Implementatiehandleiding: Apparaten beheren waarop Windows 10/11 wordt uitgevoerd

In deze handleiding wordt beschreven hoe u Windows-apps en -eindpunten beveiligt en beheert met behulp van Microsoft Intune, en bevat onze installatieaanbevelingen en resources, van vereisten tot inschrijving.

Controleer voor elke sectie in deze handleiding de bijbehorende taken. Sommige taken zijn vereist en sommige, zoals het instellen van Microsoft Entra voorwaardelijke toegang, zijn optioneel. Selecteer de opgegeven koppelingen in elke sectie om naar onze aanbevolen Help-documenten op Microsoft Learn te gaan, waar u meer gedetailleerde informatie en instructies kunt vinden.

Stap 1: vereisten

Voer de volgende vereisten uit om de mogelijkheden voor eindpuntbeheer van uw tenant in te schakelen:

Zie Migratiehandleiding: Instellen of overstappen naar Microsoft Intune voor meer informatie en aanbevelingen over het voorbereiden van uw organisatie, het onboarden of gebruiken van Intune voor het beheer van mobiele apparaten.

Stap 2: uw implementatie plannen

Gebruik de planningshandleiding voor Microsoft Intune om uw apparaatbeheerdoelen, use-casescenario's en vereisten te definiëren. Gebruik de handleiding voor het plannen van implementatie, communicatie, ondersteuning, testen en validatie. In sommige gevallen hoeft u bijvoorbeeld niet aanwezig te zijn wanneer werknemers en studenten hun apparaten inschrijven. We raden u aan een communicatieplan te hebben, zodat mensen weten waar ze informatie kunnen vinden over het installeren en gebruiken van Intune-bedrijfsportal.

Zie Microsoft Intune planningshandleiding voor meer informatie.

Stap 3: nalevingsbeleid maken

Gebruik nalevingsbeleid om ervoor te zorgen dat apparaten die toegang hebben tot uw gegevens veilig zijn en voldoen aan de standaarden van uw organisatie. De laatste fase van het inschrijvingsproces is de nalevingsevaluatie, waarmee wordt gecontroleerd of de instellingen op het apparaat voldoen aan uw beleid. Apparaatgebruikers moeten alle nalevingsproblemen oplossen om toegang te krijgen tot beveiligde resources. Intune markeert apparaten die niet voldoen aan de nalevingsvereisten als niet-compatibel en onderneemt aanvullende actie (zoals het verzenden van een melding aan de gebruiker, het beperken van de toegang of het wissen van het apparaat) op basis van uw actie voor niet-nalevingsconfiguraties .

U kunt Microsoft Entra beleid voor voorwaardelijke toegang gebruiken in combinatie met nalevingsbeleid voor apparaten om de toegang tot Windows-pc's, zakelijke e-mail en Microsoft 365-services te beheren. U kunt bijvoorbeeld een beleid maken dat verhindert dat werknemers toegang hebben tot Microsoft Teams in Edge zonder eerst hun apparaat te registreren of te beveiligen.

Tip

Zie Overzicht van naleving voor een overzicht van nalevingsbeleid voor apparaten.

Taak Details
Een nalevingsbeleid maken Krijg stapsgewijze instructies voor het maken en toewijzen van een nalevingsbeleid aan gebruikers- en apparaatgroepen.
Acties voor niet-naleving toevoegen Kies wat er gebeurt wanneer apparaten niet meer voldoen aan de voorwaarden van uw nalevingsbeleid. Voorbeelden van acties zijn het verzenden van waarschuwingen, het op afstand vergrendelen van apparaten of het buiten gebruik stellen van apparaten. U kunt acties voor niet-naleving toevoegen wanneer u een nalevingsbeleid voor apparaten configureert, of later door het beleid te bewerken.
Een beleid voor voorwaardelijke toegang op basis van apparaten of apps maken Selecteer de apps of services die u wilt beveiligen en definieer de voorwaarden voor toegang.
Toegang blokkeren tot apps die geen moderne verificatie gebruiken Maak een op apps gebaseerd beleid voor voorwaardelijke toegang om apps te blokkeren die gebruikmaken van andere verificatiemethoden dan OAuth2; Bijvoorbeeld apps die gebruikmaken van basis- en formulierverificatie. Voordat u de toegang blokkeert, meldt u zich echter aan bij Microsoft Entra-id en bekijkt u het activiteitenrapport voor verificatiemethoden om te zien of gebruikers basisverificatie gebruiken om toegang te krijgen tot essentiële dingen die u bent vergeten of waarvan u zich niet bewust bent. Zaken zoals kiosken voor vergaderzalen maken bijvoorbeeld gebruik van basisverificatie.
Aangepaste nalevingsinstellingen toevoegen Met aangepaste nalevingsinstellingen kunt u uw eigen Bash-scripts schrijven om nalevingsscenario's aan te pakken die nog niet zijn opgenomen in de opties voor apparaatnaleving die zijn ingebouwd in Microsoft Intune. In dit artikel wordt beschreven hoe u aangepast nalevingsbeleid voor Windows-apparaten maakt, bewaakt en oplost. Voor aangepaste nalevingsinstellingen moet u een aangepast script maken waarmee de instellingen en waardeparen worden geïdentificeerd.

