Delen via


Implementatiehandleiding: Android-apparaten beheren in Microsoft Intune

Intune ondersteunt mobile device management (MDM) van Android-apparaten om personen veilige toegang te geven tot zakelijke e-mail, gegevens en apps. Deze handleiding bevat Android-specifieke resources om u te helpen bij het instellen van inschrijving in Intune en het implementeren van apps en beleid voor gebruikers en apparaten.

Vereisten

Voordat u begint, moet u deze vereisten voltooien om Android-apparaatbeheer in Intune in te schakelen. Zie de intune-implementatiehandleiding voor meer gedetailleerde informatie over het instellen, onboarden of overstappen naar Intune.

Zie RBAC met Microsoft Intune voor meer informatie over Microsoft Intune-rollen en -machtigingen. De rollen Globale beheerder van Microsoft Entra en Intune-beheerder hebben volledige rechten in Microsoft Intune. De globale beheerder heeft meer machtigingen dan nodig is voor veel apparaatbeheertaken in Microsoft Intune. We raden u aan de minst bevoegde rol te gebruiken die nodig is om taken te voltooien. De rol met de minste bevoegdheden waarmee apparaatinschrijvingstaken kunnen worden voltooid, is bijvoorbeeld Beleids- en profielbeheer, een ingebouwde Intune-rol.

Uw implementatie plannen

Gebruik de Planningshandleiding voor Microsoft Intune voor hulp bij het plannen, ontwerpen en implementeren van Microsoft Intune in uw organisatie. De handleiding biedt informatie om u te helpen:

  • Bepaal doelen, use-case-scenario's en vereisten.
  • Implementatie- en communicatieplannen maken.
  • Ondersteunings-, test- en validatieplannen maken.

Belangrijk

Microsoft Intune beëindigt de ondersteuning voor Beheer van Android-apparaten op apparaten met toegang tot Google Mobile Services (GMS) op 31 december 2024. Na die datum zijn apparaatinschrijving, technische ondersteuning, bugfixes en beveiligingspatches niet meer beschikbaar. Als u momenteel apparaatbeheerdersbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie in Intune voordat de ondersteuning afloopt. Zie Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.

Nalevingsregels maken

Gebruik nalevingsbeleid om de regels en voorwaarden te definiëren waaraan gebruikers en apparaten moeten voldoen om toegang te krijgen tot de beveiligde resources van uw organisatie. U kunt ook beleid voor voorwaardelijke toegang maken, dat samen met de nalevingsresultaten van uw apparaat de toegang tot resources vanaf niet-compatibele apparaten blokkeert. Zie Nalevingsbeleid gebruiken om regels in te stellen voor apparaten die u beheert met Intune voor een gedetailleerde uitleg over nalevingsbeleid en hoe u aan de slag gaat.

De volgende taken zijn van toepassing op zowel Android Enterprise- als Android-apparaatbeheerplatforms.

Taak Details
Een nalevingsbeleid maken Krijg stapsgewijze instructies voor het maken en toewijzen van een nalevingsbeleid aan gebruikers- en apparaatgroepen.
Acties voor niet-naleving toevoegen Kies wat er gebeurt wanneer apparaten niet meer voldoen aan de voorwaarden van uw nalevingsbeleid. U kunt acties voor niet-naleving toevoegen wanneer u een nalevingsbeleid voor apparaten configureert, of later door het beleid te bewerken.
Maak een beleid voor voorwaardelijke toegang op basis van apparaten of apps . Geef de app of services op die u wilt beveiligen en definieer de voorwaarden voor toegang.
Toegang blokkeren tot apps die geen moderne verificatie gebruiken Maak een op apps gebaseerd beleid voor voorwaardelijke toegang om apps te blokkeren die gebruikmaken van andere verificatiemethoden dan OAuth2. U kunt bijvoorbeeld apps blokkeren die gebruikmaken van basis- en formulierverificatie. Voordat u toegang blokkeert, meldt u zich aan bij Microsoft Entra ID en bekijkt u het activiteitenrapport verificatiemethoden om te zien of gebruikers basisverificatie gebruiken om toegang te krijgen tot essentiële zaken (zoals agendakiosken voor vergaderruimten) die u bent vergeten of waarvan u niet op de hoogte bent.

Eindpuntbeveiliging configureren

Gebruik de intune-eindpuntbeveiligingsfuncties om apparaatbeveiliging te configureren en beveiligingstaken te beheren voor apparaten die risico lopen.

De volgende taken zijn van toepassing op zowel Android Enterprise- als Android-apparaatbeheerplatforms.

Taak Details
Apparaten beheren met eindpuntbeveiligingsfuncties Gebruik de instellingen voor eindpuntbeveiliging in Intune om de beveiliging van apparaten effectief te beheren en problemen voor apparaten op te lossen.
De MTD-connector (Mobile Threat Defense) inschakelen voor ingeschreven apparaten Schakel de MTD-verbinding in Intune in, zodat MTD-partner-apps kunnen werken met Intune en uw MTD-apparaatnalevingsbeleid. Als u Microsoft Defender voor Eindpunt niet gebruikt, kunt u overwegen om de connector in te schakelen, zodat u een andere mobile threat defense-oplossing kunt gebruiken. U kunt de MTD-connector ook inschakelen voor apparaten die niet zijn ingeschreven bij Intune.
Beveiligingsbeleid voor MTD-apps maken Maak een Intune-beleid voor app-beveiliging dat risico's beoordeelt en de toegang van een apparaat tot werk- of school-apps beperkt.
Nalevingsbeleid voor MTD-apparaten maken Maak een Intune-beleid voor app-beveiliging dat risico's beoordeelt en de zakelijke toegang van een apparaat beperkt op basis van het bedreigingsniveau.
MTD-apps toevoegen en toewijzen MTD-apps toevoegen en implementeren in Intune. Deze apps werken met het nalevings- en app-beveiligingsbeleid voor uw apparaat om apparaatbedreigingen te identificeren en te verhelpen. U kunt ook MTD-apps toewijzen aan apparaten die niet zijn ingeschreven bij Intune.

Apparaatinstellingen configureren

Gebruik Microsoft Intune om instellingen en functies op apparaten in of uit te schakelen. Als u deze instellingen wilt configureren en afdwingen, maakt u een apparaatprofiel en wijst u het profiel vervolgens toe aan groepen in uw organisatie. Apparaten ontvangen het profiel zodra ze zijn ingeschreven.

Taak Details Platform
Een apparaatprofiel maken in Microsoft Intune Meer informatie over de verschillende typen apparaatprofielen die u voor uw organisatie kunt maken. Android Enterprise, Android-apparaatbeheerder
Wi-Fi profiel configureren Met dit profiel kunnen personen het Wi-Fi netwerk van uw organisatie vinden en er verbinding mee maken. Zie voor een beschrijving van de instellingen in dit gebied de Wi-Fi instellingen voor Android Enterprise Wi-Fi-instellingen of Instellingen voor Android-apparaatbeheerder Wi-Fi. Android Enterprise, Android-apparaatbeheerder
VPN-profiel configureren Stel een beveiligde VPN-optie in, zoals Microsoft Tunnel, voor personen die verbinding maken met het netwerk van uw organisatie. Zie de naslaginformatie over VPN-instellingen voor Android Enterprise VPN-instellingen of VPN-instellingen voor Android-apparaatbeheerder voor een beschrijving van de instellingen in dit gebied. Android Enterprise, Android-apparaatbeheerder
E-mailprofiel configureren Configureer e-mailinstellingen zodat personen verbinding kunnen maken met een e-mailserver en toegang hebben tot hun werk- of school-e-mail. Zie e-mailinstellingen voor Android Enterprise of E-mailinstellingen voor Android-apparaatbeheerder voor een beschrijving van de instellingen in dit gebied. Android Enterprise, Android-apparaatbeheerder
Apparaatfuncties beperken Beveilig gebruikers tegen onbevoegde toegang en afleiding door de apparaatfuncties te beperken die ze op het werk of op school kunnen gebruiken. Zie Android Enterprise-apparaatinstellingen of Apparaatinstellingen voor Android-apparaatbeheerder voor een beschrijving van de instellingen in dit gebied. Android Enterprise, Android-apparaatbeheerder
Aangepaste instellingen configureren voor Android-apparaatbeheerder Aangepaste instellingen toevoegen of maken die niet zijn ingebouwd in Intune, zoals een VPN-profiel per app en webbeveiliging met Microsoft Defender voor Eindpunt. Android apparaatbeheerder
Samsung Knox-apps configureren Maak een aangepast profiel om apps voor Samsung Knox Standard-apparaten toe te staan en te blokkeren. Android apparaatbeheerder
Aangepast profiel maken voor Android Enterprise Aangepaste instellingen toevoegen of maken die niet zijn ingebouwd in Intune voor apparaten in persoonlijk eigendom. Android Enterprise
Mx-profiel (Zebra Mobility Extensions) configureren Gebruik de Mx-profielen (Mobility Extensions) van Zebra om meer Zebra-specifieke instellingen in Intune aan te passen of toe te voegen. Android apparaatbeheerder
OEMConfig-configuratieprofiel maken Gebruik OEMConfig om OEM-specifieke instellingen voor Android Enterprise-apparaten toe te voegen, te maken en aan te passen. Android Enterprise
Huisstijl en inschrijvingservaring aanpassen Pas de Intune-bedrijfsportal- en Microsoft Intune-apps aan met de huisstijl van uw organisatie om een vertrouwde ervaring te creëren voor mensen die hun apparaten inschrijven. Android Enterprise, Android-apparaatbeheerder

Veilige verificatiemethoden instellen

Stel verificatiemethoden in Intune in om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot uw interne resources. Intune ondersteunt meervoudige verificatie, SCEP- en PKCS-certificaten en afgeleide referenties. Certificaten kunnen ook worden gebruikt voor het ondertekenen en versleutelen van e-mail met behulp van S/MIME.

Taak Details Platform
Meervoudige verificatie (MFA) vereisen Vereisen dat personen twee vormen van referenties opgeven op het moment van inschrijving. Android Enterprise
Een vertrouwd certificaatprofiel maken Maak en implementeer een vertrouwd certificaatprofiel voordat u een SCEP-, PKCS- of GEÏMPORTEERD PKCS-certificaatprofiel maakt. Het vertrouwde certificaatprofiel implementeert het vertrouwde basiscertificaat op apparaten met behulp van SCEP-, PKCS- en PKCS-geïmporteerde certificaten. Android Enterprise, Android-apparaatbeheerder
SCEP-certificaten gebruiken met Intune Ontdek wat er nodig is om SCEP-certificaten te gebruiken met Intune en de vereiste infrastructuur te configureren. Nadat u dit hebt uitgevoerd, kunt u een SCEP-certificaatprofiel maken of een externe certificeringsinstantie instellen met SCEP. Android Enterprise
PKCS-certificaten gebruiken met Intune Configureer de vereiste infrastructuur (zoals on-premises certificaatconnectors), exporteer een PKCS-certificaat en voeg het certificaat toe aan een Intune-apparaatconfiguratieprofiel. Android Enterprise, Android-apparaatbeheerder
Geïmporteerde PKCS-certificaten gebruiken met Intune Geïmporteerde PKCS-certificaten instellen, waarmee u S/MIME kunt instellen en gebruiken om e-mail te versleutelen. Android Enterprise, Android-apparaatbeheerder
Een verlener van afgeleide referenties instellen Richt Android-apparaten in met certificaten die zijn afgeleid van smartcards van gebruikers. Android Enterprise

Apps implementeren

Denk bij het instellen van apps en app-beleid na over de vereisten van uw organisatie, zoals de platformen die u ondersteunt, de taken die mensen moeten uitvoeren, het type apps dat ze nodig hebben om deze taken te voltooien en de groepen die deze apps nodig hebben. U kunt Intune gebruiken om het hele apparaat (inclusief apps) te beheren of Intune gebruiken om alleen apps te beheren.

