Delen via


Implementatiehandleiding: iOS-/iPadOS-apparaten beheren in Microsoft Intune

Intune ondersteunt MDM (Mobile Device Management) van iPads en iPhones om gebruikers veilige toegang te geven tot zakelijke e-mail, gegevens en apps. Deze handleiding bevat iOS-specifieke richtlijnen om u te helpen bij het instellen van inschrijving en het implementeren van apps en beleid voor gebruikers en apparaten.

Vereisten

Voordat u begint, moet u aan deze vereisten voltooien om iOS-/iPadOS-apparaatbeheer in Te schakelen in Intune. Zie de intune-implementatiehandleiding voor meer gedetailleerde informatie over het instellen, onboarden of overstappen naar Intune.

Zie RBAC met Microsoft Intune voor meer informatie over Microsoft Intune-rollen en -machtigingen. De rollen Globale beheerder van Microsoft Entra en Intune-beheerder hebben volledige rechten in Microsoft Intune. De globale beheerder heeft meer machtigingen dan nodig is voor veel apparaatbeheertaken in Microsoft Intune. We raden u aan de minst bevoegde rol te gebruiken die nodig is om taken te voltooien. De rol met de minste bevoegdheden waarmee apparaatinschrijvingstaken kunnen worden voltooid, is bijvoorbeeld Beleids- en profielbeheer, een ingebouwde Intune-rol.

Uw implementatie plannen

De Planningshandleiding voor Microsoft Intune biedt richtlijnen en advies om u te helpen bij het bepalen van doelen, use-case-scenario's en vereisten. Ook wordt beschreven hoe u plannen maakt voor implementatie, communicatie, ondersteuning, testen en validatie.

Nalevingsregels maken

Gebruik nalevingsbeleid om de regels en voorwaarden te definiëren waaraan gebruikers en apparaten moeten voldoen om toegang te krijgen tot uw beveiligde resources. Als u voorwaardelijke toegang gebruikt, kan uw beleid voor voorwaardelijke toegang de nalevingsresultaten van uw apparaat gebruiken om de toegang tot resources van niet-compatibele apparaten te blokkeren. Zie Nalevingsbeleid gebruiken om regels in te stellen voor apparaten die u beheert met Intune voor een gedetailleerde uitleg over nalevingsbeleid en hoe u aan de slag gaat.

Taak Details
Een nalevingsbeleid maken Krijg stapsgewijze instructies voor het maken en toewijzen van een nalevingsbeleid aan gebruikers- en apparaatgroepen.
Acties voor niet-naleving toevoegen Kies wat er gebeurt wanneer apparaten niet meer voldoen aan de voorwaarden van uw nalevingsbeleid. U kunt acties voor niet-naleving toevoegen wanneer u een nalevingsbeleid voor apparaten configureert, of later door het beleid te bewerken.
Een beleid voor voorwaardelijke toegang op basis van apparaten of apps maken Geef de app of services op die u wilt beveiligen en definieer de voorwaarden voor toegang.
Toegang blokkeren tot apps die geen moderne verificatie gebruiken Maak een op apps gebaseerd beleid voor voorwaardelijke toegang om apps te blokkeren die gebruikmaken van andere verificatiemethoden dan OAuth2; Bijvoorbeeld apps die gebruikmaken van basis- en formulierverificatie. Voordat u de toegang blokkeert, meldt u zich echter aan bij Microsoft Entra ID en bekijkt u het activiteitenrapport verificatiemethoden om te zien of gebruikers basisverificatie gebruiken om toegang te krijgen tot essentiële zaken die u bent vergeten of waarvan u niet op de hoogte bent. Zaken zoals kiosken voor vergaderzalen maken bijvoorbeeld gebruik van basisverificatie.

Eindpuntbeveiliging configureren

Gebruik de intune-eindpuntbeveiligingsfuncties om apparaatbeveiliging te configureren en beveiligingstaken te beheren voor apparaten die risico lopen.