Stap 4: eindpuntbeveiliging configureren

Gebruik intune-eindpuntbeveiligingsfuncties om apparaatbeveiliging te configureren en beveiligingstaken te beheren voor apparaten die risico lopen.

Taak Details
Apparaten beheren met eindpuntbeveiligingsfuncties Gebruik de instellingen voor eindpuntbeveiliging in Intune om de beveiliging van apparaten effectief te beheren en problemen voor apparaten op te lossen.
Instellingen voor eindpuntbeveiliging toevoegen Configureer algemene beveiligingsfuncties voor eindpuntbeveiliging, zoals firewall, BitLocker en Microsoft Defender. Zie de referentie voor endpoint protection-instellingen voor een beschrijving van de instellingen in dit gebied.
Microsoft Defender voor Eindpunt configureren in Intune Wanneer u Intune integreert met Microsoft Defender voor Eindpunt, helpt u niet alleen beveiligingsschendingen te voorkomen, maar kunt u ook profiteren van Microsoft Defender voor Endpoints Threat & Vulnerability Management (TVM) en Intune gebruiken om eindpuntproblemen op te lossen die door TVM zijn geïdentificeerd.
BitLocker-beleid beheren Zorg ervoor dat apparaten worden versleuteld bij de inschrijving door een beleid te maken waarmee BitLocker op beheerde apparaten wordt geconfigureerd.
Beveiligingsbasislijnprofielen beheren Gebruik de beveiligingsbasislijnen in Intune om uw gebruikers en apparaten te beveiligen. Een beveiligingsbasislijn bevat de aanbevolen procedures en aanbevelingen voor instellingen die van invloed zijn op de beveiliging.
Windows Update voor Bedrijven gebruiken voor software-updates Configureer een Windows Update-implementatiestrategie met Windows Update voor Bedrijven. In dit artikel maakt u kennis met de beleidstypen die u kunt gebruiken voor het beheren van Windows 10/11-software-updates en hoe u overstapt van uitstel van updatering naar een beleid voor functie-updates.

Stap 5: apparaatinstellingen configureren

Gebruik Microsoft Intune om Windows-instellingen en -functies op apparaten in of uit te schakelen. Als u deze instellingen wilt configureren en afdwingen, maakt u een apparaatconfiguratieprofiel en wijst u het profiel vervolgens toe aan groepen in uw organisatie. Apparaten ontvangen het profiel zodra ze zijn ingeschreven.

