Veelgestelde vragen, antwoorden en scenario's met beleidsregels en profielen in Microsoft Intune

Belangrijk

Op 22 oktober 2022 heeft Microsoft Intune de ondersteuning voor apparaten met Windows 8.1 beëindigd. Technische ondersteuning en automatische updates op deze apparaten zijn niet beschikbaar.

Als u momenteel Windows 8.1 gebruikt, raden we u aan over te stappen op Windows 10/11-apparaten. Microsoft Intune beschikt over ingebouwde beveiligings- en apparaatfuncties waarmee Windows 10/11-clientapparaten worden beheerd.

Krijg antwoorden op veelgestelde vragen bij het werken met beleid in Intune. In dit artikel worden ook de inchecktijdsintervallen vermeld, meer bewaringen bij conflicten en meer.

Dit artikel is van toepassing op de volgende beleidsregels:

  • App-beveiliging beleid
  • App-configuratiebeleid
  • Nalevingsbeleid
  • Beleid voor voorwaardelijke toegang
  • Apparaatconfiguratieprofielen
  • Inschrijvingsbeleid

Vernieuwingsintervallen van beleid

Intune meldt het apparaat om in te checken bij de Intune-service. De meldingstijden variëren, inclusief direct tot een paar uur. Deze meldingstijden verschillen ook per platform. Op Android-apparaten kan Googe Mobile Services (GMS) van invloed zijn op vernieuwingsintervallen van beleid.

Als een apparaat na de eerste melding niet incheckt om het beleid of profiel op te halen, doet Intune nog drie pogingen. Een offlineapparaat, zoals uitgeschakeld of niet verbonden met een netwerk, ontvangt de meldingen mogelijk niet. In dit geval krijgt het apparaat het beleid of profiel bij de volgende geplande check-in met de Intune-service. Hetzelfde geldt voor controles op niet-naleving, met inbegrip van apparaten die overstappen van een compatibele naar een niet-compatibele status.

Geschatte frequenties:

Platform Vernieuwingscyclus
Android, AOSP Ongeveer elke 8 uur
iOS/iPadOS Ongeveer elke 8 uur
macOS Ongeveer elke 8 uur
Windows 10/11-pc's die zijn ingeschreven als apparaten Ongeveer elke 8 uur
Windows 8.1 Ongeveer elke 8 uur

Als apparaten onlangs zijn ingeschreven, worden de nalevings-, niet-nalevings- en configuratiecontrole vaker uitgevoerd. De check-ins worden geschat op:

Platform Frequentie
Android, AOSP Elke 3 minuten gedurende 15 minuten, vervolgens om de 15 minuten gedurende 2 uur en vervolgens ongeveer om de 8 uur
iOS/iPadOS Elke 15 minuten gedurende 1 uur en vervolgens ongeveer om de 8 uur
macOS Elke 15 minuten gedurende 1 uur en vervolgens ongeveer om de 8 uur
Windows 10/11-pc's die zijn ingeschreven als apparaten Elke 3 minuten gedurende 15 minuten, vervolgens om de 15 minuten gedurende 2 uur en vervolgens ongeveer om de 8 uur
Windows 8.1 Elke 5 minuten gedurende 15 minuten, vervolgens om de 15 minuten gedurende 2 uur en vervolgens ongeveer om de 8 uur

Voor vernieuwingsintervallen voor app-beveiligingsbeleid gaat u naar Tijdstip van levering van app-beveiligingsbeleid.

Gebruikers kunnen op elk gewenst moment de Bedrijfsportal-app, Apparaten>status controleren of Instellingen>synchroniseren openen om onmiddellijk te controleren op beleids- of profielupdates. Zie Win32-app-beheer in Microsoft Intune voor gerelateerde informatie over de Intune Management Extension-agent of Win32-apps.

Intune-acties waarmee onmiddellijk een melding naar een apparaat wordt verzonden

Er zijn verschillende acties die een melding activeren. Bijvoorbeeld wanneer een beleid, profiel of app wordt toegewezen (of niet-toegewezen), wordt bijgewerkt, verwijderd, enzovoort. Deze actietijden variëren per platform.

Apparaten worden bij Intune ingecheckt wanneer ze een melding ontvangen om in te checken of tijdens de geplande check-in. Wanneer u een actie op een apparaat of gebruiker richt, meldt Intune het apparaat onmiddellijk om in te checken om deze updates te ontvangen. Er wordt bijvoorbeeld een melding weergegeven wanneer een vergrendeling, wachtwoordcode opnieuw instellen, app of beleidstoewijzing wordt uitgevoerd.