Taak Details
Apparaten beheren met eindpuntbeveiligingsfuncties Gebruik de instellingen voor eindpuntbeveiliging in Intune om de beveiliging van apparaten effectief te beheren en problemen voor apparaten op te lossen.
Mtd-connector (Mobile Threat Defense) inschakelen voor niet-ingeschreven apparaten Schakel de MTD-verbinding in Intune in, zodat MTD-partner-apps kunnen werken met Intune en uw beleid. Als u Microsoft Defender voor Eindpunt niet gebruikt, kunt u overwegen om de connector in te schakelen, zodat u een andere mobile threat defense-oplossing kunt gebruiken.
Beveiligingsbeleid voor MTD-apps maken Maak een Intune-beleid voor app-beveiliging dat risico's beoordeelt en de zakelijke toegang van een apparaat beperkt op basis van het bedreigingsniveau.
MTD-apps toevoegen aan niet-ingeschreven apparaten Maak MTD-apps beschikbaar voor personen in uw organisatie en configureer Microsoft Authenticator voor iOS/iPadOS.
Voorwaardelijke toegang gebruiken om de toegang tot Microsoft Tunnel te beperken Gebruik beleid voor voorwaardelijke toegang om apparaattoegang tot uw Microsoft Tunnel VPN-gateway te gateen.

Apparaatinstellingen configureren

Gebruik Microsoft Intune om instellingen en functies op iOS-/iPadOS-apparaten in of uit te schakelen. Als u deze instellingen wilt configureren en afdwingen, maakt u een apparaatconfiguratieprofiel en wijst u het profiel vervolgens toe aan groepen in uw organisatie. Apparaten ontvangen het profiel zodra ze zijn ingeschreven.

Taak Details
Een apparaatprofiel maken in Microsoft Intune Meer informatie over de verschillende typen apparaatprofielen die u voor uw organisatie kunt maken.
Apparaatfuncties configureren Algemene iOS-/iPadOS-functies en -functionaliteit configureren voor een werk- of schoolcontext. Zie de naslaginformatie over apparaatfuncties voor een beschrijving van de instellingen in dit gebied.
Wi-Fi profiel configureren Met dit profiel kunnen personen het Wi-Fi netwerk van uw organisatie vinden en er verbinding mee maken. Zie de naslaginformatie over Wi-Fi-instellingen voor een beschrijving van de instellingen in dit gebied.
VPN-profiel configureren Stel een beveiligde VPN-optie in, zoals Microsoft Tunnel, voor personen die verbinding maken met het netwerk van uw organisatie. U kunt ook een VPN-beleid per app maken om te vereisen dat gebruikers zich aanmelden bij bepaalde apps via een VPN-verbinding. Zie de naslaginformatie over VPN-instellingen voor een beschrijving van de instellingen in dit gebied.
E-mailprofiel configureren Configureer e-mailinstellingen zodat personen verbinding kunnen maken met een e-mailserver en toegang hebben tot hun werk- of school-e-mail. Zie de naslaginformatie over e-mailinstellingen voor een beschrijving van de instellingen in dit gebied.
Apparaatfuncties beperken Beveilig gebruikers tegen onbevoegde toegang en afleiding door de apparaatfuncties te beperken die ze op het werk of op school kunnen gebruiken. Zie de naslaginformatie over apparaatbeperkingen voor een beschrijving van de instellingen in dit gebied.
Aangepast profiel configureren Apparaatinstellingen en -functies toevoegen en toewijzen die niet in Intune zijn ingebouwd.
Huisstijl en inschrijvingservaring aanpassen Pas de Intune-bedrijfsportal- en Microsoft Intune-app-ervaring aan met de eigen woorden, huisstijl, schermvoorkeuren en contactgegevens van uw organisatie.
Software-updatebeleid configureren Automatische updates en installaties van het besturingssysteem plannen voor iOS-/iPadOS-apparaten onder supervisie.

Veilige verificatiemethoden instellen

Stel verificatiemethoden in Intune in om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot uw interne resources. Intune ondersteunt meervoudige verificatie, certificaten en afgeleide referenties. Certificaten kunnen ook worden gebruikt voor het ondertekenen en versleutelen van e-mail met behulp van S/MIME.

Taak Details
Meervoudige verificatie (MFA) vereisen Vereisen dat personen twee vormen van referenties opgeven op het moment van inschrijving.
Een vertrouwd certificaatprofiel maken Maak en implementeer een vertrouwd certificaatprofiel voordat u een SCEP-, PKCS- of GEÏMPORTEERD PKCS-certificaatprofiel maakt. Met het profiel voor vertrouwd certificaat wordt het vertrouwde basiscertificaat geïmplementeerd op apparaten en gebruikers met geïmporteerde SCEP-, PKCS- en PKCS-certificaten.
SCEP-certificaten gebruiken met Intune Ontdek wat er nodig is om SCEP-certificaten te gebruiken met Intune en de vereiste infrastructuur te configureren. Nadat u dit hebt uitgevoerd, kunt u een SCEP-certificaatprofiel maken of een externe certificeringsinstantie instellen met SCEP.
PKCS-certificaten gebruiken met Intune Configureer de vereiste infrastructuur (zoals on-premises certificaatconnectors), exporteer een PKCS-certificaat en voeg het certificaat toe aan een Intune-apparaatconfiguratieprofiel.
Geïmporteerde PKCS-certificaten gebruiken met Intune Geïmporteerde PKCS-certificaten instellen, waarmee u S/MIME kunt instellen en gebruiken om e-mail te versleutelen.
Een verlener van afgeleide referenties instellen Richt iOS-/iPadOS-apparaten in met certificaten die zijn afgeleid van smartcards van gebruikers.

Apps implementeren

Wanneer u apps en app-beleid instelt, moet u nadenken over de vereisten van uw organisatie, zoals de platforms die u ondersteunt, de taken die mensen moeten uitvoeren, het type apps dat ze nodig hebben om deze taken te voltooien en ten slotte de groepen die deze apps nodig hebben. U kunt Intune gebruiken om het hele apparaat (inclusief apps) te beheren of Intune gebruiken om alleen de apps te beheren.

Taak Details
Store-apps toevoegen Voeg iOS-/iPadOS-apps uit de App Store toe aan Intune en wijs toe aan groepen.
Web-apps toevoegen Web-apps toevoegen aan Intune en toewijzen aan groepen.
Ingebouwde apps toevoegen Ingebouwde apps toevoegen aan Intune en toewijzen aan groepen.
Line-Of-Business-apps toevoegen IOS-/iPadOS LOB-apps (Line-Of-Business) toevoegen aan Intune en toewijzen aan groepen.
Apps toewijzen aan groepen Apps toewijzen aan gebruikers en apparaten.
App-toewijzingen opnemen en uitsluiten De toegang en beschikbaarheid van een app beheren door geselecteerde groepen op te geven en uit te sluiten van toewijzing.
iOS-/iPadOS-apps beheren die zijn aangeschaft via Apple Business Manager Apps synchroniseren, beheren en toewijzen die zijn aangeschaft via Apple Business Manager.
iOS-/iPadOS-eBooks beheren die zijn aangeschaft via Apple Business Manager Synchroniseer, beheer en wijs boeken toe die zijn gekocht via Apple Business Manager.
Een iOS-/iPadOS-app-beveiligingsbeleid maken Houd de gegevens van uw organisatie in beheerde apps zoals Outlook en Word. Zie Beveiligingsbeleidsinstellingen voor iOS-/iPadOS-apps voor meer informatie over elke instelling.
Een app-inrichtingsprofiel maken Voorkom dat app-certificaten verlopen door proactief nieuwe inrichtingsprofielen toe te wijzen aan apparaten waarop apps bijna verlopen.
Beleid voor app-beheer maken Pas aangepaste configuratie-instellingen toe op iOS-/iPadOS-apps op ingeschreven apparaten. U kunt deze typen beleidsregels ook toepassen op beheerde apps zonder apparaatinschrijving.
Microsoft Edge configureren Gebruik Intune-beleid voor app-beveiliging en -configuratie met Edge voor iOS/iPadOS om ervoor te zorgen dat bedrijfswebsites worden geopend met beveiligingsmaatregelen.
Microsoft Office-apps configureren Gebruik Intune-beleid voor app-beveiliging en -configuratie met Office-apps om ervoor te zorgen dat zakelijke bestanden toegankelijk zijn met beveiligingsmaatregelen.
Microsoft Teams configureren Gebruik Intune-beleid voor app-beveiliging en -configuratie met Teams om ervoor te zorgen dat samenwerkingsteamervaringen toegankelijk zijn met beveiligingsmaatregelen.
Microsoft Outlook configureren Gebruik Intune-beveiligings- en configuratiebeleid voor apps met Outlook om ervoor te zorgen dat zakelijke e-mail en agenda's toegankelijk zijn met beveiligingsmaatregelen.

Apparaten registreren

Als u apparaten registreert, kunnen ze het beleid ontvangen dat u maakt, dus zorg ervoor dat uw Microsoft Entra-gebruikersgroepen en -apparaatgroepen gereed zijn.

