Beleid toewijzen in Microsoft Intune

Wanneer u een Intune-beleid maakt, bevat dit alle instellingen die u hebt toegevoegd en geconfigureerd in het beleid. Wanneer het beleid klaar is om te worden geïmplementeerd, is de volgende stap het 'toewijzen' van het beleid aan uw gebruikers- of apparaatgroepen. Wanneer deze is toegewezen, ontvangen de gebruikers en apparaten uw beleid en worden de instellingen die u hebt ingevoerd toegepast.

In Intune kunt u het volgende beleid maken en toewijzen:

  • App-beveiliging beleid
  • App-configuratiebeleid
  • Nalevingsbeleid
  • Beleid voor voorwaardelijke toegang
  • Apparaatconfiguratieprofielen
  • Inschrijvingsbeleid

In dit artikel wordt beschreven hoe u een beleid toewijst, bevat informatie over het gebruik van bereiktags, wordt beschreven wanneer u beleid toewijst aan gebruikersgroepen of apparaatgroepen en meer.

Voordat u begint

Zorg ervoor dat u de juiste rol hebt om beleidsregels en profielen toe te wijzen. Ga voor meer informatie naar Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune.

Een beleid toewijzen aan gebruikers of groepen

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apparaatconfiguratie>. Alle profielen worden weergegeven.

  3. Selecteer het profiel waaraan ueigenschappentoewijzingen>> wilt toewijzen >Bewerken:

    Als u bijvoorbeeld een apparaatconfiguratieprofiel wilt toewijzen:

    1. Ga naar Apparaatconfiguratie>. Alle profielen worden weergegeven.

    2. Selecteer het beleid waaraan ueigenschappentoewijzingen>> wilt toewijzen >Bewerken:

      Schermopname die laat zien hoe u toewijzingen selecteert om het profiel te implementeren voor gebruikers en groepen in Microsoft Intune.

  4. Kies onder Opgenomen groepen of Uitgesloten groepen de optie Groepen toevoegen om een of meer Microsoft Entra groepen te selecteren. Als u het beleid breed wilt implementeren op alle toepasselijke apparaten, selecteert u Alle gebruikers toevoegen of Alle apparaten toevoegen.

    Opmerking

    Als u 'Alle apparaten' en 'Alle gebruikers' selecteert, wordt de optie voor het toevoegen van extra Microsoft Entra groepen uitgeschakeld.

  5. Selecteer Beoordelen en opslaan. Met deze stap wordt uw beleid niet toegewezen.

  6. Kies Opslaan. Wanneer u opslaat, wordt uw beleid toegewezen. Uw groepen ontvangen uw beleidsinstellingen wanneer de apparaten inchecken bij de Intune-service.

Toewijzingsfuncties die u moet kennen en gebruiken

Gebruikersgroepen versus apparaatgroepen

Veel gebruikers vragen wanneer ze gebruikersgroepen moeten gebruiken en wanneer ze apparaatgroepen moeten gebruiken. Het antwoord is afhankelijk van je doel. Hier volgen enkele richtlijnen om u op weg te helpen.

Apparaatgroepen

Als u instellingen wilt toepassen op een apparaat, ongeacht wie is aangemeld, wijst u uw beleid toe aan een apparaatgroep. Instellingen die zijn toegepast op apparaatgroepen, gaan altijd mee met het apparaat, niet met de gebruiker.

Bijvoorbeeld:

  • Apparaatgroepen zijn handig voor het beheren van apparaten die geen toegewezen gebruiker hebben. U hebt bijvoorbeeld apparaten die tickets afdrukken, inventaris scannen, worden gedeeld door ploegendienstmedewerkers, worden toegewezen aan een specifiek magazijn, enzovoort. Plaats deze apparaten in een apparatengroep en wijs uw beleid toe aan deze apparatengroep.

