging en productiviteit.
Wat u nodig hebt om door te gaan
U moet uw testapparaat en testgebruiker opgeven in dit begeleide scenario. Zorg ervoor dat u de volgende taken uitvoert:
- Een testgebruikersaccount instellen in Microsoft Entra ID.
- Maak een testapparaat met Windows 10 versie 1903 of hoger.
- (Optioneel) Registreer het testapparaat bij Windows Autopilot.
- (Optioneel) Schakel huisstijl in op de aanmeldingspagina van Microsoft Entra van uw organisatie.
Stap 2: gebruiker
Kies een gebruiker die u wilt instellen op het apparaat. Deze persoon is de primaire gebruiker van het apparaat.
Als u meer gebruikers of apparaten aan deze configuratie wilt toevoegen, voegt u de gebruikers en apparaten toe aan de Microsoft Entra-beveiligingsgroepen die door de wizard worden gegenereerd. In tegenstelling tot andere begeleide scenario's hoeft u de wizard niet meer dan één keer uit te voeren omdat de configuratie niet kan worden aangepast. Voeg gewoon meer gebruikers en apparaten toe aan de Microsoft Entra-groepen die zijn gemaakt. Nadat u de wizard hebt voltooid, kunt u de groep bekijken die is gegenereerd met de aanbevolen beleidsregels die zijn geïmplementeerd.
Stap 3- Apparaat
Zorg ervoor dat op uw apparaat Windows 10 versie 1903 of hoger wordt uitgevoerd. De primaire gebruiker moet het apparaat instellen wanneer deze het ontvangt. Er zijn twee installatieopties beschikbaar voor de gebruiker.
Optie A – Windows Autopilot
Met Windows Autopilot wordt de configuratie van nieuwe apparaten geautomatiseerd, zodat gebruikers deze out-of-box kunnen instellen, zonder it-hulp. Als uw apparaat al is geregistreerd bij Windows Autopilot, selecteert u het met het serienummer. Zie Apparaat registreren met Windows Auto Pilot (optioneel) voor meer informatie over het gebruik van Windows Autopilot.
Optie B: handmatige apparaatinschrijving
Gebruikers zullen hun nieuwe apparaten handmatig instellen en registreren in het beheer van mobiele apparaten. Nadat u dit scenario hebt voltooid, stelt u het apparaat opnieuw in en geeft u de primaire gebruiker de inschrijvingsinstructies voor Windows-apparaten. Zie Een Windows 10-apparaat toevoegen aan Microsoft Entra ID tijdens de eerste uitvoering voor meer informatie.
Stap 4: Controleren en maken
In de laatste stap kunt u een overzicht bekijken van de instellingen die u hebt geconfigureerd. Nadat u uw keuzes hebt bekeken, klikt u op Implementeren om het begeleide scenario te voltooien. Zodra het begeleide scenario is voltooid, wordt een tabel met resources weergegeven. U kunt deze resources later bewerken, maar zodra u de overzichtsweergave verlaat, wordt de tabel niet meer opgeslagen.
Belangrijk
Zodra het begeleide scenario is voltooid, wordt een samenvatting weergegeven. U kunt de resources die later in de samenvatting worden vermeld, wijzigen, maar de tabel met deze resources wordt niet opgeslagen.
Verificatie
- Controleer of aan het geselecteerde MDM-gebruikersbereik is toegewezen
- Zorg ervoor dat het MDM-gebruikersbereik is:
- Instellen op Alles voor de Microsoft Intune-app of,
- Stel in op Sommige. Voeg ook de gebruikersgroep toe die door dit begeleide scenario is gemaakt.
- Zorg ervoor dat het MDM-gebruikersbereik is:
- Controleer of de geselecteerde gebruiker apparaten kan koppelen aan Microsoft Entra ID.
- Zorg ervoor dat Microsoft Entra Join is:
- Stel in op Alle of,
- Stel in op Sommige. Voeg ook de gebruikersgroep toe die met dit begeleide scenario is gemaakt.
