stapsgewijze installatiehandleiding voor Windows 10/11 in cloudconfiguratie
Windows 10/11 in cloudconfiguratie (cloudconfiguratie) is een apparaatconfiguratie voor Windows-clientapparaten. Het is ontworpen om de ervaring van eindgebruikers te vereenvoudigen. Voor meer informatie over wat cloudconfiguratie is, inclusief de minimale vereisten, gaat u naar Overzicht van begeleide scenario's voor Windows-cloudconfiguratie.
Met cloudconfiguratie gebruikt u Microsoft Intune-beleid om een Windows-clientapparaat om te zetten in een apparaat dat is geoptimaliseerd voor de cloud. Windows 10/11 in cloudconfiguratie:
Optimaliseert apparaten voor de cloud door ze te configureren voor inschrijving bij Intune beheer met Microsoft Entra. Gebruikersgegevens worden automatisch opgeslagen in OneDrive met Bekende map verplaatsen geconfigureerd.
Installeert Microsoft Teams en Microsoft Edge op apparaten.
Hiermee configureert u eindgebruikers als standaardgebruikers op apparaten, waardoor IT meer controle heeft over de apps die op apparaten zijn geïnstalleerd.
Hiermee verwijdert u ingebouwde apps en de Microsoft Store-app, waardoor de ervaring van de eindgebruiker wordt vereenvoudigd.
Hiermee past u instellingen voor eindpuntbeveiliging en nalevingsbeleid toe. Deze beleidsregels helpen apparaten veilig te houden en de IT-service te helpen bij het bewaken van de apparaatstatus.
Zorgt ervoor dat apparaten automatisch worden bijgewerkt via Windows Update voor Bedrijven.
Optioneel kunt u ook het volgende doen:
- Voeg andere Microsoft 365-apps toe, zoals Outlook, Word, Excel, PowerPoint.
- Voeg essentiële LOB-apps (Line-Of-Business) toe die eindgebruikers nodig hebben om succesvol te zijn. Microsoft raadt aan deze apps tot een minimum te beperken om de configuratie eenvoudig te houden.
- Voeg essentiële resources toe, zoals Wi-Fi-profielen, VPN-verbindingen, certificaten en printerstuurprogramma's die nodig zijn voor gebruikerswerkstromen.
Tip
Ga naar Windows 10/11 in cloudconfiguratie voor een overzicht van Windows 10/11 in cloudconfiguratie en het gebruik ervan.
Er zijn twee manieren om cloudconfiguratie te implementeren:
- Optie 1: automatisch: gebruik het begeleide scenario om automatisch alle groepen en beleidsregels te maken met de geconfigureerde waarden. Ga voor meer informatie over deze optie naar Overzicht van begeleide scenario's voor Windows-cloudconfiguratie.
- Optie 2: handmatig (dit artikel): gebruik de stappen in dit artikel om zelf cloudconfiguratie te implementeren.
Deze handleiding helpt u bij het maken van uw eigen cloudconfiguratie-implementatie. In de volgende secties wordt beschreven hoe u Microsoft Intune gebruikt om cloudconfiguratie in te stellen:
- Een Microsoft Entra groep maken
- Apparaatinschrijving configureren
- Een script implementeren om bekende mapverplaatsing te configureren en ingebouwde apps te verwijderen
- Apps implementeren
- Eindpuntbeveiligingsinstellingen implementeren
- Windows Update-instellingen configureren
- Een Windows-nalevingsbeleid implementeren
- Optionele configuraties
Stap 1: een Microsoft Entra groep maken
De eerste stap is het maken van een Microsoft Entra beveiligingsgroep die de configuraties ontvangt die u implementeert.
Deze toegewezen groep helpt u bij het organiseren van apparaten en het beheren van uw cloudconfiguratieresources in Intune. Microsoft raadt u aan alleen de configuraties in deze handleiding te implementeren. Voeg vervolgens, indien nodig, meer essentiële apps en andere apparaatconfiguraties toe.
Gebruik de volgende stappen om de groep te maken:
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Groepen>Alle groepen>Nieuwe groep.
Bij Groepstype selecteert u Beveiliging.
Voer een groepsnaam in, zoals
Cloud config PCs
.Bij Lidmaatschapstype selecteert u Toegewezen.
Als u wilt, kunt u nu apparaten toevoegen aan uw nieuwe groep. Selecteer Geen leden geselecteerd en voeg leden toe aan uw groep.
U kunt ook beginnen met een lege groep en later apparaten toevoegen.
Selecteer Maken.
Tip
Wanneer de groep is gemaakt, kunt u vooraf geregistreerde Windows Autopilot-apparaten toevoegen aan deze groep.
Bestaande apparaten
Als u bestaande apparaten hebt ingeschreven in Intune die u wilt gebruiken met cloudconfiguratie, wordt het aanbevolen om met deze apparaten te beginnen. Meer specifiek:
- Verwijder bestaande apps en profielen die op deze apparaten zijn geïmplementeerd.
- Stel deze apparaten opnieuw in.
- Schrijf het apparaat opnieuw in bij Intune en implementeer uw cloudconfiguratie.