Taak Details
Een apparaatprofiel maken Maak een apparaatprofiel in Microsoft Intune en zoek resources over alle apparaatprofieltypen. U kunt ook de catalogus met instellingen gebruiken om een volledig nieuw beleid te maken.
Instellingen voor groepsbeleid configureren Gebruik Windows 10 sjablonen om groepsbeleidsinstellingen in Microsoft Intune te configureren. Beheersjablonen bevatten honderden instellingen die u kunt configureren voor Internet Explorer, Microsoft Edge, OneDrive, Extern bureaublad, Word, Excel en andere Office-programma's. Deze sjablonen bieden beheerders een vereenvoudigde weergave van instellingen die vergelijkbaar zijn met groepsbeleid en ze zijn 100% in de cloud gebaseerd.
Wi-Fi profiel configureren Met dit profiel kunnen personen het Wi-Fi netwerk van uw organisatie vinden en er verbinding mee maken. Zie de naslaginformatie over Wi-Fi-instellingen voor Windows 10 en hoger voor een beschrijving van de instellingen in dit gebied.
VPN-profiel configureren Stel een beveiligde VPN-optie in, zoals Microsoft Tunnel, voor personen die verbinding maken met het netwerk van uw organisatie. Zie de naslaginformatie over VPN-instellingen voor een beschrijving van de instellingen in dit gebied.
E-mailprofiel configureren Configureer e-mailinstellingen zodat personen verbinding kunnen maken met een e-mailserver en toegang hebben tot hun werk- of school-e-mail. Zie de naslaginformatie over e-mailinstellingen voor een beschrijving van de instellingen in dit gebied.
Apparaatfuncties beperken Beveilig gebruikers tegen onbevoegde toegang en afleiding door de apparaatfuncties te beperken die ze op het werk of op school kunnen gebruiken. Zie de naslaginformatie over apparaatbeperkingen voor Windows 10/11 en Windows 10 Teams voor een beschrijving van de instellingen in dit gebied.
Aangepast profiel configureren Apparaatinstellingen en -functies toevoegen en toewijzen die niet in Intune zijn ingebouwd. Zie de naslaginformatie over aangepaste instellingen voor een beschrijving van de instellingen in dit gebied.
BIOS-instellingen configureren Intune zo instellen dat u UEFI-instellingen (BIOS) op ingeschreven apparaten kunt beheren met behulp van de Device Firmware Configuration Interface (DFCI)
Domeindeelname configureren Als u van plan bent om Microsoft Entra gekoppelde apparaten in te schrijven, moet u een profiel voor domeindeelname maken, zodat Intune weet aan welk on-premises domein u wilt deelnemen.
Instellingen voor delivery optimization configureren Gebruik deze instellingen om het bandbreedteverbruik te verminderen op apparaten die apps en updates downloaden.
Huisstijl en inschrijvingservaring aanpassen Pas de Intune-bedrijfsportal en Microsoft Intune app-ervaring aan met de eigen woorden, huisstijl, schermvoorkeuren en contactgegevens van uw organisatie.
Kiosken en toegewezen apparaten configureren Maak een kioskprofiel om apparaten te beheren die in de kioskmodus worden uitgevoerd.
Gedeelde apparaten aanpassen Toegang, accounts en energiefuncties beheren op gedeelde apparaten of apparaten met meerdere gebruikers.
Netwerkgrens configureren Maak een netwerkgrensprofiel om uw omgeving te beschermen tegen sites die u niet vertrouwt.
Windows-statusbewaking configureren Maak een Windows-statusbewakingsprofiel om Microsoft in staat te stellen gegevens over prestaties te verzamelen en aanbevelingen te doen voor verbeteringen. Als u een profiel maakt, wordt de functie eindpuntanalyse in Microsoft Intune ingeschakeld, waarmee verzamelde gegevens worden geanalyseerd, software wordt aanbevolen, de opstartprestaties worden verbeterd en veelvoorkomende ondersteuningsproblemen worden opgelost.
Een toets-app voor leerlingen/studenten configureren Configureer de app Toets maken voor leerlingen/studenten die toetsen of examens maken op ingeschreven apparaten.
Mobiel eSim-profiel configureren Je kunt eSIM configureren voor apparaten die geschikt zijn voor ESIM, zoals de Surface LTE Pro, om verbinding te maken met internet via een mobiele dataverbinding. Deze configuratie is ideaal voor wereldwijde reizigers die verbonden en flexibel moeten blijven tijdens het reizen, en elimineert de noodzaak van een simkaart.

Stap 6: veilige verificatiemethoden instellen

Stel verificatiemethoden in Intune in om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot uw interne resources. Intune ondersteunt meervoudige verificatie, certificaten en afgeleide referenties. Certificaten kunnen ook worden gebruikt voor het ondertekenen en versleutelen van e-mail met behulp van S/MIME.

Taak Details
Meervoudige verificatie (MFA) vereisen Vereisen dat personen twee vormen van referenties opgeven op het moment dat het apparaat wordt ingeschreven. Dit beleid werkt in combinatie met Microsoft Entra beleid voor voorwaardelijke toegang.
Een vertrouwd certificaatprofiel maken Maak en implementeer een vertrouwd certificaatprofiel voordat u een SCEP-, PKCS- of GEÏMPORTEERD PKCS-certificaatprofiel maakt. Met het profiel voor vertrouwd certificaat wordt het vertrouwde basiscertificaat geïmplementeerd op apparaten en gebruikers met geïmporteerde SCEP-, PKCS- en PKCS-certificaten.
SCEP-certificaten gebruiken met Intune Ontdek wat er nodig is om SCEP-certificaten te gebruiken met Intune en de vereiste infrastructuur te configureren. Vervolgens kunt u een SCEP-certificaatprofiel maken of een externe certificeringsinstantie met SCEP instellen.
PKCS-certificaten gebruiken met Intune Configureer de vereiste infrastructuur (zoals on-premises certificaatconnectors), exporteer een PKCS-certificaat en voeg het certificaat toe aan een Intune-apparaatconfiguratieprofiel.
Geïmporteerde PKCS-certificaten gebruiken met Intune Geïmporteerde PKCS-certificaten instellen, waarmee u S/MIME kunt instellen en gebruiken om e-mail te versleutelen.
Een verlener van afgeleide referenties instellen Windows-apparaten inrichten met certificaten die zijn afgeleid van smartcards van gebruikers.
Windows Hello voor Bedrijven integreren met Microsoft Intune Maak een Windows Hello voor Bedrijven-beleid om Windows Hello voor Bedrijven in of uit te schakelen tijdens de inschrijving van het apparaat. Hello for Business is een alternatieve aanmeldingsmethode die gebruikmaakt van Active Directory of een Microsoft Entra-account om een wachtwoord, smartcard of een virtuele smartcard te vervangen.