  • U maakt een Device Firmware Configuration Interface (DFCI) Intune-profiel waarmee de instellingen in het BIOS worden bijgewerkt. U configureert dit beleid bijvoorbeeld om de camera van het apparaat uit te schakelen of de opstartopties te vergrendelen om te voorkomen dat gebruikers een ander besturingssysteem opstarten. Dit beleid is een goed scenario om toe te wijzen aan een groep apparaten.

  • Op sommige specifieke Windows-apparaten wilt u altijd bepaalde Microsoft Edge-instellingen beheren, ongeacht wie het apparaat gebruikt. U wilt bijvoorbeeld alle downloads blokkeren, alle cookies beperken tot de huidige browsesessie en de browsegeschiedenis verwijderen. Voor dit scenario plaatst u deze specifieke Windows-apparaten in een apparaatgroep. Maak vervolgens een beheersjabloon in Intune, voeg deze apparaatinstellingen toe en wijs dit beleid vervolgens toe aan de groep apparaten.

Samenvattend kunt u apparaatgroepen gebruiken als het u niet uitmaakt wie is aangemeld op het apparaat of als iemand zich aanmeldt. U wilt dat uw instellingen altijd op het apparaat staan.

Gebruikersgroepen

Beleidsinstellingen die zijn toegepast op gebruikersgroepen, gaan altijd mee met de gebruiker en gaan mee met de gebruiker wanneer ze zijn aangemeld op hun vele apparaten. Het is normaal dat gebruikers veel apparaten hebben, zoals een Surface Pro voor werk en een persoonlijk iOS-/iPadOS-apparaat. En het is normaal dat een persoon toegang heeft tot e-mail en andere organisatieresources vanaf deze apparaten.

Als een gebruiker meerdere apparaten op hetzelfde platform heeft, kunt u filters gebruiken voor de groepstoewijzing. Een gebruiker heeft bijvoorbeeld een persoonlijk iOS-/iPadOS-apparaat en een iOS-/iPadOS-apparaat dat eigendom is van de organisatie. Wanneer u een beleid voor die gebruiker toewijst, kunt u filters gebruiken om alleen het apparaat in organisatieeigendom te targeten.

Volg deze algemene regel: Als een functie van een gebruiker is, zoals e-mail of gebruikerscertificaten, wijst u toe aan gebruikersgroepen.

Bijvoorbeeld:

  • U wilt een helpdeskpictogram plaatsen voor alle gebruikers op al hun apparaten. In dit scenario plaatst u deze gebruikers in een gebruikersgroep en wijst u het pictogrambeleid voor de helpdesk toe aan deze gebruikersgroep.

  • Een gebruiker ontvangt een nieuw apparaat dat eigendom is van de organisatie. De gebruiker meldt zich aan bij het apparaat met het domeinaccount. Het apparaat wordt automatisch geregistreerd in Microsoft Entra ID en automatisch beheerd door Intune. Dit beleid is een goed scenario om toe te wijzen aan een gebruikersgroep.

  • Wanneer een gebruiker zich aanmeldt bij een apparaat, wilt u functies in apps, zoals OneDrive of Office, beheren. In dit scenario wijst u uw OneDrive- of Office-beleidsinstellingen toe aan een gebruikersgroep.

    U wilt bijvoorbeeld niet-vertrouwde ActiveX-besturingselementen in uw Office-apps blokkeren. U kunt een beheersjabloon maken in Intune, deze instelling configureren en dit beleid vervolgens toewijzen aan een gebruikersgroep.

Samenvattend kunt u gebruikersgroepen gebruiken wanneer u wilt dat uw instellingen en regels altijd met de gebruiker meegaan, ongeacht het apparaat dat ze gebruiken.

Azure Virtual Desktop met meerdere sessies

U kunt Intune gebruiken om externe windows-bureaubladen met meerdere sessies te beheren die zijn gemaakt met Azure Virtual Desktop, net zoals u elk ander gedeeld Windows-clientapparaat beheert. Wanneer u beleid toewijst aan gebruikersgroepen of apparaten, is Azure Virtual Desktop met meerdere sessies een speciaal scenario. Wanneer u deze virtuele machines gebruikt, moeten apparaat-CSP's zich richten op apparaatgroepen. CSP's van gebruikers moeten gericht zijn op gebruikersgroepen.

Ga voor meer informatie naar Azure Virtual Desktop met meerdere sessies gebruiken met Microsoft Intune.

Windows-CSP's en hun gedrag

De beleidsinstellingen voor Windows-apparaten zijn gebaseerd op de configuratieserviceproviders (CSP's). Deze instellingen worden toegewezen aan registersleutels of bestanden op de apparaten.

Dit is wat u moet weten over Windows CSP's:

  • Intune maakt deze CSP's beschikbaar, zodat u deze instellingen kunt configureren en aan uw Windows-apparaten kunt toewijzen. Deze instellingen kunnen worden geconfigureerd met behulp van de ingebouwde sjablonen en met behulp van de instellingencatalogus. In de catalogus met instellingen ziet u dat sommige instellingen van toepassing zijn op het gebruikersbereik en sommige instellingen op het apparaatbereik.

    Ga naar Instellingencatalogus: Apparaatbereik versus gebruikersbereikinstellingen voor informatie over hoe instellingen voor gebruikersbereik en apparaatbereik worden toegepast op Windows-apparaten.

  • Wanneer een beleid wordt verwijderd of niet meer wordt toegewezen aan een apparaat, kunnen er verschillende dingen gebeuren, afhankelijk van de instellingen in het beleid. Elke CSP kan het verwijderen van het beleid anders afhandelen.

    Een instelling kan bijvoorbeeld de bestaande waarde behouden en niet teruggaan naar een standaardwaarde. Het gedrag wordt bepaald door elke CSP in het besturingssysteem. Zie Naslaginformatie over configuratieserviceprovider (CSP) voor een lijst met Windows CSP's.

    Als u een instelling wilt wijzigen in een andere waarde, maakt u een nieuw beleid, configureert u de instelling op Niet geconfigureerd en wijst u het beleid toe. Wanneer het beleid van toepassing is op het apparaat, moeten gebruikers de controle hebben om de instelling te wijzigen in hun voorkeurswaarde.

  • Wanneer u deze instellingen configureert, raden we u aan om te implementeren in een testgroep. Zie Een implementatieplan maken voor meer Intune implementatieadvies.

Groepen uitsluiten van een beleidstoewijzing

Intune apparaatconfiguratiebeleid kunt u groepen opnemen en uitsluiten van beleidstoewijzing.

Als best practice:

  • Maak en wijs beleidsregels toe die specifiek zijn voor uw gebruikersgroepen. Gebruik filters om apparaten van die gebruikers op te nemen of uit te sluiten.
  • Maak en wijs verschillende beleidsregels toe, specifiek voor uw apparaatgroepen.

Zie Groepen toevoegen om gebruikers en apparaten te organiseren voor meer informatie over groepen.

Beginselen van het opnemen en uitsluiten van groepen

Wanneer u uw beleid en beleidsregels toewijst, moet u de volgende algemene principes toepassen:

  • Beschouw Opgenomen groepen of Uitgesloten groepen als uitgangspunt voor de gebruikers en apparaten die uw beleid ontvangen. De Microsoft Entra groep is de beperkende groep, dus gebruik het kleinst mogelijke groepsbereik. Gebruik filters om uw beleidstoewijzing te beperken of te verfijnen.

  • Toegewezen Microsoft Entra groepen, ook wel statische groepen genoemd, kunnen worden toegevoegd aan Opgenomen groepen of Uitgesloten groepen.

    Normaal gesproken wijst u apparaten statisch toe aan een Microsoft Entra groep als ze vooraf zijn geregistreerd in Microsoft Entra ID, zoals met Windows Autopilot. Of als u apparaten wilt combineren voor een eenmalige, ad-hoc-implementatie. Anders is het mogelijk niet praktisch om apparaten statisch toe te wijzen aan een Microsoft Entra groep.

  • Dynamische Microsoft Entra gebruikersgroepen kunnen worden toegevoegd aan Opgenomen groepen of Uitgesloten groepen.

  • Uitgesloten groepen kunnen groepen met gebruikers of groepen met apparaten zijn.

  • Dynamische Microsoft Entra apparaatgroepen kunnen worden toegevoegd aan Opgenomen groepen. Er kan echter latentie zijn bij het invullen van het dynamische groepslidmaatschap. Gebruik in latentiegevoelige scenario's filters om specifieke apparaten te targeten en wijs uw beleid toe aan gebruikersgroepen.

    U wilt bijvoorbeeld dat beleidsregels worden toegewezen aan apparaten zodra ze zijn ingeschreven. Maak in deze latentiegevoelige situatie een filter voor de gewenste apparaten en wijs het beleid met dit filter toe aan gebruikersgroepen. Wijs niet toe aan apparaatgroepen.

    Maak in een gebruikersloos scenario een filter voor de gewenste apparaten en wijs het beleid met het filter toe aan de groep Alle apparaten.

  • Vermijd het toevoegen van dynamische Microsoft Entra apparaatgroepen aan Uitgesloten groepen. Latentie in de berekening van dynamische apparaatgroepen bij de inschrijving kan leiden tot ongewenste resultaten. Ongewenste apps en beleidsregels kunnen bijvoorbeeld worden geïmplementeerd voordat het uitgesloten groepslidmaatschap is ingevuld.

Ondersteuningsmatrix

Gebruik de volgende matrix om inzicht te krijgen in de ondersteuning voor het uitsluiten van groepen:

  • ✔️:Ondersteund
  • ❌: Niet ondersteund
  • ❕ : gedeeltelijk ondersteund

Schermopname van de ondersteunde opties voor het opnemen of uitsluiten van groepen van een beleidstoewijzing.

Scenario Ondersteuning
1 ❕ Gedeeltelijk ondersteund

Het toewijzen van beleidsregels aan een dynamische apparaatgroep terwijl het uitsluiten van een andere dynamische apparaatgroep wordt ondersteund. Dit wordt echter niet aanbevolen in scenario's die gevoelig zijn voor latentie. Elke vertraging in de berekening van het uitsluiten van groepslidmaatschap kan ertoe leiden dat beleid wordt aangeboden aan apparaten. In dit scenario raden we u aan filters te gebruiken in plaats van dynamische apparaatgroepen om apparaten uit te sluiten.

U hebt bijvoorbeeld een apparaatbeleid dat is toegewezen aan Alle apparaten. Later hebt u een vereiste dat nieuwe marketingapparaten dit beleid niet ontvangen. U maakt dus een dynamische apparaatgroep met de naam Marketingapparaten op basis van de enrollmentProfilename eigenschap (device.enrollmentProfileName -eq "Marketing_devices"). In het beleid voegt u de dynamische groep Marketingapparaten toe als een uitgesloten groep.

Een nieuw marketingapparaat wordt voor het eerst ingeschreven bij Intune en er wordt een nieuw Microsoft Entra apparaatobject gemaakt. Het dynamische groeperingsproces plaatst het apparaat in de groep Marketingapparaten met een mogelijke vertraagde berekening. Tegelijkertijd wordt het apparaat ingeschreven bij Intune en ontvangt het alle toepasselijke beleidsregels. Het Intune-beleid kan worden geïmplementeerd voordat het apparaat in de uitsluitingsgroep wordt geplaatst. Dit gedrag resulteert in een ongewenst beleid (of app) dat wordt geïmplementeerd in de groep Marketingapparaten .

Daarom wordt het niet aanbevolen om dynamische apparaatgroepen te gebruiken voor uitsluitingen in latentiegevoelige scenario's. Gebruik in plaats daarvan filters.
2 ✔️ Ondersteund

Het toewijzen van een beleid aan een dynamische apparaatgroep terwijl een statische apparaatgroep wordt uitgesloten, wordt ondersteund.
3 ❌ Niet ondersteund

Het toewijzen van een beleid aan een dynamische apparaatgroep terwijl gebruikersgroepen (zowel dynamisch als statisch) worden uitgesloten, wordt niet ondersteund. Intune evalueert geen groepsrelaties tussen gebruikers en apparaten en apparaten van de opgenomen gebruikers worden niet uitgesloten.
4 ❌ Niet ondersteund

Het toewijzen van een beleid aan een dynamische apparaatgroep en het uitsluiten van gebruikersgroepen (zowel dynamisch als statisch) wordt niet ondersteund. Intune evalueert geen groepsrelaties tussen gebruikers en apparaten en apparaten van de opgenomen gebruikers worden niet uitgesloten.
5 ❕ Gedeeltelijk ondersteund

Het toewijzen van een beleid aan een statische apparaatgroep terwijl het uitsluiten van een dynamische apparaatgroep wordt ondersteund. Dit wordt echter niet aanbevolen in scenario's die gevoelig zijn voor latentie. Elke vertraging in de berekening van het uitsluiten van groepslidmaatschap kan ertoe leiden dat beleid wordt aangeboden aan apparaten. In dit scenario raden we u aan filters te gebruiken in plaats van dynamische apparaatgroepen om apparaten uit te sluiten.
6 ✔️ Ondersteund

Het toewijzen van een beleid aan een statische apparaatgroep en het uitsluiten van een andere statische apparaatgroep wordt ondersteund.
7 ❌ Niet ondersteund

Het toewijzen van een beleid aan een statische apparaatgroep en het uitsluiten van gebruikersgroepen (zowel dynamisch als statisch) wordt niet ondersteund. Intune evalueert geen groepsrelaties tussen gebruikers en apparaten en apparaten van de opgenomen gebruikers worden niet uitgesloten.
8 ❌ Niet ondersteund

Het toewijzen van een beleid aan een statische apparaatgroep en het uitsluiten van gebruikersgroepen (zowel dynamisch als statisch) wordt niet ondersteund. Intune evalueert geen groepsrelaties tussen gebruikers en apparaten en apparaten van de opgenomen gebruikers worden niet uitgesloten.
9 ❌ Niet ondersteund

Het toewijzen van een beleid aan een dynamische gebruikersgroep en het uitsluiten van apparaatgroepen (zowel dynamisch als statisch) wordt niet ondersteund.
10 ❌ Niet ondersteund

Het toewijzen van een beleid aan een dynamische gebruikersgroep en het uitsluiten van apparaatgroepen (zowel dynamisch als statisch) wordt niet ondersteund.
11 ✔️ Ondersteund

Het toewijzen van een beleid aan een dynamische gebruikersgroep terwijl andere gebruikersgroepen (zowel dynamisch als statisch) worden uitgesloten, wordt ondersteund.
12 ✔️ Ondersteund

Het toewijzen van een beleid aan een dynamische gebruikersgroep terwijl andere gebruikersgroepen (zowel dynamisch als statisch) worden uitgesloten, wordt ondersteund.
13 ❌ Niet ondersteund

Het toewijzen van een beleid aan een statische gebruikersgroep terwijl apparaatgroepen (zowel dynamisch als statisch) worden uitgesloten, wordt niet ondersteund.
14 ❌ Niet ondersteund

Het toewijzen van een beleid aan een statische gebruikersgroep terwijl apparaatgroepen (zowel dynamisch als statisch) worden uitgesloten, wordt niet ondersteund.
15 ✔️ Ondersteund

Het toewijzen van een beleid aan een statische gebruikersgroep terwijl andere gebruikersgroepen (zowel dynamisch als statisch) worden uitgesloten, wordt ondersteund.
16 ✔️ Ondersteund

Het toewijzen van een beleid aan een statische gebruikersgroep terwijl andere gebruikersgroepen (zowel dynamisch als statisch) worden uitgesloten, wordt ondersteund.

Volgende stappen

Zie Apparaatprofielen bewaken voor hulp bij het bewaken van uw beleid en de apparaten waarop uw beleid wordt uitgevoerd.