- Zorg ervoor dat Microsoft Entra Join is:
- Volg de juiste stappen op het apparaat om het te koppelen aan Microsoft Entra ID op basis van het volgende:
- Met Autopilot. Zie De gebruikersgestuurde modus van Windows Autopilot voor meer informatie.
- Zonder Autopilot: Zie Een Windows 10-apparaat toevoegen aan Microsoft Entra ID tijdens de eerste uitvoering voor meer informatie.
Wat gebeurt er wanneer ik op Implementeren klik?
De gebruiker en het apparaat worden toegevoegd aan nieuwe beveiligingsgroepen. Ze worden ook geconfigureerd met door Intune aanbevolen instellingen voor beveiliging en productiviteit op het werk of op school. Nadat de gebruiker het apparaat heeft toegevoegd aan Microsoft Entra ID, worden er extra apps en instellingen toegevoegd aan het apparaat. Zie Quickstart: Uw Windows 10-apparaat inschrijven voor meer informatie over deze aanvullende configuraties.
Aanvullende informatie
Apparaat registreren bij Windows Autopilot (optioneel)
U kunt er desgewenst voor kiezen om een geregistreerd Autopilot-apparaat te gebruiken. Voor Autopilot wijst dit begeleide scenario een Autopilot-implementatieprofiel en een profiel voor de statuspagina van de inschrijving toe. Het Autopilot-implementatieprofiel wordt als volgt geconfigureerd:
- Door de gebruiker gestuurde modus: vereist dat de eindgebruiker een gebruikersnaam en wachtwoord invoert tijdens de installatie van Windows.
- Microsoft Entra join.
- Windows-installatie aanpassen:
- Het scherm Licentievoorwaarden voor Microsoft Software verbergen
- Privacyinstellingen verbergen
- Het lokale profiel van de gebruiker maken zonder lokale beheerdersbevoegdheden
- De opties account wijzigen verbergen op de aanmeldingspagina van het bedrijf
De pagina Status van de inschrijving wordt geconfigureerd om alleen te worden ingeschakeld voor Autopilot-apparaten en blokkeert niet het wachten totdat alle apps zijn geïnstalleerd.
In het begeleide scenario wordt de gebruiker ook toegewezen aan het geselecteerde Autopilot-apparaat voor een gepersonaliseerde installatie-ervaring.
Navereisten
Zodra de gebruiker het apparaat heeft gekoppeld aan Microsoft Entra ID, worden de volgende configuraties toegepast op het apparaat:
- Microsoft 365-apps worden automatisch geïnstalleerd op de in de cloud beheerde pc. Het bevat de toepassingen waarmee u bekend bent, waaronder Access, Excel, OneNote, Outlook, PowerPoint, Publisher, Skype voor Bedrijven en Word. Je kunt deze toepassingen gebruiken om verbinding te maken met Microsoft 365-services, zoals SharePoint Online, Exchange Online en Skype voor Bedrijven Online. Microsoft 365-apps worden regelmatig bijgewerkt met nieuwe functies, in tegenstelling tot niet-abonnementsversies van Office. Zie Wat is er nieuw in Microsoft 365 voor een lijst met nieuwe functies.
- Windows-beveiligingsbasislijnen worden geïnstalleerd op de in de cloud beheerde pc. Als u Microsoft Defender voor Eindpunt hebt ingesteld, configureert het begeleide scenario ook basislijninstellingen voor Defender. Defender voor Eindpunt biedt een nieuwe beveiligingslaag na inbreuk op de Windows 10-beveiligingsstack. Met een combinatie van clienttechnologie die is ingebouwd in Windows 10 en een robuuste cloudservice, helpt het bij het detecteren van bedreigingen die andere beveiligingen hebben overschreden.
Volgende stappen
- Als u Microsoft Defender Advanced Threat Detection gebruikt, maakt u een Intune-nalevingsbeleid om defender-bedreigingsanalyse te vereisen om te voldoen aan de naleving.
- Maak een beleid voor voorwaardelijke toegang op basis van apparaten om de toegang te blokkeren als het apparaat niet voldoet aan intune-naleving.