Inschrijvingshandleiding: Microsoft Intune inschrijving

Microsoft Intune maakt in combinatie met Azure Active Directory (Azure AD) een veilig, gestroomlijnd proces mogelijk voor het registreren en registreren van apparaten die toegang willen hebben tot uw interne resources. Zodra gebruikers en apparaten zijn geregistreerd binnen uw Azure AD (ook wel een tenant genoemd), kunt u Intune gebruiken voor de mogelijkheden voor eindpuntbeheer. Het proces waarmee apparaatbeheer voor een apparaat mogelijk wordt, wordt apparaatinschrijving genoemd.

Tijdens de inschrijving installeert Intune een MDM-certificaat op het registratieapparaat. Het MDM-certificaat communiceert met de Intune service en stelt Intune in staat om het beleid van uw organisatie af te dwingen, zoals:

  • Inschrijvingsbeleid waarmee het aantal of het type apparaten wordt beperkt dat iemand kan inschrijven.
  • Nalevingsbeleid waarmee gebruikers en apparaten aan uw regels kunnen voldoen.
  • Configuratieprofielen voor het configureren van functies en instellingen die geschikt zijn voor werk op apparaten.

Beleidsregels worden doorgaans geïmplementeerd tijdens de inschrijving. Sommige groepen, afhankelijk van hun rollen in uw organisatie, vereisen mogelijk strengere beleidsregels dan andere. Veel organisaties beginnen met het maken van een basislijn met vereiste beleidsregels voor gebruikers en apparaten en bouwen deze zo nodig uit voor verschillende groepen en use cases.

U kunt apparaten inschrijven die worden uitgevoerd op de volgende platforms. Zie Ondersteunde besturingssystemen voor een lijst met ondersteunde versies.

  • Android
  • iOS/iPadOS
  • Linux
  • macOS
  • Windows

Inschrijving is standaard ingeschakeld voor alle platforms, maar u kunt de inschrijving van specifieke platforms beperken met behulp van een Intune inschrijvingsbeperkingsbeleid.

In dit artikel worden de ondersteunde apparaatscenario's en vereisten voor inschrijving beschreven, vindt u informatie over het gebruik van andere MDM-providers en bevat koppelingen naar platformspecifieke inschrijvingsrichtlijnen.

Tip

Deze gids is een levend ding. Zorg er dus voor dat u bestaande tips en richtlijnen toevoegt of bijwerkt die u nuttig vindt.

Ondersteunde apparaatscenario's

Microsoft Intune maakt beheer van mobiele apparaten mogelijk voor:

  • Persoonlijke apparaten, waaronder telefoons, tablets en pc's in persoonlijk eigendom.
  • Apparaten in bedrijfseigendom, waaronder telefoons, tablets en pc's die eigendom zijn van uw organisatie en die worden gedistribueerd naar werknemers en studenten voor gebruik op het werk of op school.

Persoonlijke apparaten

Apparaten in BYOD-scenario's (Bring-Your-Own Device) kunnen worden ingeschreven in Intune. Met de ondersteunde inschrijvingsmethoden kunnen werknemers en leerlingen/studenten hun persoonlijke apparaten gebruiken voor werk- of schoolactiviteiten. Als beheerder moet u apparaatgebruikers toevoegen aan het Microsoft Intune-beheercentrum, hun inschrijvingservaring configureren en Intune beleid instellen. De inschrijving wordt geïnitieerd en voltooid door de apparaatgebruiker in de Intune-bedrijfsportal-app.

Opmerking

Intune markeert apparaten die Azure AD zijn geregistreerd als apparaten in persoonlijk eigendom.

Apparaten in bedrijfseigendom

Microsoft Intune biedt gedetailleerdere instellingen en beleidsregels voor apparaten die zijn geclassificeerd als bedrijfseigendom. Er zijn bijvoorbeeld meer wachtwoordbeleidsregels waaruit u kunt kiezen in Intune voor apparaten in bedrijfseigendom, zodat u strengere wachtwoordvereisten kunt afdwingen. Microsoft Intune markeert apparaten die voldoen aan bepaalde criteria automatisch als bedrijfseigendom. Zie Apparaten identificeren als bedrijfseigendom voor meer informatie.

Voorwaarden

  • Intune is ingesteld en klaar om gebruikers en apparaten in te schrijven. Zorg ervoor dat:

    Zie de implementatiehandleiding voor Intune instellen voor meer informatie.

  • Uw apparaten worden ondersteund. Deze vereiste omvat apparaten die worden gekoppeld aan co-beheer of hybride Azure Active Directory (Azure AD).

  • Meld u aan als lid van de rol globale beheerder of Intune servicebeheerder Azure AD. Op rollen gebaseerd toegangsbeheer (RBAC) met Intune meer informatie bevat. Als u een Intune proefabonnement hebt gemaakt, is het account waarmee het abonnement is gemaakt het Globale beheerder.

