Een apparaatprofiel maken in Microsoft Intune

Met apparaatprofielen kunt u instellingen toevoegen en configureren en deze instellingen vervolgens pushen naar apparaten in uw organisatie. U hebt een aantal opties bij het maken van beleidsregels:

• Beheersjablonen: Op Windows 10/11-apparaten zijn deze sjablonen ADMX-instellingen die u configureert. Als u bekend bent met ADMX-beleid of groepsbeleidsobjecten (GPO), is het gebruik van beheersjablonen een natuurlijke stap om te Microsoft Intune.

  Zie Beheersjablonen voor meer informatie

• Basislijnen: op Windows 10/11 apparaten bevatten deze basislijnen vooraf geconfigureerde beveiligingsinstellingen. Als u beveiligingsbeleid wilt maken met aanbevelingen van Microsoft-beveiligingsteams, zijn beveiligingsbasislijnen voor u.

  Zie Beveiligingsbasislijnen voor meer informatie.

• Instellingencatalogus: Op Windows 10/11-apparaten gebruikt u de instellingencatalogus om alle beschikbare instellingen te bekijken en op één locatie. U kunt bijvoorbeeld alle instellingen zien die van toepassing zijn op BitLocker en een beleid maken dat alleen is gericht op BitLocker. Gebruik op macOS-apparaten de instellingencatalogus om Microsoft Edge versie 77 en instellingen te configureren.

  Zie Instellingencatalogus voor meer informatie.

  In macOS kunt u het voorkeursbestand blijven gebruiken om het volgende te doen:

  • Eerdere versies van Microsoft Edge configureren
  • Edge-browserinstellingen configureren die zich niet in de instellingencatalogus bevinden

• Sjablonen: Op Android-, iOS-/iPadOS-, macOS- en Windows-apparaten bevatten de sjablonen een logische groepering van instellingen waarmee een functie of concept wordt geconfigureerd, zoals VPN, e-mail, kioskapparaten en meer. Als u bekend bent met het maken van apparaatconfiguratiebeleid in Microsoft Intune, gebruikt u deze sjablonen al.

  Zie Functies en instellingen toepassen op uw apparaten met behulp van apparaatprofielen voor meer informatie, inclusief de beschikbare sjablonen.

Dit artikel:

• Lijsten de stappen voor het maken van een profiel.
• Laat zien hoe u een bereiktag toevoegt om uw beleid te 'filteren'.
• Beschrijft toepasselijkheidsregels op Windows-clientapparaten en laat zien hoe u een regel maakt.
• Bevat meer informatie over de vernieuwingscyclustijden voor inchecken wanneer apparaten profielen en eventuele profielupdates ontvangen.

Het profiel maken

Profielen worden gemaakt in het Microsoft Intune-beheercentrum. Selecteer apparaten in dit beheercentrum. U hebt de volgende opties:

• Overzicht: Lijsten de status van uw profielen en geeft meer informatie over de profielen die u hebt toegewezen aan gebruikers en apparaten.
• Controleren: controleer de status van uw profielen op geslaagd of mislukt en bekijk ook logboeken op uw profielen.
• Per platform: maak en bekijk beleidsregels en profielen van uw platform. In deze weergave kunnen ook functies worden weergegeven die specifiek zijn voor het platform. Selecteer bijvoorbeeld Windows. U ziet windows-specifieke functies, zoals Windows Update Rings en PowerShell-scripts.
• Apparaten beheren: maak apparaatprofielen, upload aangepaste PowerShell-scripts om uit te voeren op apparaten en voeg gegevensabonnementen toe aan apparaten met behulp van eSIM.

Wanneer u een profiel maakt (configuratie>maken), kiest u uw platform:

• Android apparaatbeheerder
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10 en hoger
• Windows 8.1 en hoger

Kies vervolgens het profiel. Afhankelijk van het platform dat u kiest, zijn de instellingen die u kunt configureren, verschillend. In de volgende artikelen worden de verschillende profielen beschreven:

• Beheersjablonen (Windows)
• BIOS-configuratie en andere instellingen
• Aangepast
• Delivery Optimization (Windows)
• Afgeleide referentie (Android Enterprise, iOS, iPadOS)
• Apparaatfuncties (macOS, iOS, iPadOS)
• Configuratie-interface voor apparaatfirmware (DFCI) (Windows)
• Apparaatbeperkingen
• Domeindeelname (Windows)
• Editie-upgrade en modusschakelaar (Windows)
• Onderwijs (iOS, iPadOS)
• E-mail
• Endpoint protection (macOS, Windows)
• Extensies (macOS)
• Identiteitsbeveiliging (Windows)
• Kiosk
• Microsoft Defender voor Eindpunt (Windows)
• Mx-profiel (Mobility Extensions) (Android-apparaatbeheerder)
• Netwerkgrens (Windows)
• OEMConfig (Android Enterprise)
• PKCS-certificaat
• Geïmporteerd PKCS-certificaat
• Voorkeursbestand (macOS)
• SCEP-certificaat
• Beveiligde evaluatie (education) (Windows)
• Gedeeld apparaat voor meerdere gebruikers (Windows)
• Vertrouwd certificaat
• VPN
• Wi-Fi
• Windows-statusbewaking
• Bekabelde netwerken (macOS)

Als u bijvoorbeeld iOS/iPadOS als platform selecteert, zien uw opties er ongeveer uit als in het volgende profiel:

Als u Windows 10 en hoger selecteert voor het platform, zien uw opties er ongeveer uit als in het volgende profiel:

Bereiktags

Nadat u de instellingen hebt toegevoegd, kunt u ook een bereiktag toevoegen aan het profiel. Met bereiktags worden profielen gefilterd op specifieke IT-groepen, zoals US-NC IT Team of JohnGlenn_ITDepartment. En worden gebruikt in gedistribueerde IT.

Zie RBAC- en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags en wat u kunt doen.

Regels voor toepasselijkheid

Van toepassing op:

• Windows 11
• Windows 10

Met toepasselijkheidsregels kunnen beheerders zich richten op apparaten in een groep die voldoen aan specifieke criteria. U maakt bijvoorbeeld een profiel voor apparaatbeperkingen dat van toepassing is op de groep Alle Windows 10/11 apparaten. En u wilt dat het profiel alleen wordt toegewezen aan apparaten met Windows Enterprise.

Als u deze taak wilt uitvoeren, maakt u een toepasselijkheidsregel. Deze regels zijn ideaal voor de volgende scenario's:

• U gebruikt Windows 10 Education (EDU). Bij Bellows College wilt u alle Windows 10 EDU-apparaten tussen RS3 en RS4 gebruiken.
• U wilt zich richten op alle gebruikers in Human Resources bij Contoso, maar alleen Windows 10 Professional- of Enterprise-apparaten.

Als u deze scenario's wilt benaderen, gaat u als volgt te werk:

• Maak een apparatengroep die alle apparaten van Bellows College bevat. Voeg in het profiel een toepasbaarheidsregel toe, zodat deze van toepassing is als de minimale versie van het besturingssysteem is 16299 en de maximale versie is 17134. Wijs dit profiel toe aan de bellows College-apparatengroep.

  Wanneer het is toegewezen, is het profiel van toepassing op apparaten tussen de minimale en maximale versie die u invoert. Voor apparaten die zich niet tussen de minimale en maximale versie bevinden die u invoert, wordt de status Niet van toepassing weergegeven.

• Maak een gebruikersgroep die alle gebruikers in HR (Human Resources) bij Contoso bevat. Voeg in het profiel een toepasbaarheidsregel toe, zodat deze van toepassing is op apparaten waarop Windows 10 Professional of Enterprise wordt uitgevoerd. Wijs dit profiel toe aan de groep HR-gebruikers.

  Wanneer het is toegewezen, is het profiel van toepassing op apparaten met Windows 10 Professional of Enterprise. Voor apparaten waarop deze edities niet worden uitgevoerd, wordt de status Niet van toepassing weergegeven.

• Als er twee profielen met exact dezelfde instellingen zijn, wordt het profiel zonder toepassingsregel toegepast.

  ProfileA is bijvoorbeeld gericht op de groep Windows 10 apparaten, schakelt BitLocker in en heeft geen regel voor toepasselijkheid. ProfileB is gericht op dezelfde Windows 10 apparaatgroep, schakelt BitLocker in en heeft een toepassingsregel om alleen het profiel toe te passen op Windows 10 Enterprise.

  Wanneer beide profielen zijn toegewezen, wordt ProfileA toegepast omdat deze geen toepassingsregel heeft.

Wanneer u het profiel toewijst aan de groepen, fungeren de toepasselijkheidsregels als een filter en zijn ze alleen gericht op de apparaten die voldoen aan uw criteria.