Taak Details Platform
Google Play Store-apps toevoegen Android-apps toevoegen uit de Google Play Store. Android apparaatbeheerder
Beheerde Google Play-apps toevoegen Voeg Store-apps, LOB-apps (Line-Of-Business) en web-apps toe via de beheerde Google Play Store. Android Enterprise
Android Enterprise-systeem-apps toevoegen Gebruik Intune om Android Enterprise-systeem-apps in en uit te schakelen. Android Enterprise
Web-apps toevoegen Web-apps toevoegen aan Intune en toewijzen aan groepen. Android apparaatbeheerder
Ingebouwde apps toevoegen Ingebouwde apps toevoegen aan Intune en toewijzen aan groepen. Android apparaatbeheerder
Line-Of-Business-apps toevoegen Voeg Lob-apps (Line-Of-Business) van Android toe aan Intune en wijs deze toe aan groepen. Android apparaatbeheerder
Apps toewijzen aan groepen Apps toewijzen aan gebruikers en apparaten. Android Enterprise, Android-apparaatbeheerder
App-toewijzingen opnemen en uitsluiten De toegang en beschikbaarheid van een app beheren door geselecteerde groepen op te geven en uit te sluiten van toewijzing. Android Enterprise, Android-apparaatbeheerder
Beveiligingsbeleid voor Android-apps maken Houd de gegevens van uw organisatie in beheerde apps zoals Outlook en Word. Zie Beveiligingsbeleidsinstellingen voor Android-apps voor meer informatie over elke instelling. Android Enterprise, Android-apparaatbeheerder
Uw app-beveiligingsbeleid valideren Controleer of uw app-beveiligingsbeleid correct is ingesteld en werkt voordat u het in de hele organisatie implementeert. Android Enterprise, Android-apparaatbeheerder
Beleid voor app-beheer maken Pas aangepaste configuratie-instellingen toe op Android-apps op ingeschreven apparaten. U kunt deze typen beleidsregels ook toepassen op beheerde apps, zonder apparaatinschrijving. Android Enterprise, Android-apparaatbeheerder
Microsoft Edge configureren Gebruik Intune-beleid voor app-beveiliging en -configuratie met Microsoft Edge voor Android om ervoor te zorgen dat bedrijfswebsites toegankelijk zijn met beveiligingsmaatregelen. Android Enterprise, Android-apparaatbeheerder
Google Chrome configureren Gebruik een Intune-app-configuratiebeleid om Google Chrome te configureren op Android-apparaten die zijn ingeschreven bij Intune. Android Enterprise
Microsoft Managed Home Screen-app configureren Managed Home Screen instellen op toegewezen Android Enterprise-apparaten in bedrijfseigendom die zijn ingeschreven via Intune en worden uitgevoerd in de kioskmodus voor meerdere apps. Android Enterprise
Microsoft Launcher-app configureren Configureer Microsoft Launcher om de ervaring met het startscherm aan te passen op de volledig beheerde apparaten van uw organisatie. Android Enterprise
Microsoft Office-apps configureren Gebruik Intune-beleid voor app-beveiliging en -configuratie met Office-apps om ervoor te zorgen dat zakelijke bestanden toegankelijk zijn met beveiligingsmaatregelen. Android Enterprise
Microsoft Teams configureren Gebruik Intune-beleid voor app-beveiliging en -configuratie met Teams om ervoor te zorgen dat samenwerkingsteamervaringen toegankelijk zijn met beveiligingsmaatregelen. Android Enterprise
Microsoft Outlook configureren Gebruik Intune-beveiligings- en configuratiebeleid voor apps met Outlook om ervoor te zorgen dat zakelijke e-mail en agenda's toegankelijk zijn met beveiligingsmaatregelen. Android Enterprise

Apparaten registreren

Als u apparaten registreert, kunnen ze het beleid ontvangen dat u maakt, dus zorg ervoor dat uw Microsoft Entra-gebruikersgroepen en -apparaatgroepen gereed zijn.

Intune ondersteunt de volgende inschrijvingsmethoden voor Android-apparaten:

  • Bring-your-own-device (BYOD): Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel
  • Toegewezen Android Enterprise-apparaten in bedrijfseigendom
  • Volledig beheerd android enterprise-eigendom van het bedrijf
  • Android Enterprise-werkprofiel in bedrijfseigendom
  • Android apparaatbeheerder

Zie de handleiding voor android-apparaatinschrijving voor Microsoft Intune voor informatie over elke inschrijvingsmethode en hoe u een methode kunt kiezen die geschikt is voor uw organisatie.