  • Verschillende platforms hebben mogelijk andere vereisten. Voor iOS-/iPadOS- en macOS-apparaten is bijvoorbeeld een MDM-pushcertificaat van Apple vereist. Alle andere platformvereisten worden vermeld.

    Platform Andere vereisten
    Android geen
    Android Enterprise geen
    iOS/iPadOS MDM-pushcertificaat
    Apple-id
    Linux geen
    macOS MDM-pushcertificaat
    Windows geen
  • Zorg ervoor dat uw gebruikersgroepen en apparaatgroepen klaar zijn om uw inschrijvingsbeleid te ontvangen. Als u de groepsstructuur nog niet hebt bekeken of gemaakt en hulp nodig hebt, raadpleegt u Planningshandleiding: Stap 4- Bestaande beleidsregels en infrastructuur controleren.

  • Als u apparaten bulksgewijs registreert, kunt u overwegen het DEM-account ( Device Enrollment Manager ) te maken. Met het DEM-account kunnen maximaal 1000 mobiele apparaten worden ingeschreven. Gebruik dit account om de apparaten in te schrijven en te configureren voordat u ze aan gebruikers geeft. Het DEM-account is een Intune-machtiging die wordt toegepast op een Azure AD-gebruikersaccount. Dit type account is niet compatibel met alle inschrijvingsmethoden, zoals automatische apparaatinschrijving van Apple.

    Zie Apparaten inschrijven met een DEM-account voor meer informatie.

De registratie van bestaande MDM- en fabrieksinstellingen ongedaan maken

Als apparaten momenteel zijn ingeschreven bij een andere MDM-provider, verwijdert u de registratie van de apparaten bij de bestaande MDM-provider. Als u de registratie ongedaan maakt, worden de bestaande functies en instellingen die u hebt geconfigureerd, meestal niet verwijderd. De meeste MDM-providers hebben externe acties waarmee organisatiespecifieke gegevens van apparaten worden verwijderd. Voordat u zich registreert bij Intune, kunt u organisatiespecifieke gegevens van deze apparaten verwijderen. Maar het is niet vereist.

Afhankelijk van het platform moet de fabrieksinstellingen mogelijk opnieuw worden ingesteld voordat u zich inschrijft bij Intune.


Platform Fabrieksinstellingen opnieuw instellen vereist?
Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel (BYOD) Neen
Android Enterprise-werkprofiel in bedrijfseigendom (COPE) Ja
Volledig beheerde Android Enterprise (COBO) Ja
Toegewezen Android Enterprise-apparaten (COSU) Ja
Android-apparaatbeheerder (DA) Neen
iOS/iPadOS Ja
Linux Neen
macOS Ja
Windows Neen

Op de platforms waarvoor geen fabrieksinstellingen hoeven te worden ingesteld, ontvangen ze uw Intune-beleid wanneer deze apparaten worden ingeschreven bij Intune. Als u een instelling niet configureert in Intune, wordt deze instelling niet gewijzigd of bijgewerkt door Intune. Het is dus mogelijk dat eerder geconfigureerde instellingen op apparaten blijven geconfigureerd.

Kies uw platforminschrijvingshandleiding

Er is een inschrijvingshandleiding voor elk platform. Kies uw scenario en ga aan de slag:

Download de handleiding voor visuele inschrijving

Er is ook een visuele handleiding met de verschillende inschrijvingsopties voor elk platform:

Een visuele weergave van Intune-inschrijvingsopties per platform
PDF-versie downloaden | Visio-versie downloaden

Testgroepen

Wanneer u uw profielen toewijst, begint u klein en gebruikt u een gefaseerde benadering. Wijs het inschrijvingsprofiel toe aan een test- of testgroep. Voeg na de eerste test meer gebruikers toe aan de testgroep. Wijs vervolgens het inschrijvingsprofiel toe aan meer testgroepen.

Zie de planningshandleiding: Stap 5 - Een implementatieplan maken voor meer informatie en suggesties.

Record opschonen van mobiele apparaten

Het MDM-certificaat wordt automatisch vernieuwd zolang ingeschreven apparaten communiceren met de Microsoft Intune-service. Het MDM-certificaat wordt niet vernieuwd voor apparaten die zijn gewist of apparaten die gedurende een langere periode niet kunnen worden gesynchroniseerd met Microsoft Intune. Microsoft Intune verwijdert niet-actieve apparaten uit de record 180 dagen nadat het MDM-certificaat is verlopen.

Rapportage en probleemoplossing

Volgende stappen

  1. Microsoft Intune instellen
  2. Apps toevoegen, configureren en beveiligen
  3. Nalevingsbeleid plannen
  4. Apparaatfuncties configureren
  5. ­čí║ Apparaten inschrijven (u bent hier)

Zie voor platformspecifieke richtlijnen voor inschrijving: