Share via

stapsgewijze installatiehandleiding voor Windows 10/11 in cloudconfiguratie

  • Artikel

Windows 10/11 in cloudconfiguratie (cloudconfiguratie) is een apparaatconfiguratie voor Windows-clientapparaten. Het is ontworpen om de ervaring van eindgebruikers te vereenvoudigen. Voor meer informatie over wat cloudconfiguratie is, inclusief de minimale vereisten, gaat u naar Overzicht van begeleide scenario's voor Windows-cloudconfiguratie.

Met cloudconfiguratie gebruikt u Microsoft Intune-beleid om een Windows-clientapparaat om te zetten in een apparaat dat is geoptimaliseerd voor de cloud. Windows 10/11 in cloudconfiguratie:

  • Optimaliseert apparaten voor de cloud door ze te configureren voor registratie bij Intune-beheer met Microsoft Entra. Gebruikersgegevens worden automatisch opgeslagen in OneDrive met Bekende map verplaatsen geconfigureerd.

  • Installeert Microsoft Teams en Microsoft Edge op apparaten.

  • Hiermee configureert u eindgebruikers als standaardgebruikers op apparaten, waardoor IT meer controle heeft over de apps die op apparaten zijn geïnstalleerd.

  • Hiermee verwijdert u ingebouwde apps en de Microsoft Store-app, waardoor de ervaring van de eindgebruiker wordt vereenvoudigd.

  • Hiermee past u instellingen voor eindpuntbeveiliging en nalevingsbeleid toe. Deze beleidsregels helpen apparaten veilig te houden en de IT-service te helpen bij het bewaken van de apparaatstatus.

  • Zorgt ervoor dat apparaten automatisch worden bijgewerkt via Windows Update voor Bedrijven.

  • Optioneel kunt u ook het volgende doen:

    • Voeg andere Microsoft 365-apps toe, zoals Outlook, Word, Excel, PowerPoint.
    • Voeg essentiële LOB-apps (Line-Of-Business) toe die eindgebruikers nodig hebben om succesvol te zijn. Microsoft raadt aan deze apps tot een minimum te beperken om de configuratie eenvoudig te houden.
    • Voeg essentiële resources toe, zoals Wi-Fi-profielen, VPN-verbindingen, certificaten en printerstuurprogramma's die nodig zijn voor gebruikerswerkstromen.

Tip

Ga naar Windows 10/11 in cloudconfiguratie voor een overzicht van Windows 10/11 in cloudconfiguratie en het gebruik ervan.

Er zijn twee manieren om cloudconfiguratie te implementeren:

  • Optie 1: automatisch: gebruik het begeleide scenario om automatisch alle groepen en beleidsregels te maken met de geconfigureerde waarden. Ga voor meer informatie over deze optie naar Overzicht van begeleide scenario's voor Windows-cloudconfiguratie.
  • Optie 2: handmatig (dit artikel): gebruik de stappen in dit artikel om zelf cloudconfiguratie te implementeren.

Deze handleiding helpt u bij het maken van uw eigen cloudconfiguratie-implementatie. In de volgende secties wordt beschreven hoe u Microsoft Intune gebruikt om cloudconfiguratie in te stellen:

  1. Een Microsoft Entra groep maken
  2. Apparaatinschrijving configureren
  3. Een script implementeren om bekende mapverplaatsing te configureren en ingebouwde apps te verwijderen
  4. Apps implementeren
  5. Eindpuntbeveiligingsinstellingen implementeren
  6. Windows Update-instellingen configureren
  7. Een Windows-nalevingsbeleid implementeren
  8. Optionele configuraties

Stap 1: een Microsoft Entra groep maken

De eerste stap is het maken van een Microsoft Entra beveiligingsgroep die de configuraties ontvangt die u implementeert.

Deze toegewezen groep helpt u bij het organiseren van apparaten en het beheren van uw cloudconfiguratieresources in Intune. Microsoft raadt u aan alleen de configuraties in deze handleiding te implementeren. Voeg vervolgens, indien nodig, meer essentiële apps en andere apparaatconfiguraties toe.

Gebruik de volgende stappen om de groep te maken:

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Groepen>Alle groepen>Nieuwe groep.

  3. Bij Groepstype selecteert u Beveiliging.

  4. Voer een groepsnaam in, zoals Cloud config PCs.

  5. Bij Lidmaatschapstype selecteert u Toegewezen.

  6. Als u wilt, kunt u nu apparaten toevoegen aan uw nieuwe groep. Selecteer Geen leden geselecteerd en voeg leden toe aan uw groep.

    U kunt ook beginnen met een lege groep en later apparaten toevoegen.

  7. Selecteer Maken.

Tip

Wanneer de groep is gemaakt, kunt u vooraf geregistreerde Windows Autopilot-apparaten toevoegen aan deze groep.

Bestaande apparaten

Als u bestaande apparaten hebt geregistreerd bij Intune die u wilt gebruiken met cloudconfiguratie, is het raadzaam om met deze apparaten te beginnen. Specifiek:

  • Verwijder bestaande apps en profielen die op deze apparaten zijn geïmplementeerd.
  • Stel deze apparaten opnieuw in.
  • Schrijf het apparaat opnieuw in bij Intune en implementeer uw cloudconfiguratie.

Deze extra stappen worden aanbevolen voor bestaande apparaten, omdat ze een gestroomlijnde gebruikerservaring bieden. Vervolgens kunt u andere essentiële apps toevoegen en ervoor zorgen dat apparaten alleen beschikken over wat gebruikers nodig hebben.

Stap 2: apparaatinschrijving configureren

In deze stap schakelt u automatische MDM-inschrijving in Intune in en configureert u hoe apparaten worden ingeschreven bij Intune.

Als u Windows Autopilot al gebruikt, slaat u deze stap over en gaat u naar Stap 3 - Een script implementeren om bekende mappen verplaatsen te configureren en ingebouwde apps te verwijderen (in dit artikel).

✔️ 1 - Automatische inschrijving inschakelen

Schakel automatische inschrijving in voor de organisatiegebruikers die u cloudconfiguratie wilt gebruiken. Automatische inschrijving is vereist voor cloudconfiguratie. Ga naar Inschrijvingshandleiding - Automatische inschrijving van Windows voor meer informatie over automatische inschrijving.

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apparaten>Windows>Windows-inschrijving>Automatische inschrijving.

  3. Selecteer onder MDM-gebruikersbereik een van de volgende opties:

    • Selecteer Alles om de cloudconfiguratie toe te passen op alle Windows-apparaten die gebruikers in uw organisatie gebruiken. In de meeste scenario's voor cloudconfiguratie is Alles geselecteerd.
    • Selecteer Sommige om de cloudconfiguratie toe te passen op apparaten die worden gebruikt door een subset van gebruikers in uw organisatie. Als u uw cloudconfiguratie in een gefaseerde benadering wilt toepassen, is Sommige misschien een goede keuze.

  4. Configureer het MAM-gebruikersbereik, de MAM-voorwaarden van de gebruikers-URL, de MDM-detectie-URL en de MAM-nalevings-URL niet. Laat deze instellingen leeg. MAM-instellingen zijn niet geconfigureerd voor cloudconfiguratie.

  5. Selecteer Opslaan om de wijzigingen op te slaan.

✔️ 2 - Kiezen hoe apparaten gebruikers registreren en configureren als standaardgebruikers op apparaten

Nadat automatische inschrijving van Windows is ingeschakeld in Intune, is de volgende stap om te bepalen hoe apparaten worden ingeschreven bij Intune. Wanneer ze zich inschrijven, zijn ze beschikbaar voor het ontvangen van uw cloudconfiguratiebeleid. U moet gebruikers ook configureren als standaardgebruikers op hun apparaten. Standaardgebruikers kunnen alleen apps installeren die uw organisatie goedkeurt.

Voor inschrijving hebt u drie opties. Selecteer één inschrijvingsoptie.

  • Windows Autopilot gebruiken (aanbevolen)
  • Bulksgewijs inschrijven met behulp van een inrichtingspakket
  • Gebruik de Microsoft Entra ID in de out-of-box experience (OOBE)

Deze sectie bevat meer informatie over deze inschrijvingsopties en het configureren van gebruikers als standaardgebruikers op hun apparaten.

Het wordt aanbevolen om Windows Autopilot-inschrijving en de inschrijvingsstatuspagina (ESP) te gebruiken. Deze inschrijvingsmethode en de ESP bieden een consistente eindgebruikerservaring.

  • U registreert de apparaten vooraf bij de Windows Autopilot-implementatieservice. Met Windows Autopilot configureren beheerders hoe apparaten worden opgestart en geregistreerd voor apparaatbeheer.
  • Het Intune Windows Autopilot-beleid configureert de out-of-box experience (OOBE). In de OOBE selecteert u gebruikers als standaardgebruikers.
  • Het Intune Windows Autopilot-beleid configureert de inschrijvingsstatuspagina (ESP). De ESP toont de voortgang van de configuratie. Gebruikers blijven op de ESP totdat alle cloudconfiguratie-instellingen zijn toegepast op het apparaat.

Voer de volgende stappen uit om Windows Autopilot user-driven enrollment in te stellen:

  1. Apparaten toevoegen aan Windows Autopilot.

    Registreer uw apparaten in Windows Autopilot met behulp van de stappen in Stap 3- Apparaten registreren bij Windows Autopilot (hiermee opent u een Windows Autopilot-artikel).

    Opmerking

    Het artikel Stap 3- Apparaten registreren bij Windows Autopilot Windows Autopilot maakt deel uit van een reeks stappen. Voor deze cloudconfiguratie volgt u alleen Stap 3- Apparaten registreren bij Windows Autopilot om uw apparaten te registreren. Volg niet de andere stappen in de reeks. De andere stappen in die Windows Autopilot-serie zijn voor een ander Windows Autopilot-scenario.

    U kunt apparaten ook handmatig registreren voor het gebruik van Windows Autopilot. Het handmatig registreren van apparaten wordt vaak gebruikt om bestaande hardware te hergebruiken die niet eerder was ingesteld met Windows Autopilot.

  2. Een Windows Autopilot-implementatieprofiel maken en toewijzen in Intune.

    1. Meld u aan bij het Microsoft Intune-beheercentrum.

    2. Selecteer Apparaten>Windows>Windows-inschrijving>Windows Autopilot DeploymentProgramma-implementatieprofielen>.

    3. Selecteer Profiel maken>Windows-pc. Voer een naam in voor het profiel.

    4. Selecteer Ja voor de instelling Alle doelapparaten converteren naar Autopilot. Selecteer Volgende.

      U kunt cloudconfiguratie toepassen op apparaten die zijn ingeschreven met andere inschrijvingsmethoden dan Windows Autopilot. Wanneer u deze apparaten (niet-Windows Autopilot-apparaten) toevoegt aan uw groep, worden de apparaten geconverteerd naar Windows Autopilot. De volgende keer dat de apparaten opnieuw worden ingesteld en de Windows Out-of-Box Experience (OOBE) doorlopen, worden ze ingeschreven via Windows Autopilot.

    5. Voer op het tabblad Out-of-Box Experience (OOBE) de volgende waarden in en selecteer volgende:

      Instelling Waarde
      Implementatiemodus Op basis van de gebruiker
      Deelnemen aan Microsoft Entra ID als Microsoft Entra toegevoegd
      Licentievoorwaarden voor Microsoft-software Verbergen
      Privacy-instellingen Verbergen
      Opties voor wijzigen van account verbergen Verbergen
      Type gebruikersaccount Standard
      Vooraf ingerichte implementatie toestaan Neen
      Taal (regio) Standaardbesturingssysteem
      Toetsenbord automatisch configureren Ja
      Sjabloon apparaatnaam toepassen Optionele. U kunt een apparaatnaamsjabloon toepassen. Gebruik een naamvoorvoegsel waarmee u uw cloudconfiguratieapparaten kunt identificeren, zoals Cloud-%SERIAL%.'

    6. Wijs het profiel toe aan de groep die u hebt gemaakt in stap 1: een Microsoft Entra groep maken (in dit artikel) en selecteer volgende.

    7. Controleer het nieuwe profiel en selecteer vervolgens Maken.

  3. Een pagina Voor de status van de inschrijving maken en toewijzen in Intune.

    1. Meld u aan bij het Microsoft Intune-beheercentrum.

    2. Selecteer Apparaten>Windows>Windows-inschrijving>Algemene>pagina Status van inschrijving.

    3. Selecteer Maken en voer een naam in voor de pagina Status van inschrijving.

    4. Voer op het tabblad Instellingen de volgende waarden in en selecteer volgende:

      Instelling Waarde
      Configuratieproces voor apps en profielen weergeven Ja
      Een fout weergeven wanneer de installatie langer duurt dan het opgegeven aantal minuten 60
      Aangepast bericht weergeven wanneer een tijdslimietfout optreedt Ja: u kunt ook het standaardbericht wijzigen.
      Gebruikers toestaan logboeken over installatiefouten te verzamelen Ja
      Apparaatgebruiker blokkeren totdat alle apps en profielen zijn geïnstalleerd Ja
      Gebruikers toestaan om het apparaat opnieuw in te stellen als er een installatiefout optreedt Ja
      Gebruikers toestaan een apparaat te gebruiken als er een installatiefout optreedt Neen
      Apparaatgebruiker blokkeren totdat deze vereiste apps zijn geïnstalleerd als ze zijn toegewezen aan de gebruiker/het apparaat Alles

      Opmerking

      Als er een installatiefout optreedt, is het raadzaam om te voorkomen dat gebruikers het apparaat gebruiken. Gebruikers blokkeren zorgt ervoor dat ze het apparaat pas kunnen gebruiken nadat de cloudconfiguratie volledig is toegepast.

      Als er een installatiefout optreedt op basis van uw implementatiebehoeften, kunt u toestaan dat de gebruiker het apparaat gebruikt. Als u het gebruik van het apparaat wel toestaat en het apparaat wordt ingecheckt bij Intune, blijft Intune proberen de configuraties toe te passen.

    5. Wijs in Toewijzingen de pagina Status van de inschrijving toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel).

      Selecteer Volgende.

    6. Selecteer Maken om de pagina Status van inschrijving te maken en toe te wijzen.

Inschrijvingsoptie 2: Bulksgewijs inschrijven met behulp van een inrichtingspakket

U kunt apparaten inschrijven met behulp van een inrichtingspakket dat is gemaakt met Windows Configuration Designer of de Schoolpc's installeren-app.

Ga voor meer informatie over bulkinschrijving naar Bulkinschrijving voor Windows-apparaten.

Met bulkinschrijving:

  • Nadat de apparaten zijn ingeschreven bij Intune, voegt u ze toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel). Wanneer ze aan de groep worden toegevoegd, ontvangen ze uw cloudconfiguratie.
  • Alle gebruikers zijn automatisch standaardgebruikers op het apparaat.
  • Er is geen registratiestatuspagina. Gebruikers kunnen de voortgang niet bekijken omdat alle cloudconfiguratie-instellingen van toepassing zijn. Gebruikers kunnen het apparaat gaan gebruiken voordat de cloudconfiguratie volledig is toegepast.
  • Voordat u apparaten naar gebruikers distribueert, raadt Microsoft u aan te controleren of de instellingen en apps zich op de apparaten bevinden.

