Microsoft Intune planningshandleiding

Een geslaagde Microsoft Intune implementatie of migratie begint met het plannen. Deze handleiding begeleidt u door algemene mdm- (Mobile Device Management) en MAM-doelen (Mobile Application Management). Het biedt ook richtlijnen voor het inventariseren van uw apparaten, licenties, het beoordelen van het huidige beleid en de huidige infrastructuur, het maken van een implementatieplan en meer.

Tip

De Intune Adoption Kit bevat e-mailsjablonen en meer goede informatie.

Deze gids is een levend ding. Zorg er dus voor dat u bestaande tips en richtlijnen toevoegt of bijwerkt die u nuttig vindt.

Taak 1: Uw doelstellingen bepalen

Organisaties gebruiken MOBILE Device Management (MDM) en Mobile Application Management (MAM) om organisatiegegevens veilig te beheren, met minimale onderbrekingen voor gebruikers. Kijk bij het evalueren van een MDM/MAM-oplossing, zoals Microsoft Intune, naar wat het doel is en wat u wilt bereiken.

In deze sectie bespreken we algemene doelstellingen bij het gebruik van Intune.

Doelstelling: Toegang tot organisatie-apps en e-mail

Gebruikers verwachten te werken op apparaten met behulp van organisatie-apps, waaronder het lezen en beantwoorden van e-mail, het bijwerken en delen van gegevens, en meer. In Intune kunt u verschillende soorten apps implementeren, waaronder:

  • apps Office 365
  • Win32-apps
  • Lob-apps (Line-Of-Business)
  • Aangepaste apps
  • Toegang tot ingebouwde apps of store-apps toestaan (of blokkeren)

Taak: Maak een lijst met de apps die uw gebruikers regelmatig gebruiken. Deze apps zijn de apps die u op hun apparaten wilt gebruiken. Enkele overwegingen:

  • Veel organisaties implementeren de Office-suite met apps op pc's en tablets, zoals Word, Excel, OneNote, PowerPoint en Teams. Op kleinere apparaten, zoals mobiele telefoons, kunnen afzonderlijke apps worden geïnstalleerd, afhankelijk van de gebruikersvereisten.

    Het verkoopteam kan bijvoorbeeld Teams, Excel en SharePoint vereisen. Op mobiele apparaten kunt u alleen deze apps implementeren, in plaats van de hele Office-suite te implementeren.

  • Gebruikers verwachten e-mail te lezen en te beantwoorden en deel te nemen aan vergaderingen op alle apparaten, inclusief persoonlijke apparaten. Op apparaten die eigendom zijn van de organisatie, kunt u Outlook en Teams implementeren. En beheer en beheer alle apparaatinstellingen en alle app-instellingen, inclusief pincode- en wachtwoordvereisten. Op persoonlijke apparaten hebt u dit beheer niet. Bepaal dus of u gebruikers toegang wilt geven tot organisatie-apps, zoals e-mail en vergaderingen.

    Zie Persoonlijke apparaten versus apparaten die eigendom zijn van de organisatie (in dit artikel) voor meer informatie en overwegingen.

Doelstelling: Beveiligde toegang op alle apparaten

Wanneer gegevens worden opgeslagen op mobiele apparaten, moeten deze worden beschermd tegen schadelijke activiteiten.

Taak: Bepaal hoe u uw apparaten wilt beveiligen en minimaliseer de impact van schadelijke activiteiten. Enkele overwegingen:

  • Antivirus( AV) en bescherming tegen malware zijn een must. Intune integreert met verschillende MTD-partners (Mobile Threat Defense) om ingeschreven apparaten, persoonlijke apparaten en apps te beschermen. Op Windows 10/11-apparaten kunt u Microsoft Defender voor Eindpunt en Intune samen gebruiken.

    Microsoft Defender voor Eindpunt bevat beveiligingsfuncties en een portal om bedreigingen te bewaken en erop te reageren.

  • Als een apparaat is gecompromitteerd, wilt u de impact beperken met behulp van voorwaardelijke toegang. Bijvoorbeeld:

    • Als een apparaat voldoet aan een bedreigingsniveau dat u hebt ingesteld, kunt u de toegang tot organisatieresources blokkeren. Voorwaardelijke toegang helpt de verspreiding van schadelijke activiteiten te voorkomen.

    • Met voorwaardelijke toegang kunt u uw netwerk en resources beveiligen tegen apparaten, zelfs apparaten die niet zijn ingeschreven bij Intune.

      Intune kan bijvoorbeeld worden geïntegreerd met Microsoft Defender voor Eindpunt. Microsoft Defender voor Eindpunt scant een apparaat en bepaalt of het is gecompromitteerd. Vervolgens kan voorwaardelijke toegang automatisch de toegang op dit apparaat blokkeren vanuit organisatieresources, inclusief e-mail.

  • Updates op het apparaat, het besturingssysteem en de apps helpen uw gegevens ook veilig te houden. Maak een plan over hoe en wanneer updates worden geïnstalleerd. Er zijn beleidsregels in Intune waarmee u updates kunt beheren, waaronder updates voor Store-apps.

  • Bepaal hoe gebruikers zich vanaf hun vele apparaten verifiëren bij organisatieresources. U kunt bijvoorbeeld:

    • Gebruik certificaten op apparaten om functies en apps te verifiëren, zoals verbinding maken met een virtueel particulier netwerk (VPN), het openen van Outlook en meer. Deze certificaten maken een gebruikerservaring zonder wachtwoord mogelijk. Wachtwoordloos wordt als veiliger beschouwd dan dat gebruikers de gebruikersnaam en het wachtwoord van hun organisatie moeten invoeren.