Zie de iOS-/iPadOS-apparaatinschrijvingshandleiding voor Microsoft Intune voor informatie over elke inschrijvingsmethode en hoe u er een kunt kiezen die geschikt is voor uw organisatie.

Taak Details
Apple Automated Device Enrollment (ADE) instellen in Intune Stel een out-of-the-box registratie-ervaring in voor apparaten in bedrijfseigendom die zijn aangeschaft via Apple School Manager of Apple Business Manager. Zie Zelfstudie: Apple's Corporate Device Enrollment-functies gebruiken in Apple Business Manager (ABM) om iOS-/iPadOS-apparaten in te schrijven voor een gedetailleerd overzicht van dit proces.
Apple School Manager instellen in Intune Intune instellen voor het inschrijven van apparaten die u hebt aangeschaft via het Apple School Manager-programma.
Apparaatinschrijving instellen met Apple Configurator Maak een Apple Configurator-profiel om apparaten in bedrijfseigendom (zonder gebruikersaffiniteit) in te schrijven via directe inschrijving; of om gewiste of nieuwe apparaten (met gebruikersaffiniteit) in te schrijven via Configuratieassistent. U moet het Apple Configurator-profiel exporteren uit Intune. Hiervoor is een USB-verbinding met een Mac-computer met Apple Configurator vereist.
Apparaten identificeren als bedrijfseigendom Wijs de status van bedrijfseigendom toe aan apparaten om meer beheer- en identificatiemogelijkheden in Intune mogelijk te maken. De status bedrijfseigendom kan niet worden toegewezen aan apparaten die zijn ingeschreven via Apple Business Manager.
Apple-gebruikersinschrijving instellen Maak een gebruikersinschrijvingsprofiel om de Apple User Enrollment-ervaring te implementeren op apparaten met behulp van een beheerde Apple-id.
Gedeelde iPad-apparaten instellen Configureer apparaten zodat ze door meer dan één persoon kunnen worden gebruikt (het type installatie dat u in een bibliotheek of onderwijsomgeving zou zien).
Back-up maken van apparaten en apparaten herstellen Maak een back-up van een apparaat en herstel dit om het voor te bereiden op inschrijving of migratie in Intune, zoals tijdens de installatie van automatische apparaatinschrijving.
Eigendom van apparaat wijzigen Nadat een apparaat is ingeschreven, kunt u het eigendomslabel in Intune wijzigen in bedrijfseigendom of persoonlijk eigendom. Deze aanpassing wijzigt de manier waarop u het apparaat kunt beheren.
Inschrijvingsproblemen oplossen Problemen oplossen en oplossen die optreden tijdens de inschrijving.

Externe acties uitvoeren

Nadat apparaten zijn ingesteld, kunt u externe acties in Intune gebruiken om apparaten op afstand te beheren en problemen op te lossen. De beschikbaarheid verschilt per apparaatplatform. Als een actie ontbreekt of is uitgeschakeld in de portal, wordt deze niet ondersteund op het apparaat.

Taak Details
Externe actie ondernemen op apparaten Meer informatie over het inzoomen en extern beheren en oplossen van problemen met afzonderlijke apparaten in Intune. Dit artikel bevat alle externe acties die beschikbaar zijn in Intune en koppelingen naar deze procedures.
TeamViewer gebruiken om Intune-apparaten op afstand te beheren Configureer TeamViewer in Intune en leer hoe u een apparaat op afstand beheert.
Beveiligingsproblemen oplossen die zijn geïdentificeerd door Microsoft Defender voor Eindpunt Integreer Intune met Microsoft Defender voor Eindpunt om te profiteren van het bedreigings- en beveiligingsbeheer van Defender voor Eindpunt en gebruik Intune om eindpuntproblemen op te lossen die zijn geïdentificeerd door de mogelijkheid voor het beheer van beveiligingsproblemen van Defender.

Volgende stappen

Bekijk deze zelfstudies voor inschrijving voor meer informatie over het uitvoeren van enkele van de belangrijkste taken in Intune. Zelfstudies bestaan uit inhoud van 100 tot 200 niveaus voor personen die nieuw zijn bij Intune of een specifiek scenario.

Zie Implementatiehandleiding: Android-apparaten beheren in Microsoft Intune voor de Android-versie van deze handleiding.