De instantie voor het beheer van mobiele apparaten instellen
Met de instantie voor het beheer van mobiele apparaten (MDM) wordt bepaald hoe u uw apparaten beheert. Als IT-beheerder moet u een MDM-instantie instellen voordat gebruikers apparaten kunnen inschrijven voor beheer. U moet ook een Intune-licentie toegewezen krijgen om de MDM-instantie in te stellen.
Mogelijke configuraties zijn:
Intune Standalone: cloudbeheer dat u configureert met behulp van de Azure Portal. Bevat de volledige set mogelijkheden die Intune biedt. Stel de MDM-instantie in het Microsoft Intune-beheercentrum in.
Intune co-beheer: integratie van de Intune cloudoplossing met Configuration Manager voor Windows 10 apparaten. U configureert Intune met behulp van de Configuration Manager-console. Automatische inschrijving van apparaten configureren voor Intune.
Basismobiliteit en -beveiliging voor Microsoft 365: nadat deze configuratie is geactiveerd, wordt de MDM-instantie ingesteld op 'Office 365'. Als u Intune wilt gaan gebruiken, moet u Intune licenties aanschaffen.
Basismobiliteit en -beveiliging voor co-existentie van Microsoft 365: u kunt Intune toevoegen aan uw tenant als u al Basismobiliteit en -beveiliging voor Microsoft 365 gebruikt. U kunt de beheerinstantie instellen op Intune of Basismobiliteit en -beveiliging voor Microsoft 365 voor elke gebruiker om te bepalen welke service wordt gebruikt voor het beheren van hun bij MDM ingeschreven apparaten. De beheerinstantie van elke gebruiker wordt gedefinieerd op basis van de licentie die aan de gebruiker is toegewezen:
- Basismobiliteit en -beveiliging voor Microsoft 365 beheert de apparaten van gebruikers die alleen een licentie hebben voor Microsoft 365 Basic of Standard.
- Intune beheert de apparaten van gebruikers met een licentie die hen het recht geeft om deze te gebruiken.
- Als u een licentie toevoegt die recht geeft op Intune aan een gebruiker die eerder door Basismobiliteit en -beveiliging voor Microsoft 365 werd beheerd, worden hun apparaten overgezet naar Intune beheer. Als u wilt voorkomen dat Basismobiliteit en -beveiliging voor Microsoft 365-configuratie op apparaten van gebruikers verloren gaat, moet u Intune-configuraties toewijzen aan gebruikers voordat u ze overschakelt naar Intune.
MDM-instantie instellen op Intune
Selecteer in het Microsoft Intune-beheercentrum de oranje banner om de instelling Mobile Apparaatbeheer Authority te openen. De oranje banner wordt alleen weergegeven als u de MDM-instantie nog niet hebt ingesteld.
Kies onder Mobile Apparaatbeheer Authority uw MDM-instantie uit de volgende opties:
- MDM-instantie Intune
- Geen
Een bericht geeft aan dat u uw MDM-instantie hebt ingesteld op Intune.
Werkstroom van Intune beheerinterface
Wanneer Android- of Apple-apparaatbeheer is ingeschakeld, verzendt Intune apparaat- en gebruikersgegevens om te integreren met deze services van derden om hun respectieve apparaten te beheren.
Scenario's waarin toestemming wordt toegevoegd om gegevens te delen, worden opgenomen wanneer:
- U schakelt Android Enterprise-werkprofielen in persoonlijk eigendom of bedrijfseigendom in.
- U schakelt Apple MDM-pushcertificaten in en uploadt deze.
- U schakelt een van de Apple-services in, zoals Device Enrollment Program, School Manager of Volume Purchasing Program.
In elk geval is de toestemming strikt gerelateerd aan het uitvoeren van een beheerservice voor mobiele apparaten. Bijvoorbeeld om te bevestigen dat een IT-Beheer Google- of Apple-apparaten heeft gemachtigd om zich in te schrijven. Documentatie over welke informatie wordt gedeeld wanneer de nieuwe werkstromen live gaan, is beschikbaar vanaf de volgende locaties:
Belangrijke overwegingen
Nadat u bent overgeschakeld naar de nieuwe MDM-instantie, duurt het enige overgangstijd (maximaal acht uur) voordat het apparaat incheckt en synchroniseert met de service. U moet instellingen configureren in de nieuwe MDM-instantie om ervoor te zorgen dat ingeschreven apparaten na de wijziging nog steeds worden beheerd en beveiligd.
- Apparaten moeten na de wijziging verbinding maken met de service, zodat de instellingen van de nieuwe MDM-instantie (Intune zelfstandige) de bestaande instellingen op het apparaat vervangen.
- Nadat u de MDM-instantie hebt gewijzigd, blijven sommige basisinstellingen (zoals profielen) van de vorige MDM-instantie maximaal zeven dagen op het apparaat staan of totdat het apparaat voor de eerste keer verbinding maakt met de service. U moet apps en instellingen (zoals beleidsregels, profielen en apps) zo snel mogelijk configureren in de nieuwe MDM-instantie en de instelling implementeren voor de gebruikersgroepen met gebruikers die bestaande geregistreerde apparaten hebben. Zodra een apparaat na de wijziging in MDM-instantie verbinding maakt met de service, ontvangt het de nieuwe instellingen van de nieuwe MDM-instantie en voorkomt het hiaten in beheer en beveiliging.
- Apparaten die geen gekoppelde gebruikers hebben (meestal wanneer u een iOS/iPadOS Device Enrollment Program of scenario's voor bulkinschrijving hebt) worden niet gemigreerd naar de nieuwe MDM-instantie. Voor deze apparaten moet u ondersteuning bellen voor hulp bij het verplaatsen ervan naar de nieuwe MDM-instantie.
Coëxistentie
Door co-existentie in te schakelen, kunt u Intune gebruiken voor een nieuwe set gebruikers terwijl u Basismobiliteit en -beveiliging voor de bestaande gebruikers blijft gebruiken. U kunt via de gebruiker bepalen welke apparaten door Intune worden beheerd. Intune beheert alle apparaten die door een gebruiker zijn ingeschreven, als de gebruiker een Intune licentie heeft of Intune co-beheer gebruikt met Configuration Manager. Anders wordt de gebruiker beheerd door Basismobiliteit en -beveiliging.
Er zijn drie belangrijke stappen om co-existentie in te schakelen:
- Voorbereiding
- INTUNE MDM-instantie toevoegen
- Migratie van gebruikers en apparaten (optioneel).
Voorbereiding
Houd rekening met de volgende punten voordat u co-existentie met Basismobiliteit en -beveiliging inschakelt:
- Zorg ervoor dat u voldoende Intune licenties hebt voor de gebruikers die u wilt beheren via Intune.
- Controleer welke gebruikers Intune licenties zijn toegewezen. Nadat u co-existentie hebt ingeschakeld, kunnen gebruikers die al een Intune licentie hebben toegewezen, hun apparaten overschakelen naar Intune. Om onverwachte apparaatswitches te voorkomen, raden we u aan geen Intune licenties toe te wijzen totdat u co-existentie hebt ingeschakeld.
- Maak en implementeer Intune beleidsregels ter vervanging van beveiligingsbeleid voor apparaten dat oorspronkelijk is geïmplementeerd via de Office 365 Security & Compliance-portal. Deze vervanging moet worden uitgevoerd voor alle gebruikers die u verwacht te verplaatsen van Basismobiliteit en -beveiliging naar Intune. Als er geen Intune beleid is toegewezen aan deze gebruikers, kan het inschakelen van co-existentie ertoe leiden dat ze Basismobiliteit en -beveiliging instellingen kwijtraken. Deze instellingen gaan verloren zonder vervanging, zoals beheerde e-mailprofielen. Zelfs wanneer u apparaatbeveiligingsbeleid vervangt door Intune-beleid, kunnen gebruikers worden gevraagd hun e-mailprofielen opnieuw te verifiëren nadat het apparaat is verplaatst naar Intune-beheer.