Inschrijvingsoptie 3: Inschrijven met behulp van Microsoft Entra ID in de out-of-box experience (OOBE)

Als automatische mdm-inschrijving is ingeschakeld in Intune, melden gebruikers zich tijdens de OOBE aan met hun Microsoft Entra-account. Wanneer ze zich aanmelden, wordt de inschrijving automatisch gestart.

Met deze inschrijvingsoptie kunt u het volgende doen:

  1. Configureer een Microsoft Intune aangepast profiel om lokale beheerders op apparaten te beperken. De Beleids-CSP bevat een XML-voorbeeld van beleidsdefinities die u kunt gebruiken in uw aangepaste profiel.

    Tip

    In dit aangepaste profiel is er een andere instelling waarmee een groep wordt toegevoegd die lokale beheerders op het apparaat kan zijn. Deze lokale beheerdersgroep mag alleen IT-beheerders in uw omgeving bevatten.

  2. Wijs het aangepaste profiel toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel).

Stap 3: Configureer bekende oneDrive-mappen Verplaats en implementeer een script om ingebouwde apps te verwijderen

Wanneer u OneDrive Known Folder Move configureert, worden gebruikersbestanden en -gegevens automatisch opgeslagen in OneDrive. Wanneer u ingebouwde Windows-apps en de Microsoft Store verwijdert, worden het Startmenu en de apparaatervaring vereenvoudigd.

Deze stap helpt de Gebruikerservaring van Windows te vereenvoudigen.

✔️ 1 - Het verplaatsen van bekende mappen in OneDrive configureren met een beheersjabloon

Met Bekende map verplaatsen worden gebruikersgegevens (bestanden en mappen) opgeslagen in OneDrive. Wanneer gebruikers zich aanmelden bij een ander apparaat, worden de gegevens automatisch gesynchroniseerd met het nieuwe apparaat. Gebruikers hoeven hun bestanden niet handmatig te verplaatsen.

Opmerking

Vanwege een synchronisatieprobleem met de configuratie voor het verplaatsen van bekende mappen in OneDrive en SharedPC, raadt Microsoft het gebruik van Windows in cloudconfiguratie niet aan met een apparaat waarop meerdere gebruikers zich aanmelden en zich afmelden.

Gebruik een ADMX-sjabloon in Intune om De verplaatsing van bekende mappen te configureren:

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apparaten>Windows-configuratieprofielen>>Nieuw beleidmaken>.

  3. Selecteer Windows 10 en hoger voor platform en selecteer Sjablonen voor profieltype.

  4. Selecteer Beheersjablonen en selecteer Maken.

  5. Voer een naam in voor het profiel en selecteer Volgende.

  6. Zoek in Configuratie-instellingen naar de instellingen in de volgende tabel en selecteer de aanbevolen waarden:

    Naam instellen Waarde
    Verplaats bekende Windows-mappen op de achtergrond naar de tenant-id waarvoor OneDrive is ingeschakeld Voer de tenant-id van uw organisatie in.

    Uw tenant-id wordt weergegeven op Microsoft Entra-beheercentrum >pagina>Eigenschappen tenant-id.
    Melding weergeven aan gebruikers nadat mappen zijn omgeleid Ja. U kunt er ook voor kiezen om de melding te verbergen.
    Gebruikers op de achtergrond aanmelden bij de OneDrive-synchronisatie-app met hun Windows-referenties Ingeschakeld
    Voorkomen dat gebruikers hun bekende Windows-mappen verplaatsen naar OneDrive Ingeschakeld
    Voorkomen dat gebruikers hun bekende Windows-mappen omleiden naar hun pc Ingeschakeld
    OneDrive-bestanden op aanvraag gebruiken Ingeschakeld

  7. Wijs het profiel toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel).

✔️ 2 - Een script implementeren om ingebouwde apps te verwijderen

Microsoft heeft een Windows PowerShell script gemaakt dat:

  • Hiermee verwijdert u ingebouwde apps van apparaten.
  • Hiermee verwijdert u de Microsoft Store-app van apparaten.

Het script wordt geïmplementeerd op apparaten met behulp van In Intune. Voer de volgende stappen uit om het script toe te voegen en te implementeren:

  1. Download het script voor het verwijderen van cloudconfiguratievenster PowerShell-app. Met dit script verwijdert u de Microsoft Store-app en de ingebouwde apps.

    Opmerking

    Als u de Microsoft Store-app op apparaten wilt behouden, kunt u het script gebruiken waarmee ingebouwde apps worden verwijderd, maar in plaats daarvan de Microsoft Store behouden blijft. Als u dit script wilt gebruiken, downloadt u het in plaats daarvan en volgt u dezelfde stappen. Met dit script wordt geprobeerd ingebouwde apps te verwijderen, maar mogelijk worden niet alle apps verwijderd. Mogelijk moet u het script wijzigen om alle ingebouwde apps op uw apparaten te verwijderen.

  2. Meld u aan bij het Microsoft Intune-beheercentrum.

  3. Selecteer Apparaten>Windows>Scripts en herstel platformscripts>>Toevoegen.

  4. Voer in Basisinformatie een naam in voor uw scriptbeleid en selecteer Volgende.

  5. Upload in Scriptinstellingen het script dat u hebt gedownload. Laat de andere instellingen ongewijzigd en selecteer Volgende.

  6. Wijs het script toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel).

Microsoft Store-app

Als u de Microsoft Store-app eerder hebt verwijderd, kunt u deze opnieuw implementeren met behulp van Microsoft Intune. Als u de Microsoft Store-app (of andere apps die u opnieuw wilt toevoegen) opnieuw wilt toevoegen, voegt u de Microsoft Store-app toe aan de app-opslagplaats van uw privé-organisatie. Implementeer vervolgens de app op apparaten met behulp van Intune. Met de Microsoft Store-app blijven apps bijgewerkt.

De app-opslagplaats van uw privé-organisatie kan het volgende zijn:

Met Intune kunt u op Windows 10/11 Enterprise- en Education-apparaten voorkomen dat eindgebruikers Microsoft Store-apps installeren buiten de privé-app-opslagplaats van uw organisatie.

Gebruik de volgende stappen om deze externe apps te voorkomen:

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apparaten>Windows-configuratieprofielen>>Nieuw beleidmaken>.

  3. Selecteer Windows 10 en hoger voor platform en selecteer Instellingencatalogus voor profieltype. Selecteer Maken.

  4. Voer in Basisinformatie een naam in voor uw profiel.

  5. Selecteer in Configuratie-instellingende optie Instellingen toevoegen. Voer vervolgens de volgende handelingen uit:

    1. Zoek in de instellingenkiezer naar private store. Selecteer in de zoekresultaten onder de categorie Microsoft App Store de optie Alleen privéwinkel vereisen.
    2. Stel de instelling Alleen privéarchief vereisen in op Alleen privéarchief is ingeschakeld.
    3. Selecteer Volgende.

  6. Wijs in Toewijzingen het profiel toe aan de groep die u hebt gemaakt in stap 1: een Microsoft Entra groep maken (in dit artikel).

  7. In Beoordelen en maken controleert u uw profiel en selecteert u Maken.

Stap 4: apps implementeren

Met deze stap worden Microsoft Edge en Microsoft Teams geïmplementeerd. In deze stap kunt u andere essentiële apps implementeren. Vergeet niet dat u alleen implementeert wat gebruikers nodig hebben.

✔️ 1 - Microsoft Edge implementeren

  1. Voeg Microsoft Edge toe aan Intune.
  2. Selecteer voor App-instellingen het Stabiele kanaal.
  3. Wijs de Microsoft Edge-app toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel).

✔️ 2- Microsoft Teams implementeren

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apps>Windows.

  3. Selecteer Toevoegen om een nieuwe app te maken.

  4. Voor Microsoft 365-apps selecteert u Windows 10 en later>Selecteren.

  5. Voer bij Suitenaam een naam in of gebruik de voorgestelde naam. Selecteer Volgende.

  6. Voor App-suite configureren selecteert u alleen Teams.

    Als u andere Microsoft 365-apps wilt implementeren, selecteert u deze in deze lijst. Vergeet niet dat u alleen implementeert wat gebruikers nodig hebben.

    Tip

    U hoeft OneDrive niet te kiezen. OneDrive is ingebouwd in Windows 10/11 Pro, Enterprise en Education.

  7. Configureer de volgende instellingen voor informatie over app-suites:

    Instelling Waarde
    Architectuur 64-bits

    Cloudconfiguratie werkt ook met 32-bits. Microsoft raadt aan 64-bits te kiezen.
    Kanaal bijwerken Huidig kanaal
    Andere versies verwijderen Ja
    Te installeren versie Laatste

  8. Configureer voor Eigenschappen de volgende instellingen:

    Instelling Waarde
    Activering van gedeelde computers gebruiken Ja
    De licentievoorwaarden voor Microsoft-software namens gebruikers accepteren Ja

  9. Selecteer Volgende.

  10. Wijs de suite toe aan de groep die u hebt gemaakt in stap 1: een Microsoft Entra groep maken (in dit artikel).

Stap 5: eindpuntbeveiligingsinstellingen implementeren

Met deze stap configureert u instellingen voor eindpuntbeveiliging om apparaten veilig te houden, inclusief de ingebouwde Windows-beveiligingsbasislijn en BitLocker-instellingen.

✔️ 1 - Implementeer de Windows 10/11 MDM-beveiligingsbasislijn

Voor Windows in cloudconfiguratie wordt het aanbevolen om de beveiligingsbasislijn Windows 10/11 te gebruiken. Er zijn enkele instellingswaarden die u kunt wijzigen op basis van de voorkeur van uw organisatie.

Configureer de beveiligingsbasislijn in Intune:

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Eindpuntbeveiliging>Beveiligingsbasislijnen>Beveiligingsbasislijn voor Windows 10 en hoger.

  3. Selecteer Profiel maken om een nieuwe beveiligingsbasislijn te maken.

  4. Voer een naam in voor uw beveiligingsbasislijn en selecteer Volgende.

  5. Accepteer de standaardconfiguratie-instellingen. U kunt ook de volgende instellingen wijzigen op basis van de behoeften van uw organisatie:

    Categorie instellen Instelling Reden voor wijzigen
    Browser Wachtwoordbeheer blokkeren Als u eindgebruikers wilt toestaan wachtwoordbeheerders te gebruiken, schakelt u deze instelling uit.
    Hulp op afstand Hulp op afstand aangevraagd Met deze instelling kan uw ondersteuningsmedewerkers op afstand verbinding maken met apparaten. Microsoft raadt aan deze instelling uit te schakelen, tenzij dit vereist is.
    Firewall Alle firewallinstellingen Als u bepaalde verbindingen met apparaten wilt toestaan op basis van de behoeften van uw organisatie, wijzigt u de standaardfirewallinstellingen.

    Selecteer Volgende.

  6. Selecteer in Toewijzingen de groep die u hebt gemaakt in stap 1: een Microsoft Entra groep maken (in dit artikel).

  7. Selecteer Maken om de basislijn te maken en toe te wijzen.

✔️ 2 - Meer BitLocker-instellingen implementeren met een eindpuntbeveiligingsprofiel voor stationsversleuteling

Er zijn meer BitLocker-instellingen waarmee u uw apparaten veilig kunt houden. Configureer deze BitLocker-instellingen in Intune:

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Eindpuntbeveiliging>Schijfversleuteling>Beleid maken.

  3. Selecteer bij PlatformWindows 10 en hoger.

  4. Selecteer Voor Profiel de optie BitLocker>Maken.

  5. Voer in Basisinformatie een naam in voor uw profiel.

  6. Selecteer in Configuratie-instellingen de volgende instellingen:

    Categorie instellen Instelling Waarde
    BitLocker : basisinstellingen Volledige schijfversleuteling inschakelen voor besturingssysteem en vaste gegevensstations Ja
         
    BitLocker : instellingen voor vast station BitLocker-beleid voor vaste stations Configureren
      Schrijftoegang blokkeren tot vaste gegevensstations die niet worden beveiligd door BitLocker Ja
      Versleutelingsmethode configureren voor vaste gegevensstations AES 128-bits XTS
         
    BitLocker : instellingen voor het besturingssysteemstation BitLocker-beleid voor systeemstations Configureren
      Opstartverificatie vereist Ja
      Compatibele TPM-opstart Toegestaan
      Compatibele TPM-opstartpincode Toegestaan
      Compatibele TPM-opstartsleutel Vereist
      Compatibele TPM-opstartsleutel en -pincode Toegestaan
      BitLocker uitschakelen op apparaten waarop TPM niet compatibel is Ja
      Versleutelingsmethode configureren voor besturingssysteemstations AES 128-bits XTS
         
    BitLocker : instellingen voor verwisselbaar station BitLocker-beleid voor verwisselbare stations Configureren
      Versleutelingsmethode configureren voor verwisselbare gegevensstations AES 128-bits CBC
      Schrijftoegang blokkeren tot verwisselbare gegevensstations die niet worden beveiligd met BitLocker Ja

  7. Wijs in Toewijzingen het profiel toe aan de groep die u hebt gemaakt in stap 1: een Microsoft Entra groep maken (in dit artikel).

  8. Selecteer Maken om het profiel te maken en toe te wijzen.

Stap 6: Windows Update-instellingen configureren

In deze stap wordt een Windows Update Ring gebruikt om apparaten automatisch bijgewerkt te houden. De instellingen in deze handleiding komen overeen met de aanbevolen instellingen in de Windows Update-basislijn.

Configureer de updatering in Intune:

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apparaten>Windows 10 en nieuwere updates>Updateringen>Profiel maken.

  3. Voer in Basisinformatie een naam in voor de updatering.

  4. Configureer in Ringinstellingen bijwerken de volgende waarden en selecteer Volgende:

    Instelling Waarde
    Servicekanaal Semi-annual-kanaal
    Microsoft-productupdates Toestaan
    Windows-stuurprogramma's Toestaan
    Uitstelperiode voor kwaliteitsupdates (dagen) 0
    Uitstelperiode voor onderdelenupdates (dagen) 0
    Verwijderperiode voor onderdelenupdates instellen 10
    Gedrag van automatische updates Standaardinstelling opnieuw instellen
    Controles opnieuw starten Toestaan
    Optie om Windows-updates te onderbreken Inschakelen
    Optie om te controleren op Windows-updates Inschakelen
    Goedkeuring van de gebruiker vereisen om de melding voor opnieuw opstarten te sluiten Neen
    Gebruiker herinneren vóór de vereiste automatische herstart met toegestane herinnering (uren) Laat deze instelling niet geconfigureerd
    Gebruiker herinneren voordat automatisch opnieuw opstarten is vereist met permanente herinnering (minuten) Laat deze instelling niet geconfigureerd
    Updateniveau voor meldingen wijzigen De standaard Windows Update meldingen gebruiken
    Deadline-instellingen gebruiken Toestaan
    Deadline voor functie-updates 7
    Deadline voor kwaliteitsupdates 2
    Respijtperiode 2
    Automatisch opnieuw opstarten vóór deadline Ja

  5. Wijs de ring Bijwerken toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel).

Stap 7: Een Windows-nalevingsbeleid implementeren

Configureer een nalevingsbeleid om de naleving en status van apparaten te bewaken. Het beleid rapporteert over niet-naleving en staat gebruikers nog steeds toe om apparaten te gebruiken. U kunt kiezen hoe u niet-naleving met andere acties wilt aanpakken op basis van de processen van uw organisatie.

Maak het nalevingsbeleid in Intune:

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apparaten>Naleving>Beleid maken.