      Als u certificaten wilt gebruiken, moet u ervoor zorgen dat u een ondersteunde PKI-infrastructuur (Public Key Infrastructure) klaar hebt om certificaatprofielen te maken en te implementeren.

    • Gebruik meervoudige verificatie (MFA) wanneer u een extra verificatielaag nodig hebt op apparaten die eigendom zijn van de organisatie. Of gebruik MFA om apps op persoonlijke apparaten te verifiëren. Biometrische gegevens, zoals gezichtsherkenning en vingerafdrukken, kunnen ook worden gebruikt.

      Als u biometrische gegevens gebruikt voor verificatie, moet u ervoor zorgen dat uw apparaten biometrie ondersteunen. De meeste moderne apparaten wel.

    • Implementeer een Zero Trust-implementatie. Met Zero Trust gebruikt u de functies in Azure AD en Microsoft Intune om alle eindpunten te beveiligen, maakt u gebruik van verificatie zonder wachtwoord en meer. Zie het Zero Trust Deployment Center voor meer informatie.

Doel: IT distribueren

Veel organisaties willen verschillende beheerders controle geven over locaties, afdelingen, enzovoort. De groep It-beheerders van Charlotte beheert en bewaakt bijvoorbeeld het beleid op de Charlotte-campus. Deze IT-beheerders van Charlotte kunnen alleen beleidsregels voor de Charlotte-locatie zien en beheren. Ze kunnen het beleid voor de Redmond-locatie niet zien en beheren. Deze benadering wordt gedistribueerde IT genoemd.

In Intune maakt gedistribueerde IT gebruik van bereiktags en apparaatinschrijvingscategorieën. Bereiktags maken gebruik van op rollen gebaseerd toegangsbeheer (RBAC). Alleen gebruikers in een specifieke groep zijn dus gemachtigd om beleidsregels en profielen te beheren voor gebruikers en apparaten binnen hun bereik.

Wanneer u apparaatcategorieën gebruikt, worden apparaten automatisch toegevoegd aan groepen op basis van categorieën die u maakt. Wanneer gebruikers hun apparaat inschrijven, kiezen ze een categorie, zoals Verkoop, IT-beheerder, verkooppunten, enzovoort. Deze apparaatgroepen zijn nu klaar om de profielen en beleidsregels te ontvangen die u maakt.

Als u apparaten eenvoudiger wilt beheren, kunt u Intune apparaatcategorieën gebruiken om automatisch apparaten toe te voegen aan groepen op basis van categorieën die u definieert.

Taak: Bepaal hoe u uw regels en instellingen (beleid en profielen) wilt distribueren. Enkele overwegingen:

  • Bepaal uw beheerdersstructuur. U kunt bijvoorbeeld scheiden op locatie, zoals Charlotte IT-beheerders of Redmond IT-beheerders. U wilt mogelijk scheiden op rol, zoals netwerkbeheerders die alle netwerktoegang beheren, inclusief VPN.

    Deze categorieën worden uw bereiktags.

  • Veel organisaties scheiden groepen op apparaattype, zoals iOS-, iPadOS-, Android- of Windows-apparaten. Enkele voorbeelden:

    • Specifieke apps distribueren naar specifieke apparaten. Implementeer bijvoorbeeld de Microsoft shuttle-app op apparaten in het Redmond-netwerk.
    • Beleid implementeren op specifieke locaties. Implementeer bijvoorbeeld een VPN-profiel op apparaten in het Charlotte-netwerk, zodat ze automatisch verbinding maken wanneer ze binnen bereik zijn.
    • Instellingen op specifieke apparaten beheren. Schakel bijvoorbeeld de camera uit op Android Enterprise-apparaten die worden gebruikt op een productievloer, maak een Windows Defender antivirusprofiel voor alle Windows-apparaten of voeg Exchange-e-mailinstellingen toe aan alle iOS-/iPadOS-apparaten.

    Deze categorieën worden uw apparaatinschrijvingscategorieën.

Doel: Organisatiegegevens binnen de organisatie houden

Wanneer gegevens worden opgeslagen op mobiele apparaten, moeten de gegevens worden beschermd tegen onbedoeld verlies of delen. Deze doelstelling omvat het wissen van organisatiegegevens van persoonlijke apparaten en apparaten die eigendom zijn van de organisatie.

Taak: Maak een plan voor verschillende scenario's die van invloed zijn op uw organisatie. Enkele overwegingen:

Zie Persoonlijke apparaten versus apparaten die eigendom zijn van de organisatie (in dit artikel) voor meer informatie en overwegingen.

Taak 2: Uw apparaten inventariseren

Organisaties hebben een scala aan apparaten, waaronder desktopcomputers, laptops, tablets en mobiele telefoons. Deze apparaten kunnen eigendom zijn van de organisatie of eigendom zijn van uw gebruikers. Houd bij het plannen van uw apparaatbeheeroplossing rekening met alles wat toegang heeft tot de resources van uw organisatie, inclusief de persoonlijke apparaten van gebruikers.

Deze sectie bevat apparaatgegevens die u moet overwegen.

Ondersteunde platforms

Intune ondersteunt Android-apparaatbeheerder,Android Enterprise-, iOS-, iPadOS-, macOS- en Windows-apparaten. Zie ondersteunde platforms voor de specifieke versies.

