Share via


Nalevingsbeleid gebruiken om regels in te stellen voor apparaten die u beheert met Intune

Nalevingsbeleid voor Microsoft Intune zijn sets regels en voorwaarden die u gebruikt om de configuratie van uw beheerde apparaten te evalueren. Met deze beleidsregels kunt u organisatiegegevens en -resources beveiligen van apparaten die niet aan deze configuratievereisten voldoen. Beheerde apparaten moeten voldoen aan de voorwaarden die u hebt ingesteld in uw beleid om te worden beschouwd als compatibel door Intune.

Als u ook de nalevingsresultaten van uw beleid integreert met voorwaardelijke toegang van Microsoft Entra, kunt u profiteren van een extra beveiligingslaag. Met voorwaardelijke toegang kunnen Microsoft Entra-toegangsbeheer worden afgedwongen op basis van de huidige nalevingsstatus van een apparaat om ervoor te zorgen dat alleen apparaten die compatibel zijn toegang hebben tot bedrijfsresources.

Intune-nalevingsbeleid is onderverdeeld in twee gebieden:

  • Instellingen voor nalevingsbeleid zijn tenantbrede configuraties die fungeren als een ingebouwd nalevingsbeleid dat elk apparaat ontvangt. Instellingen voor nalevingsbeleid bepalen hoe nalevingsbeleid werkt in uw Intune-omgeving, inclusief het behandelen van apparaten waaraan geen expliciet nalevingsbeleid voor apparaten is toegewezen.

  • Nalevingsbeleid voor apparaten zijn afzonderlijke sets platformspecifieke regels en instellingen die u implementeert voor groepen gebruikers of apparaten. Apparaten evalueren de regels in het beleid om de nalevingsstatus van een apparaat te rapporteren. Een niet-compatibele status kan leiden tot een of meer acties voor niet-naleving. Microsoft Entra-beleid voor voorwaardelijke toegang kan deze status ook gebruiken om de toegang tot organisatieresources vanaf dat apparaat te blokkeren.

Instellingen voor nalevingsbeleid

Instellingen voor nalevingsbeleid zijn instellingen voor de hele tenant die bepalen hoe de nalevingsservice van Intune communiceert met uw apparaten. Deze instellingen verschillen van de instellingen die u configureert in een nalevingsbeleid voor apparaten.

Als u de instellingen voor nalevingsbeleid wilt beheren, meldt u zich aan bij het Microsoft Intune-beheercentrum en gaat u naar Instellingen voornalevingsbeleid voorapparaatnaleving> voor eindpuntbeveiliging>.

Instellingen voor nalevingsbeleid omvatten de volgende instellingen:

  • Apparaten markeren waaraan geen nalevingsbeleid is toegewezen als

    Met deze instelling wordt bepaald hoe Intune om gaat met apparaten waaraan geen nalevingsbeleid voor apparaten is toegewezen. Deze instelling heeft twee waarden:

    • Compatibel (standaard): deze beveiligingsfunctie is uitgeschakeld. Apparaten die geen nalevingsbeleid voor apparaten hebben verzonden, worden beschouwd als compatibel.
    • Niet compatibel: deze beveiligingsfunctie is ingeschakeld. Apparaten zonder nalevingsbeleid voor apparaten worden beschouwd als niet-compatibel.

    Als u voorwaardelijke toegang gebruikt met uw nalevingsbeleid voor apparaten, wijzigt u deze instelling in Niet compatibel om ervoor te zorgen dat alleen apparaten die als compatibel zijn bevestigd, toegang hebben tot uw resources.

    Als een eindgebruiker niet compatibel is omdat er geen beleid aan de eindgebruiker is toegewezen, wordt in de bedrijfsportal-app Geen nalevingsbeleid toegewezen weergegeven.

  • Geldigheidsperiode van nalevingsstatus (dagen)

    Geef een periode op waarin apparaten moeten rapporteren over al het ontvangen nalevingsbeleid. Als een apparaat de nalevingsstatus voor een beleid niet rapporteert voordat de geldigheidsperiode is verstreken, wordt het apparaat behandeld als niet-compatibel.

    De periode is standaard ingesteld op 30 dagen. U kunt een periode van 1 tot 120 dagen configureren.

    U kunt details bekijken over een apparaat dat voldoet aan de instelling voor de geldigheidsperiode. Meld u aan bij het Microsoft Intune-beheercentrum en ga naarNaleving van instellingen voor apparaten>bewaken>. Deze instelling heeft de naam Is actief in de kolom Instelling . Zie Naleving van apparaten bewaken voor meer informatie over deze en gerelateerde weergaven voor de nalevingsstatus.

Compliancebeleid voor apparaten

Intune-nalevingsbeleid voor apparaten zijn afzonderlijke sets platformspecifieke regels en instellingen die u implementeert voor groepen gebruikers of apparaten. Gebruik nalevingsbeleid om het volgende te doen:

  • Definieer de regels en instellingen waaraan gebruikers en beheerde apparaten moeten voldoen om compatibel te zijn. Voorbeelden van regels zijn onder andere dat op apparaten een minimale versie van het besturingssysteem moet worden uitgevoerd, dat ze niet worden gekraakt of geroot, en dat ze een bedreigingsniveau hebben, zoals opgegeven door software voor bedreigingsbeheer die is geïntegreerd met Intune.

  • Ondersteuningsacties voor niet-naleving die van toepassing zijn op apparaten die niet voldoen aan de nalevingsregels van het beleid. Voorbeelden van acties voor niet-naleving zijn onder andere het markeren van het apparaat als niet-compatibel, het op afstand vergrendelen en het verzenden van een e-mail van een apparaatgebruiker over de apparaatstatus, zodat deze het kan oplossen.

Bij het gebruik van nalevingsbeleid voor apparaten:

  • Sommige configuraties van nalevingsbeleid kunnen de configuratie van instellingen overschrijven die u ook beheert via apparaatconfiguratiebeleid. Zie Nalevings- en apparaatconfiguratiebeleid dat conflict veroorzaakt voor meer informatie over conflictoplossing voor beleidsregels.

  • Beleidsregels kunnen worden geïmplementeerd voor gebruikers in gebruikersgroepen of apparaten in apparaatgroepen. Wanneer een nalevingsbeleid wordt geïmplementeerd voor een gebruiker, worden alle apparaten van de gebruiker gecontroleerd op naleving. Het gebruik van apparaatgroepen in dit scenario helpt bij het rapporteren van naleving.

  • Als u voorwaardelijke toegang van Microsoft Entra gebruikt, kan uw beleid voor voorwaardelijke toegang de nalevingsresultaten van het apparaat gebruiken om de toegang tot resources van niet-compatibele apparaten te blokkeren.

  • Net als bij andere Intune-beleidsregels zijn evaluaties van nalevingsbeleid voor een apparaat afhankelijk van wanneer het apparaat wordt ingecheckt bij Intune en cycli voor beleid en profielvernieuwing.

De beschikbare instellingen die u kunt opgeven in een nalevingsbeleid voor apparaten, zijn afhankelijk van het platformtype dat u selecteert wanneer u een beleid maakt. Verschillende apparaatplatforms ondersteunen verschillende instellingen en elk platformtype vereist een afzonderlijk beleid.

De volgende onderwerpen zijn gekoppeld aan speciale artikelen voor verschillende aspecten van apparaatconfiguratiebeleid.

  • Acties voor niet-naleving : elk nalevingsbeleid voor apparaten bevat standaard de actie om een apparaat als niet-compatibel te markeren als het niet voldoet aan een beleidsregel. Elk beleid kan meer acties ondersteunen op basis van het apparaatplatform. Voorbeelden van extra actie zijn:

    • E-mailwaarschuwingen verzenden naar gebruikers en groepen met details over het niet-compatibele apparaat. U kunt het beleid zo configureren dat er onmiddellijk een e-mail wordt verzonden nadat deze is gemarkeerd als niet-compatibel, en vervolgens nogmaals, periodiek, totdat het apparaat compatibel is.
    • Apparaten die al enige tijd niet compatibel zijn, op afstand vergrendelen.
    • Apparaten buiten gebruik stellen nadat ze enige tijd niet compatibel zijn geweest. Met deze actie wordt een in aanmerking komend apparaat gemarkeerd als gereed om buiten gebruik te worden gesteld. Een beheerder kan vervolgens een lijst weergeven met apparaten die zijn gemarkeerd voor buitengebruikstelling en moet een expliciete actie ondernemen om een of meer apparaten buiten gebruik te stellen. Als u een apparaat buiten gebruik stelt, wordt het apparaat verwijderd uit het Intune-beheer en worden alle bedrijfsgegevens van het apparaat verwijderd. Zie Beschikbare acties voor niet-naleving voor meer informatie over deze actie.
  • Een nalevingsbeleid maken : met de informatie in het gekoppelde artikel kunt u de vereisten bekijken, de opties voor het configureren van regels doorlopen, acties opgeven voor niet-naleving en het beleid toewijzen aan groepen. Dit artikel bevat ook informatie over de vernieuwingstijden van beleid.

    Bekijk de instellingen voor apparaatnaleving voor de verschillende apparaatplatforms:

  • Aangepaste nalevingsinstellingen : met aangepaste nalevingsinstellingen kunt u de ingebouwde opties voor apparaatnaleving van Intune uitbreiden. Aangepaste instellingen bieden flexibiliteit om naleving te baseren op de instellingen die beschikbaar zijn op een apparaat, zonder dat u hoeft te wachten totdat Intune deze instellingen toevoegt.

    U kunt aangepaste nalevingsinstellingen gebruiken met de volgende platforms:

    • Linux – Ubuntu Desktop, versie 20.04 LTS en 22.04 LTS
    • Windows 10
    • Windows 11

Nalevingsstatus bewaken

Intune bevat een dashboard voor apparaatnaleving dat u gebruikt om de nalevingsstatus van apparaten te bewaken en om in te zoomen op beleidsregels en apparaten voor meer informatie. Zie Apparaatcompatibiliteit bewaken voor meer informatie over dit dashboard.

Integreren met voorwaardelijke toegang

Wanneer u voorwaardelijke toegang gebruikt, kunt u uw beleid voor voorwaardelijke toegang configureren om de resultaten van uw nalevingsbeleid voor apparaten te gebruiken om te bepalen welke apparaten toegang hebben tot uw organisatieresources. Dit toegangsbeheer is een aanvulling op en staat los van de acties voor niet-naleving die u opneemt in uw nalevingsbeleid voor apparaten.

Wanneer een apparaat wordt ingeschreven bij Intune, wordt het geregistreerd in Microsoft Entra ID. De nalevingsstatus voor apparaten wordt gerapporteerd aan Microsoft Entra ID. Als voor uw beleid voor voorwaardelijke toegang toegang toegangsbeheer is ingesteld op Vereisen dat apparaat is gemarkeerd als compatibel, gebruikt voorwaardelijke toegang die nalevingsstatus om te bepalen of toegang tot e-mail en andere organisatieresources moet worden verleend of geblokkeerd.

Als u de apparaatnalevingsstatus gebruikt met beleid voor voorwaardelijke toegang, controleert u hoe uw tenant de optie Apparaten markeren zonder nalevingsbeleid als toegewezen configureert , die u beheert onder Instellingen voor nalevingsbeleid.

Zie Voorwaardelijke toegang op basis van apparaten voor meer informatie over het gebruik van voorwaardelijke toegang met het nalevingsbeleid voor apparaten.

Meer informatie over voorwaardelijke toegang vindt u in de Microsoft Entra-documentatie:

Referentie voor niet-naleving en voorwaardelijke toegang op de verschillende platforms

In de volgende tabel wordt beschreven hoe niet-compatibele instellingen worden beheerd wanneer een nalevingsbeleid wordt gebruikt met een beleid voor voorwaardelijke toegang.

  • Hersteld: het besturingssysteem van het apparaat dwingt naleving af. De gebruiker wordt bijvoorbeeld gedwongen om een pincode in te stellen.

  • In quarantaine: het besturingssysteem van het apparaat dwingt naleving niet af. Android- en Android Enterprise-apparaten dwingen de gebruiker bijvoorbeeld niet om het apparaat te versleutelen. Wanneer het apparaat niet compatibel is, worden de volgende acties uitgevoerd:

    • Als een beleid voor voorwaardelijke toegang van toepassing is op de gebruiker, wordt het apparaat geblokkeerd.
    • De bedrijfsportal-app stelt de gebruiker op de hoogte van eventuele nalevingsproblemen.

Beleidsinstelling Platform
Toegestane distributies Linux(alleen) - In quarantaine
Apparaatversleuteling - Android 4.0 en hoger: in quarantaine
- Samsung Knox Standard 4.0 en hoger: In quarantaine
- Android Enterprise: in quarantaine

- iOS 8.0 en hoger: hersteld (door pincode in te stellen)
- macOS 10.11 en hoger: in quarantaine

- Linux: in quarantaine

- Windows 10/11: in quarantaine
E-mailprofiel - Android 4.0 en hoger: Niet van toepassing
- Samsung Knox Standard 4.0 en hoger: Niet van toepassing
- Android Enterprise: niet van toepassing

- iOS 8.0 en hoger: in quarantaine
- macOS 10.11 en hoger: in quarantaine

- Linux: niet van toepassing

- Windows 10/11: Niet van toepassing
Gekraakt of geroot apparaat - Android 4.0 en hoger: In quarantaine (geen instelling)
- Samsung Knox Standard 4.0 en hoger: In quarantaine (geen instelling)
- Android Enterprise: in quarantaine (geen instelling)

- iOS 8.0 en hoger: In quarantaine (geen instelling)
- macOS 10.11 en hoger: Niet van toepassing

- Linux: niet van toepassing

- Windows 10/11: Niet van toepassing
Maximale versie van het besturingssysteem - Android 4.0 en hoger: in quarantaine
- Samsung Knox Standard 4.0 en hoger: In quarantaine
- Android Enterprise: in quarantaine

- iOS 8.0 en hoger: in quarantaine
- macOS 10.11 en hoger: in quarantaine

- Linux: zie Toegestane distributies

- Windows 10/11: in quarantaine
Minimale versie van het besturingssysteem - Android 4.0 en hoger: in quarantaine
- Samsung Knox Standard 4.0 en hoger: In quarantaine
- Android Enterprise: in quarantaine

- iOS 8.0 en hoger: in quarantaine
- macOS 10.11 en hoger: in quarantaine

- Linux: zie Toegestane distributies

- Windows 10/11: in quarantaine
Configuratie van pincode of wachtwoord - Android 4.0 en hoger: in quarantaine
- Samsung Knox Standard 4.0 en hoger: In quarantaine
- Android Enterprise: in quarantaine

- iOS 8.0 en hoger: hersteld
- macOS 10.11 en hoger: Hersteld

- Linux: in quarantaine

- Windows 10/11: hersteld
Windows-statusverklaring - Android 4.0 en hoger: Niet van toepassing
- Samsung Knox Standard 4.0 en hoger: Niet van toepassing
- Android Enterprise: niet van toepassing

- iOS 8.0 en hoger: Niet van toepassing
- macOS 10.11 en hoger: Niet van toepassing

- Linux: niet van toepassing

- Windows 10/11: in quarantaine

Opmerking

De bedrijfsportal-app komt in de stroom voor inschrijvingsherstel wanneer de gebruiker zich aanmeldt bij de app en het apparaat al 30 dagen of langer niet is ingecheckt bij Intune (of het apparaat niet compatibel is vanwege de reden dat het contact is verbroken ). In deze stroom proberen we nog één keer in te checken. Als dat nog steeds niet lukt, geven we een opdracht buiten gebruik stellen om de gebruiker toe te staan het apparaat handmatig opnieuw in te schrijven.


Volgende stappen