Deze extra stappen worden aanbevolen voor bestaande apparaten, omdat ze een gestroomlijnde gebruikerservaring bieden. Vervolgens kunt u andere essentiële apps toevoegen en ervoor zorgen dat apparaten alleen beschikken over wat gebruikers nodig hebben.
Stap 2: apparaatinschrijving configureren
In deze stap schakelt u automatische MDM-inschrijving in Intune in en configureert u hoe apparaten worden ingeschreven bij Intune.
Als u Windows Autopilot al gebruikt, slaat u deze stap over en gaat u naar Stap 3 - Een script implementeren om bekende mappen verplaatsen te configureren en ingebouwde apps te verwijderen (in dit artikel).
✅ 1 - Automatische inschrijving inschakelen
Schakel automatische inschrijving in voor de organisatiegebruikers die u cloudconfiguratie wilt gebruiken. Automatische inschrijving is vereist voor cloudconfiguratie. Ga naar Inschrijvingshandleiding - Automatische inschrijving van Windows voor meer informatie over automatische inschrijving.
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Apparaten>Op platform>Windows-apparaat> onboarding >Inschrijving>Automatische inschrijving.
Selecteer onder MDM-gebruikersbereik een van de volgende opties:
- Selecteer Alles om de cloudconfiguratie toe te passen op alle Windows-apparaten die gebruikers in uw organisatie gebruiken. In de meeste scenario's voor cloudconfiguratie is Alles geselecteerd.
- Selecteer Sommige om de cloudconfiguratie toe te passen op apparaten die worden gebruikt door een subset van gebruikers in uw organisatie. Als u uw cloudconfiguratie in een gefaseerde benadering wilt toepassen, is Sommige misschien een goede keuze.
Configureer het MAM-gebruikersbereik, de MAM-voorwaarden van de gebruikers-URL, de MDM-detectie-URL en de MAM-nalevings-URL niet. Laat deze instellingen leeg. MAM-instellingen zijn niet geconfigureerd voor cloudconfiguratie.
Selecteer Opslaan om de wijzigingen op te slaan.
✅ 2 - Kiezen hoe apparaten gebruikers registreren en configureren als standaardgebruikers op apparaten
Nadat automatische inschrijving van Windows is ingeschakeld in Intune, is de volgende stap om te bepalen hoe apparaten worden ingeschreven bij Intune. Wanneer ze zich inschrijven, zijn ze beschikbaar voor het ontvangen van uw cloudconfiguratiebeleid. U moet gebruikers ook configureren als standaardgebruikers op hun apparaten. Standaardgebruikers kunnen alleen apps installeren die uw organisatie goedkeurt.
Voor inschrijving hebt u drie opties. Selecteer één inschrijvingsoptie.
- Windows Autopilot gebruiken (aanbevolen)
- Bulksgewijs inschrijven met behulp van een inrichtingspakket
- Gebruik de Microsoft Entra ID in de out-of-box experience (OOBE)
Deze sectie bevat meer informatie over deze inschrijvingsopties en het configureren van gebruikers als standaardgebruikers op hun apparaten.
Inschrijvingsoptie 1: Windows Autopilot user-driven enrollment (aanbevolen)
Het wordt aanbevolen om Windows Autopilot-inschrijving en de inschrijvingsstatuspagina (ESP) te gebruiken. Deze inschrijvingsmethode en de ESP bieden een consistente eindgebruikerservaring.
- U registreert de apparaten vooraf bij de Windows Autopilot-implementatieservice. Met Windows Autopilot configureren beheerders hoe apparaten worden opgestart en geregistreerd voor apparaatbeheer.
- Het Intune Windows Autopilot-beleid configureert de out-of-box experience (OOBE). In de OOBE selecteert u gebruikers als standaardgebruikers.
- Het Intune Windows Autopilot-beleid configureert de inschrijvingsstatuspagina (ESP). De ESP toont de voortgang van de configuratie. Gebruikers blijven op de ESP totdat alle cloudconfiguratie-instellingen zijn toegepast op het apparaat.
Voer de volgende stappen uit om Windows Autopilot user-driven enrollment in te stellen:
Apparaten toevoegen aan Windows Autopilot.
Registreer uw apparaten in Windows Autopilot met behulp van de stappen in Stap 3- Apparaten registreren bij Windows Autopilot (hiermee opent u een Windows Autopilot-artikel).
Opmerking
Het artikel Stap 3- Apparaten registreren bij Windows Autopilot Windows Autopilot maakt deel uit van een reeks stappen. Voor deze cloudconfiguratie volgt u alleen Stap 3- Apparaten registreren bij Windows Autopilot om uw apparaten te registreren. Volg niet de andere stappen in de reeks. De andere stappen in die Windows Autopilot-serie zijn voor een ander Windows Autopilot-scenario.
U kunt apparaten ook handmatig registreren voor het gebruik van Windows Autopilot. Het handmatig registreren van apparaten wordt vaak gebruikt om bestaande hardware te hergebruiken die niet eerder was ingesteld met Windows Autopilot.
Maak en wijs een Windows Autopilot-implementatieprofiel toe in Intune.