Taak: Als uw apparaten niet-ondersteunde versies gebruiken, die voornamelijk oudere besturingssystemen zijn, is het tijd om het besturingssysteem te upgraden of de apparaten te vervangen. Deze oudere besturingssystemen en apparaten hebben mogelijk beperkte ondersteuning en vormen een potentieel beveiligingsrisico. Deze taak omvat desktopcomputers met Windows 7, iPhone 7-apparaten met het oorspronkelijke besturingssysteem v10.0, enzovoort.

Persoonlijke apparaten versus apparaten die eigendom zijn van de organisatie

Op persoonlijke apparaten is het normaal en verwacht dat gebruikers e-mail controleren, deelnemen aan Teams-vergaderingen, SharePoint-bestanden bijwerken en meer. Veel organisaties staan persoonlijke apparaten toe en veel organisaties staan alleen apparaten toe die eigendom zijn van de organisatie.

Als organisatie en als beheerder bepaalt u of u persoonlijke apparaten toestaat.

Taak: Bepaal hoe u wilt omgaan met persoonlijke apparaten. Als 'mobiel' belangrijk is voor uw organisatie, kunt u de volgende methoden overwegen:

  • Geef gebruikers op persoonlijke apparaten de keuze om zich in te schrijven voor Intune. Zodra ze zijn ingeschreven, beheren beheerders deze apparaten volledig, inclusief pushbeleid, het beheren van apparaatfuncties en -instellingen en zelfs het wissen van apparaten. Als beheerder wilt u misschien dit besturingselement of denkt u dat u dit besturingselement wilt.

    Wanneer gebruikers hun persoonlijke apparaten inschrijven, realiseren of begrijpen ze mogelijk niet dat beheerders iets op het apparaat kunnen doen, inclusief het per ongeluk wissen of opnieuw instellen van het apparaat. Als beheerder wilt u deze aansprakelijkheid of mogelijke impact op apparaten die uw organisatie niet bezit.

    Ook weigeren veel gebruikers zich in te schrijven. Ze vinden andere manieren om toegang te krijgen tot organisatieresources. U wilt bijvoorbeeld dat apparaten zijn ingeschreven om de Outlook-app te gebruiken om de e-mail van de organisatie te controleren. Als u deze vereiste wilt overslaan, openen gebruikers een webbrowser op het apparaat en melden ze zich aan bij webtoegang van Outlook, wat mogelijk niet is wat u wilt. Of ze maken schermopnamen en slaan de afbeeldingen op het apparaat op, wat ook niet is wat u wilt.

  • Gebruik op persoonlijke apparaten app-configuratiebeleid en app-beveiligingsbeleid. Gebruikers registreren zich niet bij Intune. Deze apparaten worden niet door u beheerd.

    Gebruik een algemene voorwaarden-instructie met een beleid voor voorwaardelijke toegang. Als gebruikers niet akkoord gaan, krijgen ze geen toegang tot apps. Als gebruikers akkoord gaan met de instructie, wordt er een apparaatrecord toegevoegd aan Azure AD en wordt het apparaat een bekende entiteit. Wanneer het apparaat bekend is, kunt u bijhouden wat er wordt geopend vanaf het apparaat.

    Beheer vervolgens de toegang en beveiliging met behulp van app-beleid.

    Bekijk de taken die uw organisatie het meest gebruikt, zoals e-mail en deelnemen aan vergaderingen. Gebruik app-configuratiebeleid om app-specifieke instellingen te configureren. Gebruik app-beveiligingsbeleid om de beveiliging en toegang tot deze apps te beheren.

    Gebruikers kunnen bijvoorbeeld de Outlook-app op hun persoonlijke apparaat gebruiken om zakelijke e-mail te controleren. Met behulp van Intune maken beheerders een Outlook-app-beveiligingsbeleid dat gebruikmaakt van meervoudige verificatie (MFA) telkens wanneer de Outlook-app wordt geopend, kopiëren en plakken voorkomt, en meer.

  • U wilt dat elk apparaat volledig wordt beheerd. Geef gebruikers in dit scenario alle apparaten die ze nodig hebben, inclusief mobiele telefoons. Investeer in een hardwarevernieuwingsplan, zodat gebruikers productief en effectief blijven. Registreer deze apparaten die eigendom zijn van de organisatie in Intune en beheer ze met behulp van beleid.

    Met deze optie voorkomt u persoonlijke apparaten.

Als best practice wordt ervan uitgegaan dat gegevens het apparaat verlaten. Zorg ervoor dat uw tracerings- en controlemethoden aanwezig zijn. Zie het Zero Trust Deployment Center voor meer informatie.

Desktopcomputers beheren

Intune kunt desktopcomputers met Windows 10 en nieuwer beheren. Het Windows-clientbesturingssysteem bevat ingebouwde moderne functies voor apparaatbeheer en verwijdert afhankelijkheden van het lokale ACTIVE Directory-groepsbeleid (AD). U profiteert van de voordelen van de cloud bij het maken van regels en instellingen in Intune en het implementeren van dit beleid op al uw Windows-clientapparaten, inclusief desktopcomputers en pc's.

Zie Guided scenario - Cloud-managed Modern Desktop (In de cloud beheerd modern bureaublad) voor meer informatie.

Als uw Windows-apparaten momenteel worden beheerd met Configuration Manager, kunt u deze apparaten nog steeds inschrijven bij Intune. Deze benadering wordt 'co-beheer' genoemd. Co-beheer biedt veel voordelen, waaronder het uitvoeren van externe acties op het apparaat (opnieuw opstarten, beheer op afstand, fabrieksinstellingen opnieuw instellen), voorwaardelijke toegang met apparaatcompatibiliteit en meer. U kunt uw apparaten ook in de cloud koppelen aan Intune.