- U kunt de inrichting van Basismobiliteit en -beveiliging niet ongedaan maken nadat u deze hebt ingesteld. Er zijn echter stappen die u kunt uitvoeren om het beleid uit te schakelen. Zie Basismobiliteit en -beveiliging uitschakelen voor meer informatie.
INTUNE MDM-instantie toevoegen
Als u co-existentie wilt inschakelen, moet u Intune toevoegen als MDM-instantie voor uw omgeving:
Meld u aan bij het Microsoft Intune-beheercentrum met Microsoft Entra globale of Intune-servicebeheerdersrechten.
Navigeer naar Apparaten.
De blade MDM-instantie toevoegen wordt weergegeven.
Als u de MDM-instantie wilt overschakelen van Office 365 naar Intune en co-existentie wilt inschakelen, selecteert u Intune MDM-instantie>toevoegen.
Gebruikers en apparaten migreren (optioneel)
Nadat u Intune MDM-instantie hebt ingeschakeld, wordt co-existentie geactiveerd en kunt u beginnen met het beheren van gebruikers via Intune. U kunt apparaten die eerder door Basismobiliteit en -beveiliging werden beheerd, desgewenst verplaatsen om te worden beheerd door Intune door deze gebruikers een Intune licentie toe te wijzen. De apparaten van de gebruikers schakelen over naar Intune bij de volgende MDM-check-in. Instellingen die via Basismobiliteit en -beveiliging op deze apparaten zijn toegepast, worden niet meer toegepast en worden van de apparaten verwijderd.
Opschonen van mobiele apparaten na verloop van MDM-certificaat
Het MDM-certificaat wordt automatisch vernieuwd wanneer mobiele apparaten communiceren met de Intune-service. Als mobiele apparaten worden gewist of als ze enige tijd niet kunnen communiceren met de Intune-service, wordt het MDM-certificaat niet vernieuwd. Het apparaat wordt verwijderd uit de Azure Portal 180 dagen nadat het MDM-certificaat is verlopen.
MDM-instantie verwijderen
De MDM-instantie kan niet worden gewijzigd in Onbekend. De MDM-instantie wordt door de service gebruikt om te bepalen aan welke portal ingeschreven apparaten rapporteren (Microsoft Intune of Basismobiliteit en -beveiliging voor Microsoft 365).
Wat u kunt verwachten na het wijzigen van de MDM-instantie
Wanneer de Intune-service een wijziging in de MDM-instantie van een tenant detecteert, wordt er een meldingsbericht verzonden naar alle ingeschreven apparaten. In het meldingsbericht wordt de apparaten gevraagd om in te checken en te synchroniseren met de service, buiten hun normale planning. Als gevolg hiervan maken alle ingeschakelde en online apparaten verbinding met de service en ontvangen ze de nieuwe MDM-instantie. De nieuwe instantie beheert en beschermt de apparaten zonder onderbreking. Nadat de MDM-instantie voor de tenant is gewijzigd van Intune zelfstandige, blijven de apparaten normaal functioneren onder de nieuwe MDM-instantie.
Apparaten die tijdens of kort na de wijziging in MDM-instantie zijn ingeschakeld en online zijn, ondervinden een vertraging. De vertraging kan maximaal acht uur duren, afhankelijk van de timing van de volgende geplande reguliere check-in. Tijdens de vertraging worden de apparaten niet geregistreerd bij de service onder de nieuwe MDM-instantie. Na de vertraging zijn de apparaten volledig geregistreerd en operationeel onder de nieuwe MDM-instantie.