  3. Selecteer bij PlatformWindows 10 en later>Maken.

  4. Voer in Basisinformatie een naam in voor het nalevingsbeleid. Selecteer Volgende.

  5. Configureer in Nalevingsinstellingen de volgende waarden en selecteer Volgende:

    Categorie instellen Instelling Waarde
    Apparaatstatus BitLocker vereisen Vereisen
      Vereisen dat Beveiligd opstarten is ingeschakeld op het apparaat Vereisen
      Code-integriteit vereisen Vereisen
         
    Systeembeveiliging Firewall Vereisen
      Antivirus Vereisen
      Antispyware Vereisen
      Een wachtwoord vereisen om mobiele apparaten te ontgrendelen Vereisen
      Eenvoudige wachtwoorden Blokkeren
      Wachtwoordtype Alfanumerieke
      Minimale wachtwoordlengte 8
      Maximum aantal minuten van inactiviteit voordat wachtwoord is vereist 1 minuut
      Wachtwoord verlopen (dagen) 41
      Aantal eerdere wachtwoorden om hergebruik te voorkomen 5
         
    Defender Microsoft Defender Antimalware Vereisen
      Microsoft Defender antimalwarebeveiligingsinformatie up-to-date Vereisen
      Realtime-beveiliging Vereisen

  6. In Acties voor niet-naleving configureert u Planning (dagen na niet-naleving) tot 1 dag voor de actie Niet-compatibele apparaten markeren. U kunt een andere respijtperiode configureren op basis van de voorkeuren van uw organisatie.

    Als u beleid voor voorwaardelijke toegang in uw organisatie gebruikt, wordt het aanbevolen om een respijtperiode te configureren. Respijtperioden voorkomen dat niet-compatibele apparaten onmiddellijk de toegang tot organisatieresources verliezen.

  7. U kunt een actie toevoegen om gebruikers per e-mail te informeren over niet-naleving met stappen om naleving te krijgen.

  8. Wijs het nalevingsbeleid toe aan de groep die u hebt gemaakt in stap 1: een Microsoft Entra groep maken (in dit artikel).

Stap 8: optionele configuraties

Er zijn optionele beleidsregels die u kunt maken en implementeren met uw cloudconfiguratie. In deze sectie worden deze optionele beleidsregels beschreven.

✔️ Een tenantdomeinnaam configureren

Configureer apparaten om automatisch de domeinnaam van uw tenant te gebruiken voor gebruikersaanmelding. Wanneer u een domeinnaam toevoegt, hoeven gebruikers hun volledige UPN niet te typen om zich aan te melden.

Voeg de tenantdomeinnaam toe in Intune:

  1. Meld u aan bij het Microsoft Intune-beheercentrum.
  2. Selecteer Apparaten>Windows-configuratieprofielen>>Nieuw beleidmaken>.
  3. Selecteer voor platform Windows 10 en hoger.
  4. Selecteer bij Profieltype de optie Sjablonen>Apparaatbeperkingen>maken.
  5. Voer een naam in voor het profiel en selecteer Volgende.
  6. Configureer in Configuratie-instellingen voor Wachtwoord het voorkeursdomein Microsoft Entra tenant. Voer de Microsoft Entra domeinnaam in die gebruikers moeten gebruiken om zich aan te melden bij apparaten.
  7. Wijs het profiel toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel).

✔️ Andere essentiële lob-apps (productiviteit en line-of-business) implementeren

Mogelijk hebt u een aantal essentiële LOB-apps die alle apparaten nodig hebben. Kies een minimaal aantal van deze apps dat u wilt implementeren. Als u apps levert met behulp van een virtualisatieoplossing, implementeert u ook de virtualisatieclient-app op apparaten.

Er gelden geen beperkingen voor het aantal of de grootte van andere apps die kunnen worden geïmplementeerd met de apps die zijn toegevoegd aan uw cloudconfiguratie. Microsoft raadt echter aan om deze andere apps tot een minimum te beperken op basis van wat gebruikers nodig hebben voor hun rollen. Wijs deze essentiële apps toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel).

Mogelijk hebt u specifieke LOB-apps nodig op sommige van uw apparaten. Of er zijn mogelijk apps met complexe verpakkings- of procedurevereisten. Voor deze scenario's kunt u overwegen deze apps uit uw cloudconfiguratie-implementatie te verplaatsen. Of bewaar de apparaten die deze apps nodig hebben in uw bestaande Windows-beheermodel.

Cloudconfiguratie wordt aanbevolen voor apparaten die slechts enkele belangrijke apps nodig hebben, samen met samenwerking en browsen.

✔️ Resources implementeren die gebruikers nodig hebben voor organisatietoegang

Configureer essentiële resources die gebruikers mogelijk nodig hebben, wat afhankelijk is van de processen van uw organisatie. Essentiële resources kunnen certificaten, printers, VPN-verbindingen en Wi-Fi-profielen zijn.

Wijs in Intune deze resources toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel).

✔️ Aanbevolen instellingen configureren voor het verplaatsen van bekende mappen in OneDrive

Er zijn meer instellingen die de gebruikerservaring verbeteren voor het verplaatsen van bekende mappen in OneDrive. De instellingen zijn niet vereist voor het verplaatsen van bekende mappen naar werk, maar zijn wel nuttig.