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Apparaten>Op platform>Windows-apparaat> onboarding >Inschrijving>Windows Autopilot DeploymentProgramma-implementatieprofielen>.
Selecteer Profiel maken>Windows-pc. Voer een naam in voor het profiel.
Selecteer Ja voor de instelling Alle doelapparaten converteren naar Autopilot. Selecteer Volgende.
U kunt cloudconfiguratie toepassen op apparaten die zijn ingeschreven met andere inschrijvingsmethoden dan Windows Autopilot. Wanneer u deze apparaten (niet-Windows Autopilot-apparaten) toevoegt aan uw groep, worden de apparaten geconverteerd naar Windows Autopilot. De volgende keer dat de apparaten opnieuw worden ingesteld en de Windows Out-of-Box Experience (OOBE) doorlopen, worden ze ingeschreven via Windows Autopilot.
Voer op het tabblad Out-of-Box Experience (OOBE) de volgende waarden in en selecteer volgende:
Instelling Waarde Implementatiemodus Op basis van de gebruiker Deelnemen aan Microsoft Entra ID als Microsoft Entra toegevoegd Licentievoorwaarden voor Microsoft-software Verbergen Privacy-instellingen Verbergen Opties voor wijzigen van account verbergen Verbergen Type gebruikersaccount Standaard Vooraf ingerichte implementatie toestaan Nee Taal (regio) Standaardbesturingssysteem Toetsenbord automatisch configureren Ja Sjabloon apparaatnaam toepassen Facultatief. U kunt een apparaatnaamsjabloon toepassen. Gebruik een naamvoorvoegsel waarmee u uw cloudconfiguratieapparaten kunt identificeren, zoals Cloud-%SERIAL%
.'Wijs het profiel toe aan de groep die u hebt gemaakt in stap 1: een Microsoft Entra groep maken (in dit artikel) en selecteer volgende.
Controleer het nieuwe profiel en selecteer vervolgens Maken.
Maak en wijs een pagina Status van inschrijving toe in Intune.
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Apparaten>Op platform>Windows-apparaat> onboarding >Algemene>>pagina Inschrijvingsstatus.
Selecteer Maken en voer een naam in voor de pagina Status van inschrijving.
Voer op het tabblad Instellingen de volgende waarden in en selecteer volgende:
Instelling Waarde Configuratieproces voor apps en profielen weergeven Ja Een fout weergeven wanneer de installatie langer duurt dan het opgegeven aantal minuten 60 Aangepast bericht weergeven wanneer een tijdslimietfout optreedt Ja: u kunt ook het standaardbericht wijzigen. Gebruikers toestaan logboeken over installatiefouten te verzamelen Ja Apparaatgebruiker blokkeren totdat alle apps en profielen zijn geïnstalleerd Ja Gebruikers toestaan om het apparaat opnieuw in te stellen als er een installatiefout optreedt Ja Gebruikers toestaan een apparaat te gebruiken als er een installatiefout optreedt Nee Apparaatgebruiker blokkeren totdat deze vereiste apps zijn geïnstalleerd als ze zijn toegewezen aan de gebruiker/het apparaat Alles Opmerking
Als er een installatiefout optreedt, is het raadzaam om te voorkomen dat gebruikers het apparaat gebruiken. Gebruikers blokkeren zorgt ervoor dat ze het apparaat pas kunnen gebruiken nadat de cloudconfiguratie volledig is toegepast.
Als er een installatiefout optreedt op basis van uw implementatiebehoeften, kunt u toestaan dat de gebruiker het apparaat gebruikt. Als u het gebruik van het apparaat wel toestaat, blijft Intune de configuraties toepassen wanneer het apparaat wordt ingecheckt met Intune.
Wijs in Toewijzingen de pagina Status van de inschrijving toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel).
Selecteer Volgende.
Selecteer Maken om de pagina Status van inschrijving te maken en toe te wijzen.
Inschrijvingsoptie 2: Bulksgewijs inschrijven met behulp van een inrichtingspakket
U kunt apparaten inschrijven met behulp van een inrichtingspakket dat is gemaakt met Windows Configuration Designer of de Schoolpc's installeren-app.
Ga voor meer informatie over bulkinschrijving naar Bulkinschrijving voor Windows-apparaten.
Met bulkinschrijving:
- Nadat de apparaten zijn ingeschreven bij Intune, voegt u ze toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel). Wanneer ze aan de groep worden toegevoegd, ontvangen ze uw cloudconfiguratie.
- Alle gebruikers zijn automatisch standaardgebruikers op het apparaat.
- Er is geen registratiestatuspagina. Gebruikers kunnen de voortgang niet bekijken omdat alle cloudconfiguratie-instellingen van toepassing zijn. Gebruikers kunnen het apparaat gaan gebruiken voordat de cloudconfiguratie volledig is toegepast.
- Voordat u apparaten naar gebruikers distribueert, raadt Microsoft u aan te controleren of de instellingen en apps zich op de apparaten bevinden.
Inschrijvingsoptie 3: Inschrijven met behulp van Microsoft Entra ID in de out-of-box experience (OOBE)
Als automatische mdm-inschrijving is ingeschakeld in Intune, melden gebruikers zich tijdens de OOBE aan met hun Microsoft Entra-account. Wanneer ze zich aanmelden, wordt de inschrijving automatisch gestart.