Zie Wat is co-beheer, Paden voor co-beheer en Endpoint Manager-tenantkoppeling voor meer informatie.

Taak: Bekijk wat u momenteel gebruikt voor het beheer van mobiele apparaten, wat de doelen zijn en bepaal het beste pad. Enkele overwegingen:

  • Als u momenteel niets gebruikt, kunt u het beste rechtstreeks naar Intune gaan.

  • Voor nieuwe apparaten die niet zijn ingeschreven bij Configuration Manager of een MDM-oplossing, kunt u het beste rechtstreeks naar Intune gaan.

  • Als u momenteel Configuration Manager gebruikt, zijn de volgende opties beschikbaar:

    • Als u uw bestaande infrastructuur wilt behouden en enkele workloads naar de cloud wilt verplaatsen, gebruikt u co-beheer. U profiteert van beide services. Bestaande apparaten kunnen bepaalde beleidsregels ontvangen van Configuration Manager (on-premises) en andere beleidsregels van Intune (cloud).
    • Als u uw bestaande infrastructuur wilt behouden en Intune wilt gebruiken om uw on-premises apparaten te bewaken, gebruikt u tenant-koppelen. U profiteert van het gebruik van het Endpoint Manager-beheercentrum, terwijl u nog steeds Configuration Manager gebruikt om apparaten te beheren.
    • Als u een pure cloudoplossing wilt voor het beheren van apparaten, gaat u naar Intune. Dit scenario is zeldzaam. Bestaande Configuration Manager gebruikers geven er vaak de voorkeur aan om Configuration Manager te blijven gebruiken. De installatie-implementatiehandleiding bevat enkele goede informatie.

    Zie workloads voor co-beheer voor meer informatie.

Taak 3: Kosten en licenties bepalen

Het beheren van apparaten is een relatie met verschillende services. Intune bevat de instellingen en functies die u op verschillende apparaten kunt beheren. Er zijn ook andere services die een belangrijke rol spelen:

  • Azure Active Directory (AD) Premium bevat verschillende functies die essentieel zijn voor het beheren van apparaten, waaronder:

    • Windows Autopilot: Windows-clientapparaten kunnen automatisch worden ingeschreven bij Intune en automatisch uw beleid ontvangen.
    • Meervoudige verificatie (MFA): Gebruikers moeten twee of meer verificatiemethoden invoeren, zoals een pincode, een verificator-app, een vingerafdruk en meer. MFA is een uitstekende optie bij het gebruik van app-beveiligingsbeleid voor persoonlijke apparaten of apparaten die eigendom zijn van de organisatie die extra beveiliging vereisen.
    • Voorwaardelijke toegang: als gebruikers en apparaten uw regels volgen, zoals een wachtwoordcode van 6 cijfers, krijgen ze toegang tot organisatieresources. Als gebruikers of apparaten niet voldoen aan uw regels, krijgen ze geen toegang.
    • Dynamische gebruikersgroepen en dynamische apparaatgroepen: gebruikers of apparaten automatisch toevoegen aan groepen wanneer ze voldoen aan criteria, zoals een plaats, functie, type besturingssysteem, versie van het besturingssysteem en meer.
  • Office 365 bevat de apps waarvan gebruikers afhankelijk zijn, waaronder Outlook, Word, SharePoint, Teams, OneDrive en meer. U kunt deze apps implementeren op apparaten met behulp van Intune.

  • Microsoft Defender voor Eindpunt helpt bij het bewaken en scannen van uw Windows-clientapparaten op schadelijke activiteiten. U kunt ook een acceptabel bedreigingsniveau instellen. In combinatie met voorwaardelijke toegang kunt u de toegang tot organisatieresources blokkeren als het bedreigingsniveau wordt overschreden.

  • Azure Information Protection classificeert en beveiligt documenten en e-mailberichten door labels toe te passen. In Office-apps kunt u deze service gebruiken om onbevoegde toegang tot organisatiegegevens te voorkomen, inclusief apps op persoonlijke apparaten.

Al deze services zijn opgenomen in de Microsoft 365 E5-licentie. Zie Microsoft 365-licentieabonnementen voor meer informatie.

Taak: Bepaal welke services en programma's uw organisatie nodig heeft en gebruikt om productief en veilig te zijn. Enkele overwegingen:

  • Als het uw doel is om beleid (regels) en profielen (instellingen) te implementeren zonder afdwinging, hebt u minimaal Intune nodig. Intune is beschikbaar met verschillende abonnementen, waaronder als zelfstandige service. Zie Microsoft Intune licenties voor meer informatie.

    U gebruikt momenteel Configuration Manager en wilt co-beheer instellen voor uw apparaten. Intune is al opgenomen in uw Configuration Manager-licentie. Als u wilt dat nieuwe apparaten of bestaande co-beheerde apparaten volledig worden beheerd door Intune, hebt u een afzonderlijke Intune-licentie nodig.

  • U wilt de nalevings- of wachtwoordregels afdwingen die u in Intune maakt. U hebt minimaal Intune en Azure AD Premium nodig. Intune en Azure AD Premium zijn beschikbaar met Enterprise Mobility + Security.

    Zie Enterprise Mobility + Security prijsopties voor meer informatie.

  • U wilt alleen Office 365 apps op apparaten beheren. U hebt minimaal Office 365 nodig. Zie MDM voor Office 365 vs Microsoft Intune en veelgestelde vragen over Mobile Device Management voor Office 365 voor meer informatie.

  • U wilt Office 365 apps implementeren op uw apparaten en beleidsregels maken om apparaten met deze apps te beveiligen. U hebt minimaal Intune en Office 365 nodig.

  • U wilt beleidsregels maken in Intune, Office 365 apps implementeren en uw regels en instellingen afdwingen. U hebt minimaal Intune, Office 365 en Azure AD Premium nodig. Omdat al deze services zijn opgenomen in Microsoft 365, kan het rendabel zijn om de Microsoft 365-licentie te gebruiken.

    Zie Microsoft 365-licentieabonnementen voor meer informatie.

Taak 4: Bestaande beleidsregels en infrastructuur controleren

Veel organisaties hebben bestaande beleidsregels en infrastructuur voor apparaatbeheer die alleen wordt 'onderhouden'. Mogelijk hebt u bijvoorbeeld 20 jaar oud groepsbeleid en weet u niet wat ze doen. Wanneer u een overstap naar de cloud overweegt, in plaats van te kijken naar wat u altijd hebt gedaan, bepaalt u het doel.

Maak met deze doelen in het achterhoofd een basislijn van uw beleid. Als u meerdere oplossingen voor apparaatbeheer hebt, is dit mogelijk het moment om één oplossing voor het beheer van mobiele apparaten te gebruiken.

Taak: Bekijk taken die u on-premises uitvoert en die u naar de cloud kunt verplaatsen. Denk eraan, in plaats van te kijken naar wat je altijd hebt gedaan, bepaal je het doel. Enkele overwegingen:

  • Controleer uw bestaande beleidsregels en de structuur ervan. Sommige beleidsregels kunnen globaal van toepassing zijn, andere zijn van toepassing op siteniveau en andere zijn specifiek voor een apparaat. Het doel is om de intentie van globaal beleid, de intentie van lokaal beleid, enzovoort, te kennen en te begrijpen.

    AD-groepsbeleidsregels worden toegepast in de LSDOU-volgorde : lokaal, site, domein en organisatie-eenheid (OE). In deze hiërarchie overschrijft OE-beleid domeinbeleid, domeinbeleidsregels overschrijven sitebeleid, enzovoort.

    In Intune wordt beleid toegepast op gebruikers en groepen die u maakt. Er is geen hiërarchie. Als twee beleidsregels dezelfde instelling bijwerken, wordt de instelling weergegeven als een conflict. Zie Veelvoorkomende vragen, problemen en oplossingen voor apparaatbeleid en -profielen voor meer informatie.

    Wanneer u van AD-groepsbeleid naar Intune komt, wordt uw globale AD-beleid logischerwijs toegepast op groepen die u hebt of groepen die u nodig hebt. Deze groepen omvatten gebruikers en apparaten waarop u zich wilt richten op globaal niveau, siteniveau, enzovoort. Deze taak geeft u een idee van de groepsstructuur die u nodig hebt in Intune.

  • Wees voorbereid op het maken van nieuwe beleidsregels en profielen in Intune. Intune bevat verschillende functies die betrekking hebben op scenario's die u mogelijk interesseren. Enkele voorbeelden:

    • Beveiligingsbasislijnen: Op Windows 10/11-apparaten zijn beveiligingsbasislijnen beveiligingsinstellingen die vooraf zijn geconfigureerd voor aanbevolen waarden. Als u nog geen gebruik hebt van het beveiligen van apparaten of als u een uitgebreide basislijn wilt, bekijkt u Beveiligingsbasislijnen.
    • Beheersjablonen: Op Windows 10/11-apparaten gebruikt u ADMX-sjablonen om groepsbeleidsinstellingen te configureren voor Windows, Internet Explorer, Office en Microsoft Edge versie 77 en hoger. Deze ADMX-sjablonen zijn dezelfde ADMX-sjablonen die worden gebruikt in AD-groepsbeleid, maar zijn 100% cloudgebaseerde in Intune.
    • Groepsbeleid: gebruik groepsbeleidsanalyses om uw GPO's te importeren en te analyseren. Met deze functie kunt u bepalen hoe uw GPO's worden omgezet in de cloud. In de uitvoer ziet u welke instellingen worden ondersteund in MDM-providers, inclusief Microsoft Intune. Ook worden alle afgeschafte instellingen of instellingen weergegeven die niet beschikbaar zijn voor MDM-providers.
    • Begeleide scenario's: Begeleide scenario's zijn een aangepaste reeks stappen die gericht zijn op end-to-end use cases. Deze scenario's omvatten automatisch beleidsregels, apps, toewijzingen en andere beheerconfiguraties.
  • Maak een beleidsbasislijn die het minimum van uw doelen bevat. Bijvoorbeeld:

    • Beveiligde e-mail: u kunt het volgende doen:

      • Schakel voorwaardelijke toegang in voor Exchange Online of maak verbinding met een on-premises e-mailoplossing.
      • Beveiligingsbeleid voor Outlook-apps maken.
    • Apparaatinstellingen: u kunt het volgende doen:

      • Een pincode van zes tekens vereisen om het apparaat te ontgrendelen.
      • Voorkom back-ups naar persoonlijke cloudservices, zoals iCloud of OneDrive.
    • Apparaatprofielen: u kunt het volgende doen:

      • Maak een Wi-Fi-profiel met de vooraf geconfigureerde instellingen die verbinding maken met het draadloze netwerk van Contoso Wi-Fi.
      • Maak een VPN-profiel met een certificaat om automatisch te verifiëren en verbinding te maken met een ORGANISATIE-VPN.
      • Maak een e-mailprofiel met de vooraf geconfigureerde instellingen die verbinding maken met Office 365 of een Gmail-e-mailoplossing.
    • Apps: u kunt het volgende doen:

      • Implementeer Office 365 met app-beveiligingsbeleid.
      • Lob (Line-Of-Business) implementeren met app-beveiligingsbeleid.
  • Controleer de huidige structuur van uw groepen. In Intune kunt u beleidsregels maken en toewijzen aan gebruikersgroepen, apparaatgroepen en dynamische gebruikers- en apparaatgroepen (vereist Azure AD Premium).

    Wanneer u groepen maakt in de cloud, zoals Intune of Microsoft 365, worden deze in Azure AD gemaakt. U ziet de Azure AD huisstijl niet, maar dat is wat u gebruikt.

  • Als u meerdere oplossingen voor apparaatbeheer hebt, schakelt u over naar één beheeroplossing voor mobiele apparaten. U wordt aangeraden Intune te gebruiken om organisatiegegevens in apps en op apparaten te beveiligen.

Taak 5: een implementatieplan maken

De volgende taak is om te plannen hoe en wanneer uw gebruikers en apparaten uw beleid ontvangen. In deze taak kunt u ook het volgende overwegen:

  • Definieer uw doelen en metrische succesgegevens. Gebruik deze gegevenspunten om andere implementatiefasen te maken. Zorg ervoor dat de doelen SMART zijn (Specifiek, Meetbaar, Haalbaar, Realistisch en Tijdig). Plan om in elke fase te meten aan uw doelstellingen, zodat uw implementatieproject op schema blijft.
  • Duidelijk gedefinieerde doelen en doelstellingen hebben. Neem deze doelstellingen op in alle bewustwordings- en trainingsactiviteiten, zodat gebruikers begrijpen waarom uw organisatie voor Intune heeft gekozen.

Taak: Maak een plan om uw beleid uit te rollen en kies hoe gebruikers hun apparaten registreren bij Intune. Enkele overwegingen:

  • Uw beleid in fasen implementeren. Bijvoorbeeld:

    • Begin met een testgroep of testgroep. Deze groepen moeten weten dat ze de eerste gebruikers zijn en moeten bereid zijn om feedback te geven. Gebruik deze feedback om de configuratie, documentatie en meldingen te verbeteren en het gemakkelijker te maken voor gebruikers in een toekomstige implementatie. Deze gebruikers mogen geen leidinggevenden of VIP's zijn.

      Voeg na de eerste test meer gebruikers toe aan de testgroep. Of maak meer testgroepen die zich richten op een andere implementatie, zoals:

      • Afdelingen: Elke afdeling kan een implementatiefase zijn. Je richt je op een hele afdeling tegelijk. In deze implementatie kunnen gebruikers in elke afdeling hun apparaat op dezelfde manier gebruiken en toegang krijgen tot dezelfde toepassingen. Gebruikers hebben waarschijnlijk dezelfde typen beleidsregels.

      • Geografie: implementeer uw beleid voor alle gebruikers in een specifieke geografie, ongeacht of het gaat om hetzelfde continent, land/regio of hetzelfde organisatiegebouw. Met deze implementatie kunt u zich richten op de specifieke locatie van gebruikers. U kunt een Windows Autopilot opgeven voor een vooraf ingerichte implementatiebenadering, omdat het aantal locaties dat tegelijkertijd Intune implementeert, kleiner is. Er zijn kansen op verschillende afdelingen of verschillende use cases op dezelfde locatie. U kunt dus verschillende use cases tegelijk testen.

      • Platform: met deze implementatie worden vergelijkbare platforms tegelijkertijd geïmplementeerd. Implementeer bijvoorbeeld beleid op alle iOS-/iPadOS-apparaten in februari, alle Android-apparaten in maart en alle Windows-apparaten in april. Deze aanpak kan de ondersteuning van de helpdesk vereenvoudigen, omdat ze slechts één platform tegelijk ondersteunen.

      Met behulp van een gefaseerde benadering kunt u feedback krijgen van een breed scala aan gebruikerstypen.

    • Na een geslaagde testfase kunt u beginnen met een volledige productie-implementatie. Het volgende voorbeeld is een Intune-implementatieplan met doelgroepen en tijdlijnen:

    Implementatiefase Juli Augustus September Oktober
    Beperkte pilot IT (50 gebruikers)
    Uitgebreide testfase IT (200 gebruikers), IT-managers (10 gebruikers)
    Productie-implementatiefase 1 Verkoop en marketing (2000 gebruikers)
    Productie-implementatiefase 2 Retail (1000 gebruikers)
    Productie-implementatiefase 3 HR (50 gebruikers), Financiën (40 gebruikers), Leidinggevenden (30 gebruikers)

    Deze sjabloon kan ook worden gedownload op Intune implementatieplanning, -ontwerp en -implementatie - Tabelsjablonen.

  • Kies hoe gebruikers hun persoonlijke apparaten en apparaten in bedrijfseigendom inschrijven. Er zijn verschillende inschrijvingsmethoden die u kunt gebruiken, waaronder:

    • Selfservice voor gebruikers: gebruikers registreren hun eigen apparaten volgens de stappen die zijn verstrekt door hun IT-organisatie. Deze aanpak komt het meest voor en is schaalbaarder dan inschrijving met behulp van gebruikers.
    • Inschrijving met ondersteuning van de gebruiker: met behulp van deze vooraf ingerichte implementatiebenadering helpt een IT-lid gebruikers bij het inschrijvingsproces, persoonlijk of met behulp van Teams. Deze aanpak is gebruikelijk bij leidinggevenden en andere groepen die mogelijk meer hulp nodig hebben.
    • IT-technologiebeurs: Tijdens dit evenement stelt de IT-groep een Intune ondersteuningsstand voor inschrijvingen in. Gebruikers ontvangen informatie over Intune inschrijving, stellen vragen en krijgen hulp bij het inschrijven van hun apparaten. Deze optie is nuttig voor IT en gebruikers, met name tijdens de vroege fasen van een Intune implementatie.

    Het volgende voorbeeld bevat de inschrijvingsmethoden:

    Implementatiefase Juli Augustus September Oktober
    Beperkte pilot
    Zelfbediening IT
    Uitgebreide testfase
    Zelfbediening IT
    Vooraf ingericht IT-managers
    Productie-implementatiefase 1 Verkoop, Marketing
    Zelfbediening Verkoop en marketing
    Productie-implementatiefase 2 Detailhandel
    Zelfbediening Detailhandel
    Productie-implementatiefase 3 Leidinggevenden, HR, Financiën
    Zelfbediening HR, Financiën
    Vooraf ingericht Executives

Taak 6: Wijzigingen doorgeven

Wijzigingsbeheer is afhankelijk van duidelijke en nuttige communicatie over toekomstige wijzigingen. Het idee is om uw Intune implementatie soepeler te laten verlopen, ervoor te zorgen dat gebruikers op de hoogte zijn van wijzigingen en eventuele onderbrekingen.

Taak: Uw communicatieplan voor de implementatie moet belangrijke informatie bevatten, hoe gebruikers moeten worden geïnformeerd en wanneer ze moeten communiceren. Enkele overwegingen:

  • Bepaal welke informatie u wilt communiceren. Communiceer in fasen met uw groepen en gebruikers, te beginnen met een Intune implementatie, pre-inschrijving en vervolgens na de inschrijving:

    • Kickoff-fase: Brede communicatie die het Intune project introduceert. Het moet antwoord bieden op belangrijke vragen, zoals:

      • Wat is Intune?
      • Waarom de organisatie Intune gebruikt, inclusief voordelen voor de organisatie en voor gebruikers
      • Geef een plan op hoog niveau op van de implementatie en implementatie.
      • Als persoonlijke apparaten niet worden toegestaan , tenzij de apparaten zijn ingeschreven, legt u uit waarom u de beslissing hebt genomen.
    • Pre-inschrijvingsfase: brede communicatie met informatie over Intune en aanvullende services (zoals Office, Outlook en OneDrive), gebruikersresources en specifieke tijdlijnen wanneer gebruikers en groepen Intune moeten ontvangen.

    • Inschrijvingsfase: communicatie gericht op organisatiegebruikers en -groepen die zijn gepland om Intune te ontvangen. Het moet gebruikers informeren dat ze klaar zijn om Intune te ontvangen, inschrijvingsstappen bevatten en met wie ze contact moeten opnemen voor hulp en vragen.

    • Fase na inschrijving: communicatie gericht op organisatiegebruikers en -groepen die zijn ingeschreven bij Intune. Het moet aanvullende bronnen bieden die nuttig kunnen zijn voor gebruikers en feedback verzamelen over hun ervaring tijdens en na de inschrijving.

    De Intune Adoption Kit kan nuttig zijn. Gebruik het in de bestaande staat of wijzig het voor uw organisatie.

  • Kies hoe u informatie over Intune implementatie wilt communiceren met uw doelgroepen en gebruikers. Bijvoorbeeld:

    • Maak een persoonlijke vergadering voor de hele organisatie of gebruik Microsoft Teams.

    • Maak een e-mail voor pre-inschrijving, e-mail voor inschrijving en e-mail voor post-inschrijving. Bijvoorbeeld:

      • Email 1: de voordelen, verwachtingen en planning uitleggen. Maak van deze gelegenheid gebruik om andere services te laten zien waarvan toegang wordt verleend op apparaten die worden beheerd door Intune.
      • Email 2: Kondig aan dat services nu klaar zijn voor toegang via Intune. Laat gebruikers weten dat ze zich nu moeten inschrijven. Geef gebruikers een tijdlijn voordat hun toegang wordt beïnvloed. Herinner gebruikers aan voordelen en strategische redenen voor migratie.
    • Gebruik een organisatiewebsite met uitleg over de implementatiefasen, wat gebruikers kunnen verwachten en met wie ze contact kunnen opnemen voor hulp.

    • Maak posters, gebruik sociale mediaplatforms van organisaties (zoals Yammer) of distribueer flyers om de pre-inschrijvingsfase aan te kondigen.

  • Maak een tijdlijn met wanneer en wie. De eerste Intune introductiecommunicatie kan gericht zijn op de hele organisatie, of slechts op een subset. Deze kunnen enkele weken duren voordat de Intune implementatie begint. Daarna kan informatie in fasen worden gecommuniceerd naar gebruikers en groepen, afgestemd op hun Intune implementatieplanning.

    Het volgende voorbeeld is een communicatieplan voor Intune op hoog niveau:

    Communicatieplan Juli Augustus September Oktober
    Fase 1 Alles
    Kickoff-vergadering Eerste week
    Fase 2 IT Verkoop en marketing Detailhandel HR, Financiën en Leidinggevenden
    Pre-implementatie Email 1 Eerste week Eerste week Eerste week Eerste week
    Fase 3 IT Verkoop en marketing Detailhandel HR, Financiën en Leidinggevenden
    Pre-implementatie Email 2 Tweede week Tweede week Tweede week Tweede week
    Fase 4 IT Verkoop en marketing Detailhandel HR, Financiën en Leidinggevenden
    Inschrijvings-e-mail Derde week Derde week Derde week Derde week
    Fase 5 IT Verkoop en marketing Detailhandel HR, Financiën en Leidinggevenden
    E-mail na inschrijving Vierde week Vierde week Vierde week Vierde week

Taak 7: Helpdesk en eindgebruikers ondersteunen

Neem uw IT-ondersteuning en helpdesk op in de vroege stadia van Intune implementatieplanning en testinspanningen. Vroege betrokkenheid stelt uw ondersteuningsmedewerkers bloot aan Intune en ze doen kennis en ervaring op bij het identificeren en oplossen van problemen effectiever. Ze worden ook voorbereid op de ondersteuning van de volledige productie-implementatie van de organisatie. Deskundige helpdesk- en ondersteuningsteams helpen gebruikers ook bij het doorvoeren van deze wijzigingen.

Taak: Ondersteuningstraining opnemen. Valideer de eindgebruikerservaring met metrische gegevens over succes in uw implementatieplan. Enkele overwegingen:

  • Bepaal wie eindgebruikers ondersteunt. Organisaties kunnen verschillende lagen of niveaus hebben (1-3). Laag 1 en 2 kunnen bijvoorbeeld deel uitmaken van het ondersteuningsteam. Laag 3 bevat leden van het MDM-team dat verantwoordelijk is voor de Intune implementatie.

    Laag 1 is doorgaans het eerste ondersteuningsniveau en de eerste laag om contact mee te maken. Als laag 1 het probleem niet kan oplossen, escaleren ze naar laag 2. Laag 2 escaleert deze naar laag 3. Microsoft ondersteuning kan worden beschouwd als laag 4.

    • Zorg ervoor dat in de eerste implementatiefasen alle lagen in uw ondersteuningsteam problemen en oplossingen documenteert. Zoek naar patronen en pas uw communicatie aan voor de volgende implementatiefase. Bijvoorbeeld:
      • Als verschillende gebruikers of groepen aarzelen om hun persoonlijke apparaten in te schrijven, kunt u een Teams-aanroep overwegen om veelgestelde vragen te beantwoorden.
      • Als gebruikers dezelfde problemen ondervinden bij het inschrijven van apparaten in bedrijfseigendom, host u een persoonlijke gebeurtenis om gebruikers te helpen de apparaten in te schrijven.
  • Maak een helpdeskwerkstroom en communiceer voortdurend over ondersteuningsproblemen, trends en andere belangrijke informatie naar alle lagen in uw ondersteuningsteam. Houd bijvoorbeeld dagelijkse of wekelijkse Teams-vergaderingen, zodat alle lagen op de hoogte zijn van trends en patronen en hulp kunnen krijgen.

    In het volgende voorbeeld ziet u hoe Contoso de werkstromen voor IT-ondersteuning of helpdesk implementeert:

    1. De eindgebruiker neemt contact op met DE IT-ondersteuning of helpdesklaag 1 met een inschrijvingsprobleem.
    2. IT-ondersteuning of helpdesklaag 1 kan de hoofdoorzaak niet vaststellen en escaleert naar laag 2.
    3. It-ondersteuning of helpdesk laag 2 onderzoekt. Laag 2 kan het probleem niet oplossen en escaleert naar laag 3 en biedt aanvullende informatie om het probleem te verhelpen.
    4. IT-ondersteuning of helpdesklaag 3 onderzoekt, bepaalt de hoofdoorzaak en communiceert de oplossing naar laag 2 en 1.
    5. IT-ondersteuning/helpdesklaag 1 neemt vervolgens contact op met de gebruikers en lost het probleem op.

    Deze aanpak, met name in de beginfasen van de Intune implementatie, voegt veel voordelen toe, waaronder:

    • Hulp bij het leren van technologie.
    • Identificeer snel problemen en oplossing.
    • De algehele gebruikerservaring verbeteren.
  • Train uw helpdesk en ondersteuningsteams. Laat ze apparaten inschrijven waarop de verschillende platforms worden gebruikt in uw organisatie (Android, iOS/iPadOS, macOS, Windows), zodat ze bekend zijn met het proces. Overweeg helpdesk- en ondersteuningsteams te gebruiken als testgroep voor uw scenario's.

    Er zijn trainingsbronnen beschikbaar, waaronder YouTube-video's, Microsoft zelfstudies over inschrijving, naleving, configuratie en cursussen via trainingspartners.

    Het volgende voorbeeld is een Intune ondersteuningstrainingsagenda:

    • beoordeling van Intune ondersteuningsplan
    • overzicht van Intune
    • Veelvoorkomende problemen oplossen
    • Hulpprogramma's en resources
    • Q & A

De documentatie voor het opleiden van uw eindgebruikers, op community gebaseerde Intune forum en documentatie voor eindgebruikers zijn ook geweldige bronnen.

Volgende stappen

Maak uw app- en apparaatbeleid en registreer uw apparaten.

Zie de Intune Adoption Kit.