Ga voor meer informatie over deze instellingen naar OneDrive-instellingen aanbevolen voor Het verplaatsen van bekende mappen.

✔️ Aanbevolen Microsoft Edge-instellingen configureren

Er zijn enkele Microsoft Edge-app-instellingen die kunnen worden geconfigureerd voor een betere gebruikerservaring. U kunt deze instellingen configureren op basis van vereisten of voorkeuren voor de eindgebruikerservaring.

Gebruik Intune om deze aanbevolen instellingen te configureren:

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer apparaten>Windows-configuratieprofielen>>Nieuw beleidmaken>.

  3. Selecteer Windows 10 en hoger voor platform en Sjablonen voor profieltype.

  4. Selecteer Beheersjablonen en selecteer Maken.

  5. Voer een naam in voor het profiel en selecteer Volgende.

  6. Zoek in Configuratie-instellingen naar de volgende instellingen en configureer deze op de aanbevolen waarden:

    Categorie instellen Instelling Waarde(n)
      Internet Explorer-integratie configureren Ingeschakeld, Internet Explorer-modus
       
    SmartScreen-instellingen Microsoft Defender SmartScreen configureren Ingeschakeld
      SmartScreen-controles Microsoft Defender afdwingen bij downloads van vertrouwde bronnen Ingeschakeld
      Microsoft Defender SmartScreen configureren om mogelijk ongewenste apps te blokkeren Ingeschakeld

    Opmerking

    De SmartScreen-instellingen worden ook afgedwongen door Microsoft Defender. Wanneer u de SmartScreen-instellingen configureert via de Microsoft Edge-app, dwingt Microsoft Edge de instellingen rechtstreeks af.

  7. Wijs het profiel toe aan de groep die u hebt gemaakt in Stap 1: een Microsoft Entra groep maken (in dit artikel).

De status van cloudconfiguratie bewaken

Wanneer u cloudconfiguratie toepast op uw apparaten, kunt u Intune gebruiken om de status van apps en apparaatconfiguraties te bewaken.

Scriptstatus

U kunt de installatiestatus van uw geïmplementeerde scripts controleren:

  1. Ga in het Microsoft Intune-beheercentrum naar Windows-scripts>en herstelplatformscripts>voor apparaten>.
  2. Selecteer het script dat u hebt geïmplementeerd.
  3. Selecteer apparaatstatus op de pagina met scriptdetails. De details van de installatie van het script worden weergegeven.

App-installaties

U kunt de installatiestatus van uw geïmplementeerde apps controleren:

  1. Ga in het Microsoft Intune-beheercentrum naar Apps>Windows>Windows-apps.
  2. Selecteer een app die u hebt geïmplementeerd, zoals de Microsoft 365 App Suite.
  3. Selecteer Apparaatinstallatiestatus of Gebruikersinstallatiestatus. De installatiedetails van de app worden weergegeven.

Ga naar Problemen met de installatie van Intune-apps oplossen voor informatie over het oplossen van problemen met apps op afzonderlijke apparaten.

Beveiligingsbasislijn

U kunt de installatiestatus van uw geïmplementeerde beveiligingsbasislijn controleren. Ga naar Beveiligingsbasislijnen en -profielen bewaken in Intune voor meer informatie.

Schijfversleutelingsprofiel

In Stap 5- Eindpuntbeveiligingsinstellingen implementeren (in dit artikel) hebt u mogelijk BitLocker-instellingen geconfigureerd en geïmplementeerd.

U kunt de status van dit BitLocker-profiel controleren:

  1. Ga in het Microsoft Intune-beheercentrum naar Eindpuntbeveiliging>Schijfversleuteling.
  2. Selecteer het schijfversleutelingsprofiel dat u hebt geïmplementeerd in de cloudconfiguratie.
  3. Selecteer Apparaatinstallatiestatus of Gebruikersinstallatiestatus. De profieldetails worden weergegeven.

Windows Update-instellingen

U kunt de status van het Windows Update ringbeleid controleren:

  1. Ga in het Microsoft Intune-beheercentrum naar Apparaten>Windows 10 en werkt update-ringen later bij>.
  2. Selecteer de updatering die u hebt geïmplementeerd als onderdeel van de cloudconfiguratie.
  3. Selecteer Apparaatstatus, Gebruikersstatus of Updatestatus eindgebruiker. De details van de updateringsinstellingen worden weergegeven.

Ga naar Rapporten voor update-ringen voor Windows 10 en hoger voor meer informatie over rapportage voor Windows Update-ringen.

Nalevingsbeleid

U kunt de status van het nalevingsbeleid controleren:

  1. Ga in het Microsoft Intune-beheercentrum naarNaleving vanapparaten>.
  2. Selecteer het nalevingsbeleid dat u hebt geïmplementeerd als onderdeel van de cloudconfiguratie.

De weergave apparaatnalevingsbewaking bevat gedetailleerde informatie over de toewijzingsstatus en toewijzingsfouten van uw nalevingsbeleid. Het heeft ook weergaven om snel niet-compatibele apparaten te vinden en actie te ondernemen.

Ga naar Resultaten van uw Intune-apparaatnalevingsbeleid bewaken voor meer gedetailleerde informatie over het bewaken van nalevingsbeleid in Intune.

Verwante onderwerpen