Belangrijk
Tussen het moment waarop u de MDM-instantie wijzigt en wanneer het vernieuwde APNs-certificaat wordt geüpload naar de nieuwe instantie, mislukken de inschrijvingen van nieuwe apparaten en het inchecken van apparaten voor iOS-/iPadOS-apparaten. Daarom is het belangrijk dat u het APNs-certificaat zo snel mogelijk na de wijziging in MDM-instantie controleert en uploadt naar de nieuwe instantie.
Gebruikers kunnen snel overstappen op de nieuwe MDM-instantie door handmatig in te checken vanaf het apparaat naar de service. Gebruikers kunnen deze wijziging eenvoudig aanbrengen door de Bedrijfsportal-app te gebruiken en een apparaatnalevingscontrole te starten.
Als u wilt controleren of dingen correct werken nadat apparaten zijn ingecheckt en gesynchroniseerd met de service na de wijziging in MDM-instantie, zoekt u naar de apparaten in de nieuwe MDM-instantie.
Er is een tussentijdse periode waarin een apparaat offline is tijdens de wijziging in MDM-instantie en wanneer dat apparaat bij de service incheckt. Tijdens de tussentijdse periode is het belangrijk om de functionaliteit van het apparaat te beschermen en te behouden. Om de functionaliteit van het apparaat te beveiligen en te behouden, blijven de volgende profielen op het apparaat aanwezig. Deze profielen blijven maximaal zeven dagen op het apparaat of totdat het apparaat verbinding maakt met de nieuwe MDM-instantie. Zodra het apparaat verbinding maakt en nieuwe instellingen ontvangt, worden de bestaande profielen overschreven:
- E-mailprofiel
- VPN-profiel
- Certificaatprofiel
- Wi-Fi profiel
- Configuratieprofielen
Nadat u bent overschakelen naar de nieuwe MDM-instantie, kan het tot een week duren voordat de nalevingsgegevens in het Microsoft Intune-beheercentrum nauwkeurig worden weergegeven. De nalevingsstatussen in Microsoft Entra ID en op het apparaat zijn echter nauwkeurig, zodat het apparaat nog steeds is beveiligd.
Zorg ervoor dat de nieuwe instellingen die zijn bedoeld om bestaande instellingen te overschrijven, dezelfde naam hebben als de vorige instellingen om ervoor te zorgen dat de oude instellingen worden overschreven. Anders kunnen de apparaten redundante profielen en beleidsregels hebben.
Tip
Als best practice maakt u alle beheerinstellingen en configuraties, evenals implementaties, kort nadat de wijziging van de MDM-instantie is voltooid. Dit helpt ervoor te zorgen dat apparaten tijdens de tussentijdse periode worden beveiligd en actief worden beheerd.
Nadat u de MDM-instantie hebt gewijzigd, voert u de volgende stappen uit om te controleren of nieuwe apparaten zijn ingeschreven bij de nieuwe instantie:
- Een nieuw apparaat inschrijven
- Zorg ervoor dat het zojuist ingeschreven apparaat wordt weergegeven in de nieuwe MDM-instantie.
- Voer een actie uit, zoals Extern vergrendelen, van het Microsoft Intune-beheercentrum naar het apparaat. Als dit lukt, beheert de nieuwe MDM-instantie het apparaat.
Als u problemen hebt met specifieke apparaten, kunt u de registratie van de apparaten ongedaan maken en opnieuw inschrijven om ze zo snel mogelijk te laten verbinden met de nieuwe instantie en te beheren.
De MDM-instantie van uw tenant bevestigen
Voer de volgende stappen uit om te controleren of uw MDM-instantie is ingesteld op Intune:
- Selecteer tenantbeheer Tenantstatus>in het Microsoft Intune-beheercentrum.
- Ga op het tabblad Tenantdetails naarMDM-instantie.
Volgende stappen
Als de MDM-instantie is ingesteld, kunt u beginnen met het inschrijven van apparaten.