Stap 7: apps implementeren

Denk bij het instellen van apps en app-beleid na over de vereisten van uw organisatie, zoals de platforms die u ondersteunt, de taken die mensen uitvoeren, het type apps dat ze nodig hebben om deze taken te voltooien en wie ze nodig hebben. U kunt Intune gebruiken om het hele apparaat (inclusief apps) te beheren of Intune gebruiken om alleen apps te beheren.

Taak Details
Line-Of-Business-apps toevoegen MacOS LOB-apps (Line-Of-Business) toevoegen aan Intune en toewijzen aan groepen.
Microsoft Edge toevoegen Microsoft Edge voor Windows toevoegen en toewijzen.
Intune-bedrijfsportal app toevoegen vanuit Microsoft Store Voeg de Intune-bedrijfsportal-app handmatig toe als een vereiste app.
Intune-bedrijfsportal app voor Autopilot toevoegen Voeg de Bedrijfsportal-app toe aan apparaten die zijn ingericht door Windows Autopilot.
Microsoft 365-apps toevoegen Voeg Microsoft 365-apps voor ondernemingen toe.
Apps toewijzen aan groepen Nadat u apps aan Intune hebt toegevoegd, wijst u deze toe aan gebruikers en apparaten.
App-toewijzingen opnemen en uitsluiten De toegang en beschikbaarheid van een app beheren door geselecteerde groepen op te geven en uit te sluiten van toewijzing.
PowerShell-scripts gebruiken PowerShell-scripts uploaden om de mogelijkheden voor Windows-apparaatbeheer in Intune uit te breiden en het eenvoudiger te maken om over te stappen op modern beheer.

Stap 8: Apparaten inschrijven

Tijdens de inschrijving wordt het apparaat geregistreerd met Microsoft Entra-id en geëvalueerd op naleving. Zie windows-apparaatinschrijvingsgids voor Microsoft Intune voor informatie over elke inschrijvingsmethode en hoe u een methode kunt kiezen die geschikt is voor uw organisatie.

Taak Details
Automatische mdm-inschrijving inschakelen Vereenvoudig de inschrijving door automatische inschrijving in te schakelen, waardoor apparaten automatisch worden ingeschreven bij Intune die deelnemen aan of zich registreren met uw Microsoft Entra-id. Automatische inschrijving vereenvoudigt windows Autopilot-implementatie, BYOD-inschrijving, inschrijving met behulp van groepsbeleid en bulkinschrijving via een inrichtingspakket.
Automatische detectie van MDM-server inschakelen Als u geen Microsoft Entra-id P1 of P2 hebt, raden we u aan een CNAME-recordtype te maken voor Intune-inschrijvingsservers. De CNAME-record leidt inschrijvingsaanvragen om naar de juiste server, zodat ingeschreven gebruikers de servernaam niet handmatig hoeven in te voeren.
Windows Autopilot-scenario's Vereenvoudig de door de gebruiker gestuurde of zelf-implementerende OOBE voor u en uw gebruikers door Microsoft Intune apparaatinschrijving automatisch te laten plaatsvinden tijdens Windows Autopilot.
Inschrijven Microsoft Entra hybride gekoppelde apparaten met Windows Autopilot Met de Intune-connector voor Active Directory kunnen apparaten in Active Directory Domain Services deelnemen aan Microsoft Entra-id en vervolgens automatisch worden ingeschreven bij Intune. We raden deze inschrijvingsoptie aan voor on-premises omgevingen die gebruikmaken van Active Directory Domain Services en hun identiteiten momenteel niet kunnen verplaatsen naar Microsoft Entra-id.
Apparaten inschrijven met groepsbeleid Automatische inschrijving bij Intune activeren met behulp van een groepsbeleid.
Apparaten bulksgewijs inschrijven Maak een inrichtingspakket in Windows Configuration Designer waarmee grote aantallen nieuwe Windows-apparaten worden gekoppeld aan Microsoft Entra id en worden ingeschreven bij Intune.
De pagina voor de inschrijvingsstatus (ESP) instellen Maak een profiel voor de statuspagina van de inschrijving met aangepaste instellingen om gebruikers te begeleiden bij het instellen en inschrijven van apparaten.
Label apparaateigendom wijzigen Nadat een apparaat is ingeschreven, kunt u het eigendomslabel in Intune wijzigen in bedrijfseigendom of persoonlijk eigendom. Deze aanpassing wijzigt de manier waarop u het apparaat beheert en kan meer beheer- en identificatiemogelijkheden in Intune inschakelen of beperken.
Proxy configureren voor Intune Active Directory Connector Configureer de Intune-connector voor Active Directory om te werken met uw bestaande uitgaande proxyservers.
Inschrijvingsproblemen oplossen Problemen oplossen en oplossen die optreden tijdens de inschrijving.