Een regel toevoegen

1. Selecteer Toepasselijkheidsregels in uw beleid. U kunt de regel en eigenschap kiezen:

   

2. Kies in Regel of u gebruikers of groepen wilt opnemen of uitsluiten. Uw opties:

   • Profiel toewijzen als: bevat gebruikers of groepen die voldoen aan de criteria die u invoert.
   • Wijs geen profiel toe als: Hiermee worden gebruikers of groepen uitgesloten die voldoen aan de criteria die u invoert.

3. Kies in Eigenschap het filter. Uw opties:

   • Editie van het besturingssysteem: controleer in de lijst de Windows-clientversies die u wilt opnemen (of uitsluiten) in uw regel.

   • Versie van het besturingssysteem: voer de minimale en maximale versienummers van de Windows-client in die u wilt opnemen (of uitsluiten) in uw regel. Beide waarden zijn vereist.

     U kunt bijvoorbeeld (RS3 of 1709) invoeren 10.0.16299.0 voor de minimale versie en 10.0.17134.0 (RS4 of 1803) voor de maximale versie. Of u kunt gedetailleerder zijn en invoeren 10.0.16299.001 voor de minimale versie en 10.0.17134.319 voor de maximale versie.

     Zie Release-informatie voor Windows-client voor meer versienummers.

4. Selecteer Toevoegen om uw wijzigingen op te slaan.

Cyclustijden voor beleidsvernieuwing

Intune gebruikt verschillende vernieuwingscycli om te controleren op updates van configuratieprofielen. Als het apparaat onlangs is geregistreerd, wordt het inchecken vaker uitgevoerd. Vernieuwingscycli voor beleid en profiel vermeldt de geschatte vernieuwingstijden.

Gebruikers kunnen op elk gewenst moment de Bedrijfsportal-app openen en het apparaat synchroniseren om onmiddellijk te controleren op profielupdates.

Aanbevelingen

Houd bij het maken van profielen rekening met de volgende aanbevelingen:

• Geef uw beleid een naam, zodat u weet wat het is en wat ze doen. Alle nalevingsbeleidsregels en configuratieprofielen hebben een optionele eigenschap Beschrijving . In Beschrijving moet u specifiek zijn en informatie opnemen, zodat anderen weten wat het beleid doet.

  Voorbeelden van configuratieprofielen zijn:

  Profielnaam: Beheer sjabloon - OneDrive-configuratieprofiel voor alle Windows 10 gebruikers
  Profielbeschrijving: OneDrive-beheerderssjabloonprofiel met de minimum- en basisinstellingen voor alle Windows 10 gebruikers. Gemaakt door user@contoso.com om te voorkomen dat gebruikers organisatiegegevens delen met persoonlijke OneDrive-accounts.

  Profielnaam: VPN-profiel voor alle iOS-/iPadOS-gebruikers
  Profielbeschrijving: VPN-profiel met de minimale en basisinstellingen voor alle iOS-/iPadOS-gebruikers om verbinding te maken met Contoso VPN. Gemaakt door user@contoso.com zodat gebruikers zich automatisch verifiëren bij VPN, in plaats van gebruikers om hun gebruikersnaam en wachtwoord te vragen.

• Maak uw profiel op basis van de bijbehorende taak, zoals Microsoft Edge-instellingen configureren, Microsoft Defender antivirusinstellingen inschakelen, iOS-/iPadOS-apparaten blokkeren die zijn gekraakt, enzovoort.

• Maak profielen die van toepassing zijn op specifieke groepen, zoals Marketing, Verkoop, IT-beheerders of per locatie of schoolsysteem.

• Gebruikersbeleid scheiden van apparaatbeleid.

  Beheersjablonen in Intune bijvoorbeeld duizenden ADMX-instellingen hebben. Deze sjablonen geven aan of een instelling van toepassing is op gebruikers of apparaten. Wanneer u beheerderssjablonen maakt, wijst u uw gebruikersinstellingen toe aan een gebruikersgroep en wijst u uw apparaatinstellingen toe aan een apparaatgroep.

  In de volgende afbeelding ziet u een voorbeeld van een instelling die kan worden toegepast op gebruikers, op apparaten of op beide:

  

• Telkens wanneer u een beperkend beleid maakt, moet u deze wijziging doorgeven aan uw gebruikers. Als u bijvoorbeeld de vereiste wachtwoordcode wijzigt van vier (4) tekens in zes (6) tekens, laat het uw gebruikers weten voordat u het beleid toewijst.

Volgende stappen

Wijs het profiel toe en controleer de status ervan.