Met deze inschrijvingsoptie kunt u het volgende doen:
Configureer een Microsoft Intune aangepast profiel om lokale beheerders op apparaten te beperken. De Beleids-CSP bevat een XML-voorbeeld van beleidsdefinities die u kunt gebruiken in uw aangepaste profiel.
Tip
In dit aangepaste profiel is er een andere instelling waarmee een groep wordt toegevoegd die lokale beheerders op het apparaat kan zijn. Deze lokale beheerdersgroep mag alleen IT-beheerders in uw omgeving bevatten.
Wijs het aangepaste profiel toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel).
Stap 3: Configureer bekende oneDrive-mappen Verplaats en implementeer een script om ingebouwde apps te verwijderen
Wanneer u OneDrive Known Folder Move configureert, worden gebruikersbestanden en -gegevens automatisch opgeslagen in OneDrive. Wanneer u ingebouwde Windows-apps en de Microsoft Store verwijdert, worden het Startmenu en de apparaatervaring vereenvoudigd.
Deze stap helpt de Gebruikerservaring van Windows te vereenvoudigen.
✅ 1 - Het verplaatsen van bekende mappen in OneDrive configureren met een beheersjabloon
Met Bekende map verplaatsen worden gebruikersgegevens (bestanden en mappen) opgeslagen in OneDrive. Wanneer gebruikers zich aanmelden bij een ander apparaat, worden de gegevens automatisch gesynchroniseerd met het nieuwe apparaat. Gebruikers hoeven hun bestanden niet handmatig te verplaatsen.
Opmerking
Vanwege een synchronisatieprobleem met de configuratie voor het verplaatsen van bekende mappen in OneDrive en SharedPC, raadt Microsoft het gebruik van Windows in cloudconfiguratie niet aan met een apparaat waarop meerdere gebruikers zich aanmelden en zich afmelden.
Als u De verplaatsing van bekende mappen wilt configureren, gebruikt u een ADMX-sjabloon in Intune:
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Apparaten>Op platform>Windows>Apparaten> beherenConfiguratie>Nieuw beleid maken>.
Selecteer Windows 10 en hoger voor platform en selecteer Sjablonen voor profieltype.
Selecteer Beheersjablonen en selecteer Maken.
Voer een naam in voor het profiel en selecteer Volgende.
Zoek in Configuratie-instellingen naar de instellingen in de volgende tabel en selecteer de aanbevolen waarden:
Naam instellen Waarde Verplaats bekende Windows-mappen op de achtergrond naar de tenant-id waarvoor OneDrive is ingeschakeld Voer de tenant-id van uw organisatie in.
Uw tenant-id wordt weergegeven op Microsoft Entra-beheercentrum >pagina>Eigenschappen tenant-id.Melding weergeven aan gebruikers nadat mappen zijn omgeleid Ja. U kunt er ook voor kiezen om de melding te verbergen. Gebruikers op de achtergrond aanmelden bij de OneDrive-synchronisatie-app met hun Windows-referenties Ingeschakeld Voorkomen dat gebruikers hun bekende Windows-mappen verplaatsen naar OneDrive Ingeschakeld Voorkomen dat gebruikers hun bekende Windows-mappen omleiden naar hun pc Ingeschakeld OneDrive-bestanden op aanvraag gebruiken Ingeschakeld Wijs het profiel toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel).
✅ 2 - Een script implementeren om ingebouwde apps te verwijderen
Microsoft heeft een Windows PowerShell script gemaakt dat:
- Hiermee verwijdert u ingebouwde apps van apparaten.
- Hiermee verwijdert u de Microsoft Store-app van apparaten.
Het script wordt geïmplementeerd op apparaten met behulp van in Intune. Voer de volgende stappen uit om het script toe te voegen en te implementeren:
Download het script voor het verwijderen van cloudconfiguratievenster PowerShell-app. Met dit script verwijdert u de Microsoft Store-app en de ingebouwde apps.
Opmerking
Als u de Microsoft Store-app op apparaten wilt behouden, kunt u het script gebruiken waarmee ingebouwde apps worden verwijderd, maar in plaats daarvan de Microsoft Store behouden blijft. Als u dit script wilt gebruiken, downloadt u het in plaats daarvan en volgt u dezelfde stappen. Met dit script wordt geprobeerd ingebouwde apps te verwijderen, maar mogelijk worden niet alle apps verwijderd. Mogelijk moet u het script wijzigen om alle ingebouwde apps op uw apparaten te verwijderen.
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Apparaten>Op platform>Windows>Apparaten> beherenScripts en herstel platformscripts> tabblad>Toevoegen.
Voer in Basisinformatie een naam in voor uw scriptbeleid en selecteer Volgende.
Upload in Scriptinstellingen het script dat u hebt gedownload. Laat de andere instellingen ongewijzigd en selecteer Volgende.
Wijs het script toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel).