Taak Details Platform
Intune-account verbinden met een beheerd Google Play-account Als u Android Enterprise-beheer in Intune wilt inschakelen, koppelt u uw Intune-tenantaccount aan uw beheerde Google Play-account. Android Enterprise
Inschrijving van werkprofielen instellen voor apparaten in persoonlijk eigendom Werkprofielbeheer instellen voor apparaten in persoonlijk eigendom. Met deze inschrijvingsmethode maakt u een afzonderlijk gebied op het apparaat voor werkgerelateerde gegevens, zodat persoonlijke zaken niet worden beïnvloed. Android Enterprise
Inschrijving van werkprofielen instellen voor apparaten in bedrijfseigendom Beheer van werkprofielen instellen voor apparaten in bedrijfseigendom die zijn bedoeld voor werk en persoonlijk gebruik. Met deze inschrijvingsmethode maakt u een afzonderlijk gebied op het apparaat voor werkgerelateerde gegevens, zodat persoonlijke zaken niet worden beïnvloed. Android Enterprise
Inschrijving instellen voor toegewezen apparaten Inschrijving instellen voor apparaten in kioskstijl in bedrijfseigendom voor eenmalig gebruik. Android Enterprise
Inschrijving instellen voor volledig beheerde apparaten Inschrijving instellen voor apparaten in bedrijfseigendom die zijn gekoppeld aan één gebruiker en uitsluitend voor werk worden gebruikt. Android Enterprise
Toegewezen, volledig beheerde of bedrijfseigen apparaten met een werkprofiel inschrijven Nadat u Intune hebt ingesteld voor Android Enterprise-inschrijving, kunt u apparaten inschrijven met behulp van een van de vijf ondersteunde inschrijvingsmethoden. Android Enterprise
Registratie van apparaatbeheerder instellen Inschrijving van Android-apparaatbeheerder instellen. Deze methode voor het beheren van apparaten is vervangen door Android Enterprise, dus we raden u af om nieuwe apparaten op deze manier in te schrijven. Android apparaatbeheerder
Samsung Knox Mobile Enrollment gebruiken om Android-apparaten automatisch in te schrijven Intune instellen voor Samsung Knox Mobile Enrollment (KME), waarmee u automatisch grote aantallen Android-apparaten in bedrijfseigendom kunt inschrijven. Android Enterprise, Android-apparaatbeheerder
Apparaten identificeren als bedrijfseigendom Wijs de status van bedrijfseigendom toe aan apparaten om meer beheer- en identificatiemogelijkheden in Intune mogelijk te maken. De status bedrijfseigendom kan niet worden toegewezen aan apparaten die zijn ingeschreven via Apple Business Manager. Android Enterprise, Android-apparaatbeheerder
Eigendom van apparaat wijzigen Nadat een apparaat is ingeschreven, kunt u het eigendomslabel in Intune wijzigen in bedrijfseigendom of persoonlijk eigendom. Deze aanpassing wijzigt de manier waarop u het apparaat kunt beheren. Android Enterprise, Android-apparaatbeheerder
Inschrijvingsproblemen oplossen Problemen oplossen en oplossen die optreden tijdens de inschrijving. Android Enterprise, Android-apparaatbeheerder

Externe acties uitvoeren

Nadat apparaten zijn ingesteld, kunt u externe acties in Intune gebruiken om apparaten op afstand te beheren en problemen op te lossen. De beschikbaarheid verschilt per apparaatplatform. Als een actie ontbreekt of is uitgeschakeld in de portal, wordt deze niet ondersteund op het apparaat.

Taak Details
Externe acties uitvoeren in Intune Meer informatie over het inzoomen en extern beheren en oplossen van problemen met afzonderlijke apparaten in Intune. Dit artikel bevat alle externe acties die beschikbaar zijn in Intune en koppelingen naar deze procedures.
Beveiligingsproblemen oplossen die zijn geïdentificeerd door Microsoft Defender voor Eindpunt Integreer Intune met Microsoft Defender voor Eindpunt om te profiteren van het bedreigings- en beveiligingsbeheer van Defender en gebruik Intune om eindpuntproblemen op te lossen die zijn geïdentificeerd door de functie voor beheer van beveiligingsproblemen van Defender.
Bedrijfsgegevens wissen uit door Intune beheerde apps Verwijder selectief werkgerelateerde gegevens van een apparaat.

Volgende stappen

Bekijk deze zelfstudies voor inschrijving voor meer informatie over het uitvoeren van enkele van de belangrijkste taken in Intune. Zelfstudies bestaan uit inhoud van 100 tot 200 niveaus voor personen die nieuw zijn bij Intune of een specifiek scenario.

Zie Implementatiehandleiding: iOS-/iPadOS-apparaten beheren in Microsoft Intune voor de iOS-/iPadOS-versie van deze handleiding.