Stap 9: externe acties uitvoeren

Nadat apparaten zijn ingesteld, kunt u ondersteunde externe acties gebruiken om apparaten op afstand te beheren en problemen op te lossen. In de volgende artikelen maakt u kennis met de externe acties voor Windows. Als een actie ontbreekt of is uitgeschakeld in de portal, wordt deze niet ondersteund voor Windows.

Taak Details
Externe actie ondernemen op apparaten Meer informatie over het inzoomen en extern beheren en oplossen van problemen met afzonderlijke apparaten in Intune. Dit artikel bevat alle externe acties die beschikbaar zijn in Intune en koppelingen naar deze procedures.
TeamViewer gebruiken om Intune-apparaten op afstand te beheren Configureer TeamViewer in Intune en leer hoe u een apparaat op afstand beheert.
Beveiligingstaken gebruiken om bedreigingen en beveiligingsproblemen weer te geven Gebruik Intune om de zwakke punten van het eindpunt te verhelpen die zijn geïdentificeerd door Microsoft Defender voor Eindpunt. Voordat u met beveiligingstaken kunt werken, moet u Microsoft Defender voor Eindpunt integreren met Intune.
Organisatieberichten gebruiken Gebruik organisatieberichten om belangrijke berichten te verzenden naar werknemers op door Intune beheerde apparaten waarop Windows 11 wordt uitgevoerd. Organisatieberichten kunnen worden gebruikt om te communiceren in scenario's voor extern en hybride werk.

Stap 10: Werknemers en studenten helpen

De resources in deze sectie vindt u in de Microsoft Intune Help-documentatie voor gebruikers. Deze documentatie is bedoeld voor werknemers, studenten en andere apparaatgebruikers met een Intune-licentie die een persoonlijk of bedrijfsapparaat inschrijven. Documentatiekoppelingen zijn beschikbaar in de Intune-bedrijfsportal-app en verwijzen naar informatie over:

  • Inschrijvingsmethoden, met stapsgewijze instructies voor het inschrijven
  • Bedrijfsportal instellingen en functies
  • De inschrijving van opgeslagen gegevens ongedaan maken en verwijderen
  • Apparaatinstellingen voor nalevingsvereisten bijwerken
  • App-problemen melden

Tip

Zorg ervoor dat de vereisten voor het besturingssysteem en de wachtwoordvereisten voor apparaten van uw organisatie gemakkelijk te vinden zijn op uw website of in een onboarding-e-mail, zodat werknemers de inschrijving niet hoeven uit te stellen om die informatie te zoeken.

Taak Details
Intune-bedrijfsportal-app voor Windows installeren Meer informatie over waar u de Bedrijfsportal-app kunt downloaden en hoe u zich aanmeldt.
Bedrijfsportal-app bijwerken In dit artikel wordt beschreven hoe u de nieuwste versie van Bedrijfsportal installeert en hoe u automatische app-updates inschakelt.
Een apparaat inschrijven In dit artikel wordt beschreven hoe u persoonlijke apparaten met Windows 10 of Windows 11 kunt inschrijven.
De registratie van een apparaat ongedaan maken In dit artikel wordt beschreven hoe u de registratie van een apparaat bij Intune ongedaan kunt maken en de opgeslagen cache en logboeken voor Bedrijfsportal verwijdert.

Volgende stappen