Microsoft Store-app
Als u de Microsoft Store-app eerder hebt verwijderd, kunt u deze opnieuw implementeren met behulp van Microsoft Intune. Als u de Microsoft Store-app (of andere apps die u opnieuw wilt toevoegen) opnieuw wilt toevoegen, voegt u de Microsoft Store-app toe aan de app-opslagplaats van uw privé-organisatie. Implementeer vervolgens de app op apparaten met behulp van Intune. Met de Microsoft Store-app blijven apps bijgewerkt. Zie Toegang tot privéstore beheren voor meer informatie over het configureren van toegang tot de Microsoft Store-app.
De app-opslagplaats van uw privé-organisatie kan de Intune-bedrijfsportal app of website zijn.
Met Intune kunt u op Windows 10/11 Enterprise- en Education-apparaten voorkomen dat eindgebruikers Microsoft Store-apps installeren buiten de privé-app-opslagplaats van uw organisatie.
Gebruik de volgende stappen om deze externe apps te voorkomen:
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Apparaten>Op platform>Windows>Apparaten> beherenConfiguratie>Nieuw beleid maken>.
Selecteer Windows 10 en hoger voor platform en selecteer Instellingencatalogus voor profieltype. Selecteer Maken.
Voer in Basisinformatie een naam in voor uw profiel.
Selecteer in Configuratie-instellingende optie Instellingen toevoegen. Voer vervolgens de volgende handelingen uit:
- Zoek in de instellingenkiezer naar
private store
. Selecteer in de zoekresultaten onder de categorie Microsoft App Store de optie Alleen privéwinkel vereisen. - Stel de instelling Alleen privéarchief vereisen in op Alleen privéarchief is ingeschakeld.
- Selecteer Volgende.
- Zoek in de instellingenkiezer naar
Wijs in Toewijzingen het profiel toe aan de groep die u hebt gemaakt in stap 1: een Microsoft Entra groep maken (in dit artikel).
In Beoordelen en maken controleert u uw profiel en selecteert u Maken.
Stap 4: apps implementeren
Met deze stap worden Microsoft Edge en Microsoft Teams geïmplementeerd. In deze stap kunt u andere essentiële apps implementeren. Vergeet niet dat u alleen implementeert wat gebruikers nodig hebben.
✅ 1 - Microsoft Edge implementeren
- Voeg Microsoft Edge toe aan Intune.
- Selecteer voor App-instellingen het Stabiele kanaal.
- Wijs de Microsoft Edge-app toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel).
✅ 2- Microsoft Teams implementeren
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Apps>Windows.
Selecteer Toevoegen om een nieuwe app te maken.
Voor Microsoft 365-apps selecteert u Windows 10 en later>Selecteren.
Voer bij Suitenaam een naam in of gebruik de voorgestelde naam. Selecteer Volgende.
Voor App-suite configureren selecteert u alleen Teams.
Als u andere Microsoft 365-apps wilt implementeren, selecteert u deze in deze lijst. Vergeet niet dat u alleen implementeert wat gebruikers nodig hebben.
Tip
U hoeft OneDrive niet te kiezen. OneDrive is ingebouwd in Windows 10/11 Pro, Enterprise en Education.
Configureer de volgende instellingen voor informatie over app-suites:
Instelling Waarde Architectuur 64-bits
Cloudconfiguratie werkt ook met 32-bits. Microsoft raadt aan 64-bits te kiezen.Kanaal bijwerken Huidig kanaal Andere versies verwijderen Ja Te installeren versie Laatst Configureer voor Eigenschappen de volgende instellingen:
Instelling Waarde Activering van gedeelde computers gebruiken Ja De licentievoorwaarden voor Microsoft-software namens gebruikers accepteren Ja Selecteer Volgende.
Wijs de suite toe aan de groep die u hebt gemaakt in stap 1: een Microsoft Entra groep maken (in dit artikel).
Stap 5: eindpuntbeveiligingsinstellingen implementeren
Met deze stap configureert u instellingen voor eindpuntbeveiliging om apparaten veilig te houden, inclusief de ingebouwde Windows-beveiligingsbasislijn en BitLocker-instellingen.
✅1 - Implementeer de WINDOWS 10/11 MDM-beveiligingsbasislijn
Voor Windows in cloudconfiguratie wordt het aanbevolen om de beveiligingsbasislijn Windows 10/11 te gebruiken. Er zijn enkele instellingswaarden die u kunt wijzigen op basis van de voorkeur van uw organisatie.
Configureer de beveiligingsbasislijn in Intune:
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Eindpuntbeveiliging>Beveiligingsbasislijnen>Beveiligingsbasislijn voor Windows 10 en hoger.
Selecteer Profiel maken om een nieuwe beveiligingsbasislijn te maken.
Voer een naam in voor uw beveiligingsbasislijn en selecteer Volgende.
Accepteer de standaardconfiguratie-instellingen. U kunt ook de volgende instellingen wijzigen op basis van de behoeften van uw organisatie:
Categorie instellen Instelling Reden voor wijzigen Browser Wachtwoordbeheer blokkeren Als u eindgebruikers wilt toestaan wachtwoordbeheerders te gebruiken, schakelt u deze instelling uit. Hulp op afstand Hulp op afstand aangevraagd Met deze instelling kan uw ondersteuningsmedewerkers op afstand verbinding maken met apparaten. Microsoft raadt aan deze instelling uit te schakelen, tenzij dit vereist is. Firewall Alle firewallinstellingen Als u bepaalde verbindingen met apparaten wilt toestaan op basis van de behoeften van uw organisatie, wijzigt u de standaardfirewallinstellingen. Selecteer Volgende.
Selecteer in Toewijzingen de groep die u hebt gemaakt in stap 1: een Microsoft Entra groep maken (in dit artikel).
Selecteer Maken om de basislijn te maken en toe te wijzen.
✅ 2 - Meer BitLocker-instellingen implementeren met een eindpuntbeveiligingsprofiel voor stationsversleuteling
Er zijn meer BitLocker-instellingen waarmee u uw apparaten veilig kunt houden. Configureer deze BitLocker-instellingen in Intune:
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Eindpuntbeveiliging>Schijfversleuteling>Beleid maken.
Selecteer bij PlatformWindows 10 en hoger.
Selecteer Voor Profiel de optie BitLocker>Maken.
Voer in Basisinformatie een naam in voor uw profiel.
Selecteer in Configuratie-instellingen de volgende instellingen:
Categorie instellen Instelling Waarde BitLocker : basisinstellingen Volledige schijfversleuteling inschakelen voor besturingssysteem en vaste gegevensstations Ja BitLocker : instellingen voor vast station BitLocker-beleid voor vaste stations Configureren Schrijftoegang blokkeren tot vaste gegevensstations die niet worden beveiligd door BitLocker Ja Versleutelingsmethode configureren voor vaste gegevensstations AES 128-bits XTS BitLocker : instellingen voor het besturingssysteemstation BitLocker-beleid voor systeemstations Configureren Opstartverificatie vereist Ja Compatibele TPM-opstart Toegestaan Compatibele TPM-opstartpincode Toegestaan Compatibele TPM-opstartsleutel Vereist Compatibele TPM-opstartsleutel en -pincode Toegestaan BitLocker uitschakelen op apparaten waarop TPM niet compatibel is Ja Versleutelingsmethode configureren voor besturingssysteemstations AES 128-bits XTS BitLocker : instellingen voor verwisselbaar station BitLocker-beleid voor verwisselbare stations Configureren Versleutelingsmethode configureren voor verwisselbare gegevensstations AES 128-bits CBC Schrijftoegang blokkeren tot verwisselbare gegevensstations die niet worden beveiligd met BitLocker Ja Wijs in Toewijzingen het profiel toe aan de groep die u hebt gemaakt in stap 1: een Microsoft Entra groep maken (in dit artikel).
Selecteer Maken om het profiel te maken en toe te wijzen.
Stap 6: Windows Update-instellingen configureren
In deze stap wordt een Windows Update Ring gebruikt om apparaten automatisch bijgewerkt te houden. De instellingen in deze handleiding komen overeen met de aanbevolen instellingen in de Windows Update-basislijn.
Configureer de updatering in Intune:
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Apparaten>Updates>beheren Windows 10 en latere updates>Tabblad Bijwerkringen>Profiel maken.
Voer in Basisinformatie een naam in voor de updatering.
Configureer in Ringinstellingen bijwerken de volgende waarden en selecteer Volgende:
Instelling Waarde Servicekanaal Semi-annual-kanaal Microsoft-productupdates Toestaan Windows-stuurprogramma's Toestaan Uitstelperiode voor kwaliteitsupdates (dagen) 0 Uitstelperiode voor onderdelenupdates (dagen) 0 Verwijderperiode voor onderdelenupdates instellen 10 Gedrag van automatische updates Standaardinstelling opnieuw instellen Controles opnieuw starten Toestaan Optie om Windows-updates te onderbreken Inschakelen Optie om te controleren op Windows-updates Inschakelen Goedkeuring van de gebruiker vereisen om de melding voor opnieuw opstarten te sluiten Nee Gebruiker herinneren vóór de vereiste automatische herstart met toegestane herinnering (uren) Laat deze instelling niet geconfigureerd Gebruiker herinneren voordat automatisch opnieuw opstarten is vereist met permanente herinnering (minuten) Laat deze instelling niet geconfigureerd Updateniveau voor meldingen wijzigen De standaard Windows Update meldingen gebruiken Deadline-instellingen gebruiken Toestaan Deadline voor functie-updates 7 Deadline voor kwaliteitsupdates 2 Respijtperiode 2 Automatisch opnieuw opstarten vóór deadline Ja Wijs de ring Bijwerken toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel).
Stap 7: Een Windows-nalevingsbeleid implementeren
Configureer een nalevingsbeleid om de naleving en status van apparaten te bewaken. Het beleid rapporteert over niet-naleving en staat gebruikers nog steeds toe om apparaten te gebruiken. U kunt kiezen hoe u niet-naleving met andere acties wilt aanpakken op basis van de processen van uw organisatie.
Maak het nalevingsbeleid in Intune:
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Apparaten>Naleving>Beleid maken.
Selecteer bij PlatformWindows 10 en later>Maken.
Voer in Basisinformatie een naam in voor het nalevingsbeleid. Selecteer Volgende.
Configureer in Nalevingsinstellingen de volgende waarden en selecteer Volgende:
Categorie instellen Instelling Waarde Apparaatstatus BitLocker vereisen Vereisen Vereisen dat Beveiligd opstarten is ingeschakeld op het apparaat Vereisen Code-integriteit vereisen Vereisen Systeembeveiliging Firewall Vereisen Antivirus Vereisen Antispyware Vereisen Een wachtwoord vereisen om mobiele apparaten te ontgrendelen Vereisen Eenvoudige wachtwoorden Blokkeren Wachtwoordtype Alfanumeriek Minimale wachtwoordlengte 8 Maximum aantal minuten van inactiviteit voordat een wachtwoord is vereist 1 minuut Wachtwoord verlopen (dagen) 41 Aantal vorige wachtwoorden om hergebruik te voorkomen 5 Defender Microsoft Defender Antimalware Vereisen Microsoft Defender antimalwarebeveiligingsinformatie up-to-date Vereisen Realtime-beveiliging Vereisen In Acties voor niet-naleving configureert u Planning (dagen na niet-naleving) tot
1
dag voor de actie Niet-compatibele apparaten markeren. U kunt een andere respijtperiode configureren op basis van de voorkeuren van uw organisatie.Als u beleid voor voorwaardelijke toegang in uw organisatie gebruikt, wordt het aanbevolen om een respijtperiode te configureren. Respijtperioden voorkomen dat niet-compatibele apparaten onmiddellijk de toegang tot organisatieresources verliezen.
U kunt een actie toevoegen om gebruikers per e-mail te informeren over niet-naleving met stappen om naleving te krijgen.
Wijs het nalevingsbeleid toe aan de groep die u hebt gemaakt in stap 1: een Microsoft Entra groep maken (in dit artikel).
Stap 8: optionele configuraties
Er zijn optionele beleidsregels die u kunt maken en implementeren met uw cloudconfiguratie. In deze sectie worden deze optionele beleidsregels beschreven.
✅ Een tenantdomeinnaam configureren
Configureer apparaten om automatisch de domeinnaam van uw tenant te gebruiken voor gebruikersaanmelding. Wanneer u een domeinnaam toevoegt, hoeven gebruikers hun volledige UPN niet te typen om zich aan te melden.
Voeg de tenantdomeinnaam toe in Intune:
- Meld je aan bij het Microsoft Intune-beheercentrum.
- Selecteer Apparaten>Op platform>Windows>Apparaten> beherenConfiguratie>Nieuw beleid maken>.
- Selecteer voor platform Windows 10 en hoger.
- Selecteer bij Profieltype de optie Sjablonen>Apparaatbeperkingen>maken.
- Voer een naam in voor het profiel en selecteer Volgende.
- Configureer in Configuratie-instellingen voor Wachtwoord het voorkeursdomein Microsoft Entra tenant. Voer de Microsoft Entra domeinnaam in die gebruikers moeten gebruiken om zich aan te melden bij apparaten.
- Wijs het profiel toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel).
✅ Andere essentiële lob-apps (productiviteit en line-of-business) implementeren
Mogelijk hebt u een aantal essentiële LOB-apps die alle apparaten nodig hebben. Kies een minimaal aantal van deze apps dat u wilt implementeren. Als u apps levert met behulp van een virtualisatieoplossing, implementeert u ook de virtualisatieclient-app op apparaten.
Er gelden geen beperkingen voor het aantal of de grootte van andere apps die kunnen worden geïmplementeerd met de apps die zijn toegevoegd aan uw cloudconfiguratie. Microsoft raadt echter aan om deze andere apps tot een minimum te beperken op basis van wat gebruikers nodig hebben voor hun rollen. Wijs deze essentiële apps toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel).
Mogelijk hebt u specifieke LOB-apps nodig op sommige van uw apparaten. Of er zijn mogelijk apps met complexe verpakkings- of procedurevereisten. Voor deze scenario's kunt u overwegen deze apps uit uw cloudconfiguratie-implementatie te verplaatsen. Of bewaar de apparaten die deze apps nodig hebben in uw bestaande Windows-beheermodel.
Cloudconfiguratie wordt aanbevolen voor apparaten die slechts enkele belangrijke apps nodig hebben, samen met samenwerking en browsen.
✅ Resources implementeren die gebruikers nodig hebben voor organisatietoegang
Configureer essentiële resources die gebruikers mogelijk nodig hebben, wat afhankelijk is van de processen van uw organisatie. Essentiële resources kunnen certificaten, printers, VPN-verbindingen en Wi-Fi-profielen zijn.
Wijs in Intune deze resources toe aan de groep die u hebt gemaakt in stap 1: een Microsoft Entra groep maken (in dit artikel).
✅ Aanbevolen instellingen configureren voor het verplaatsen van bekende mappen in OneDrive
Er zijn meer instellingen die de gebruikerservaring verbeteren voor het verplaatsen van bekende mappen in OneDrive. De instellingen zijn niet vereist voor het verplaatsen van bekende mappen naar werk, maar zijn wel nuttig.
Ga voor meer informatie over deze instellingen naar OneDrive-instellingen aanbevolen voor Het verplaatsen van bekende mappen.
✅ Aanbevolen Microsoft Edge-instellingen configureren
Er zijn enkele Microsoft Edge-app-instellingen die kunnen worden geconfigureerd voor een betere gebruikerservaring. U kunt deze instellingen configureren op basis van vereisten of voorkeuren voor de eindgebruikerservaring.
Gebruik Intune om deze aanbevolen instellingen te configureren:
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Apparaten>Op platform>Windows>Apparaten> beherenConfiguratie>Nieuw beleid maken>.
Selecteer Windows 10 en hoger voor platform en Sjablonen voor profieltype.
Selecteer Beheersjablonen en selecteer Maken.
Voer een naam in voor het profiel en selecteer Volgende.
Zoek in Configuratie-instellingen naar de volgende instellingen en configureer deze op de aanbevolen waarden:
Categorie instellen Instelling Waarde(s) Internet Explorer-integratie configureren Ingeschakeld, Internet Explorer-modus SmartScreen-instellingen Microsoft Defender SmartScreen configureren Ingeschakeld SmartScreen-controles Microsoft Defender afdwingen bij downloads van vertrouwde bronnen Ingeschakeld Microsoft Defender SmartScreen configureren om mogelijk ongewenste apps te blokkeren Ingeschakeld Opmerking
De SmartScreen-instellingen worden ook afgedwongen door Microsoft Defender. Wanneer u de SmartScreen-instellingen configureert via de Microsoft Edge-app, dwingt Microsoft Edge de instellingen rechtstreeks af.
Wijs het profiel toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel).
De status van cloudconfiguratie bewaken
Wanneer u cloudconfiguratie toepast op uw apparaten, kunt u Intune gebruiken om de status van apps en apparaatconfiguraties te bewaken.
Scriptstatus
U kunt de installatiestatus van uw geïmplementeerde scripts controleren:
- Ga in het Microsoft Intune-beheercentrum naar Apparaten>per platform>Windows-scripts>en herstelbewerkingenPlatformscripts>.
- Selecteer het script dat u hebt geïmplementeerd.
- Selecteer apparaatstatus op de pagina met scriptdetails. De details van de installatie van het script worden weergegeven.
App-installaties
U kunt de installatiestatus van uw geïmplementeerde apps controleren:
- Ga in het Microsoft Intune-beheercentrum naar Apps>Windows>Windows-apps.
- Selecteer een app die u hebt geïmplementeerd, zoals de Microsoft 365 App Suite.
- Selecteer Apparaatinstallatiestatus of Gebruikersinstallatiestatus. De installatiedetails van de app worden weergegeven.
Ga naar Problemen met de installatie van Intune apps oplossen voor informatie over het oplossen van problemen met apps op afzonderlijke apparaten.
Beveiligingsbasislijn
U kunt de installatiestatus van uw geïmplementeerde beveiligingsbasislijn controleren. Ga voor meer informatie naar Beveiligingsbasislijnen en -profielen bewaken in Intune.
Schijfversleutelingsprofiel
In Stap 5- Eindpuntbeveiligingsinstellingen implementeren (in dit artikel) hebt u mogelijk BitLocker-instellingen geconfigureerd en geïmplementeerd.
U kunt de status van dit BitLocker-profiel controleren:
- Ga in het Microsoft Intune-beheercentrum naar Eindpuntbeveiliging>Schijfversleuteling.
- Selecteer het schijfversleutelingsprofiel dat u hebt geïmplementeerd in de cloudconfiguratie.
- Selecteer Apparaatinstallatiestatus of Gebruikersinstallatiestatus. De profieldetails worden weergegeven.
Windows Update-instellingen
U kunt de status van het Windows Update ringbeleid controleren:
- Ga in het Microsoft Intune-beheercentrum naar het tabblad Apparaten>Updates>beheren Windows 10 en latere updates>Updateringen.
- Selecteer de updatering die u hebt geïmplementeerd als onderdeel van de cloudconfiguratie.
- Selecteer Apparaatstatus, Gebruikersstatus of Updatestatus eindgebruiker. De details van de updateringsinstellingen worden weergegeven.
Ga naar Rapporten voor update-ringen voor Windows 10 en hoger voor meer informatie over rapportage voor Windows Update-ringen.
Nalevingsbeleid
U kunt de status van het nalevingsbeleid controleren:
- Ga in het Microsoft Intune-beheercentrum naarNaleving vanapparaten>.
- Selecteer het nalevingsbeleid dat u hebt geïmplementeerd als onderdeel van de cloudconfiguratie.
De weergave apparaatnalevingsbewaking bevat gedetailleerde informatie over de toewijzingsstatus en toewijzingsfouten van uw nalevingsbeleid. Het heeft ook weergaven om snel niet-compatibele apparaten te vinden en actie te ondernemen.
Ga naar Resultaten van uw Intune Nalevingsbeleid voor apparaten bewaken voor meer gedetailleerde informatie over het bewaken van nalevingsbeleid in Intune.