Andere wijzigingen veroorzaken geen onmiddellijke melding naar apparaten, waaronder het herzien van de contactgegevens in de Bedrijfsportal-app of updates van een .ipa bestand.

De instellingen in het beleid of profiel worden bij elke check-in toegepast. Een blogbericht van Windows 10 mdm-beleid voor het vernieuwen van het MDM-beleid kan een goede resource zijn.

Conflicten

Conflicten kunnen optreden wanneer verschillende beleidsregels dezelfde instelling bijwerken naar verschillende waarden. U hebt bijvoorbeeld twee beleidsregels waarmee de instelling voor kopiëren en plakken wordt bijgewerkt naar verschillende waarden. Het conflict wordt anders verwerkt, afhankelijk van het type beleid.

App-beveiliging beleid dat conflict

Conflictwaarden zijn de meest beperkende instellingen die beschikbaar zijn in een app-beveiligingsbeleid. De uitzondering zijn numerieke invoervelden, zoals pincodepogingen vóór het opnieuw instellen. Numerieke invoervelden worden op dezelfde manier ingesteld als de waarden, alsof u een MAM-beleid hebt gemaakt met behulp van de optie aanbevolen instellingen.

Er treden conflicten op wanneer twee profielinstellingen hetzelfde zijn. U hebt bijvoorbeeld twee MAM-beleidsregels geconfigureerd die identiek zijn, met uitzondering van de instelling voor kopiëren en plakken. In dit scenario wordt de instelling voor kopiëren/plakken ingesteld op de meest beperkende waarde. De rest van de instellingen is van toepassing zoals geconfigureerd.

Een beleid wordt geïmplementeerd in de app en wordt van kracht. Er wordt een tweede beleid geïmplementeerd. In dit scenario heeft het eerste beleid voorrang en blijft het toegepast. Het tweede beleid toont een conflict. Als beide tegelijk worden toegepast, wat betekent dat er geen voorafgaand beleid is, zijn beide conflicterende. Conflicterende instellingen worden ingesteld op de meest beperkende waarden.

Nalevings- en apparaatconfiguratiebeleid dat conflict veroorzaakt

Wanneer twee of meer beleidsregels zijn toegewezen aan dezelfde gebruiker of hetzelfde apparaat, gebeurt de instelling die van toepassing is op het niveau van de afzonderlijke instelling:

  • Als u aangepast nalevingsbeleid gebruikt om apparaatinstellingen in te stellen, hebben de instellingen in het aangepaste nalevingsbeleid voorrang op dezelfde instelling in apparaatconfiguratiebeleid. Instellingen voor nalevingsbeleid hebben altijd voorrang op configuratieprofielinstellingen.

  • Als een nalevingsbeleid wordt geëvalueerd op basis van dezelfde instelling in een ander nalevingsbeleid, is de meest beperkende instelling voor nalevingsbeleid van toepassing.

  • Als een configuratiebeleidsinstelling conflicteert met een instelling in een ander configuratiebeleid, wordt dit conflict weergegeven in Intune. Deze conflicten handmatig oplossen.

In het Intune-beheercentrum kunt u op een aantal plaatsen configuratiebeleid maken, waaronder groepsbeleid analytics, eindpuntbeveiliging, beveiligingsbasislijnen en meer. Als er een conflict is en u meerdere beleidsregels hebt, controleert u alle plaatsen waar u beleidsregels hebt geconfigureerd. De ingebouwde rapportagefuncties kunnen ook helpen bij conflicten. Ga naar Intune-rapporten voor meer informatie over de beschikbare rapporten.

Aangepast iOS-/iPadOS- of macOS-beleid dat conflict veroorzaakt

Intune evalueert de nettolading van Apple Configuration-bestanden of een aangepast OMA-URI-beleid (Open Mobile Alliance Uniform Resource Identifier) niet. Het fungeert alleen als het leveringsmechanisme.

Wanneer u een aangepast beleid toewijst, controleert u of de geconfigureerde instellingen geen conflict veroorzaken met naleving, configuratie of andere aangepaste beleidsregels. Als een aangepast beleid en de bijbehorende instellingen conflict, past Apple de instellingen willekeurig toe.

De ingebouwde rapportagefuncties kunnen helpen bij conflicten. Ga naar Intune-rapporten voor meer informatie over de beschikbare rapporten.

Een profiel wordt verwijderd of is niet meer van toepassing

Wanneer u een profiel verwijdert of een apparaat verwijdert uit een groep waaraan het profiel is toegewezen, worden het profiel en de instellingen van het apparaat verwijderd. Ze worden met name verwijderd zoals beschreven in de volgende lijst:

  • Wi-Fi-, VPN-, certificaat- en e-mailprofielen: deze profielen worden verwijderd van alle ondersteunde geregistreerde apparaten.

  • Alle andere profieltypen:

    • Android-apparaten: instellingen worden niet van het apparaat verwijderd.

    • iOS/iPadOS: alle instellingen worden verwijderd, behalve:

      • Spraakroaming toestaan
      • Dataroaming toestaan
      • Automatische synchronisatie toestaan tijdens roaming
    • Windows-apparaten: nadat u het profiel hebt verwijderd of de toewijzing ervan hebt ingetrokken, moet u de Microsoft Entra gebruiker zich aanmelden bij het apparaat en synchroniseren met de Intune-service.

      Intune-instellingen zijn gebaseerd op de Windows-configuratieserviceprovider (CSP's). Het gedrag is afhankelijk van de CSP. Sommige CSP's verwijderen de instelling en sommige CSP's behouden de instelling, ook wel tatoeëring genoemd.

  • Een profiel is van toepassing op een gebruikersgroep. Later wordt een gebruiker uit de groep verwijderd. Voordat de instellingen van die gebruiker worden verwijderd, kan het tot 7 uur of langer duren voordat:

    • Het profiel dat moet worden verwijderd uit de beleidstoewijzing in het Intune-beheercentrum
    • Het apparaat dat moet worden gesynchroniseerd met het Intune-object met behulp van de platformspecifieke beleidsvernieuwingscyclus (in dit artikel)

Ik heb een apparaatbeperkingsprofiel gewijzigd, maar de wijzigingen zijn niet van kracht

Als u een minder beperkend profiel wilt toepassen, moeten sommige apparaten mogelijk buiten gebruik worden gesteld en opnieuw worden ingeschreven bij Intune. U moet bijvoorbeeld android-, iOS-/iPadOS- en Windows-clientapparaten buiten gebruik stellen en opnieuw inschrijven.

Sommige instellingen in een Windows 10/11-profiel retourneren 'Niet van toepassing'

Sommige instellingen op Windows-clientapparaten kunnen worden weergegeven als Niet van toepassing. Wanneer deze situatie zich voordoet, wordt die specifieke instelling niet ondersteund in de Windows-versie of -editie die op het apparaat wordt uitgevoerd. Dit bericht kan de volgende redenen hebben:

  • De instelling is alleen beschikbaar voor nieuwere versies van Windows en niet voor de huidige versie van het besturingssysteem op het apparaat.
  • De instelling is alleen beschikbaar voor specifieke Windows-edities of specifieke SKU's, zoals Home, Professional, Enterprise en Education.

Zie de CSP-verwijzing (Configuration Service Provider) voor meer informatie over de versie- en editievereisten voor de verschillende instellingen.

Wanneer apparaten worden ingeschreven, is er een vertraging bij het toepassen van apps en beleidsregels die zijn toegewezen aan dynamische apparaatgroepen

Tijdens de inschrijving kunt u Microsoft Entra dynamische apparaatgroepen gebruiken. U kunt bijvoorbeeld een dynamische apparaatgroep maken op basis van de naam of het inschrijvingsprofiel van een apparaat.

Het inschrijvingsprofiel wordt toegepast op de apparaatrecord tijdens de eerste installatie van het apparaat. Microsoft Entra dynamische groepering is niet direct. Het apparaat bevindt zich mogelijk enige tijd niet in de dynamische groep, mogelijk minuten tot uren, afhankelijk van andere wijzigingen die in uw tenant worden aangebracht.

Als het apparaat niet wordt toegevoegd aan de groep, worden uw apps en beleidsregels niet aan het apparaat toegewezen tijdens de eerste Intune-check-in. Het beleid is mogelijk niet van toepassing tot de volgende geplande check-in.

Als snelle levering van apps en beleidsregels belangrijk is voor uw installatie-/inschrijvingsscenario, wijst u uw apps en beleidsregels toe aan gebruikersgroepen, niet aan dynamische apparaatgroepen. Gebruikersgroepen worden vooraf ingevuld met leden vóór de installatie van het apparaat en hebben deze vertraging niet.

Ga voor meer informatie over dynamische groepen naar:

Volgende stappen