Microsoft Defender voor Eindpunt Abonnement 1 instellen en configureren

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt

In dit artikel wordt beschreven hoe u Defender voor Eindpuntplan 1 instelt en configureert. Of u nu hulp hebt of het zelf doet, u kunt dit artikel gebruiken als richtlijn tijdens uw implementatie.

Het installatie- en configuratieproces

Het algemene installatie- en configuratieproces voor Defender for Endpoint Plan 1 is als volgt:

Nummer	Stap	Omschrijving
1	De vereisten controleren	Lijsten licentie-, browser-, besturingssysteem- en datacentervereisten
2	Uw implementatie plannen	Lijsten verschillende implementatiemethoden die u kunt overwegen en bevat koppelingen naar meer resources om u te helpen bepalen welke methode u wilt gebruiken
3	Uw tenantomgeving instellen	Lijsten taken voor het instellen van uw tenantomgeving
4	Rollen en machtigingen toewijzen	Lijsten rollen en machtigingen voor uw beveiligingsteam TIP: Zodra rollen en machtigingen zijn toegewezen, kan uw beveiligingsteam aan de slag met de Microsoft Defender portal. Zie Aan de slag voor meer informatie.
5	Onboarden naar Defender voor Eindpunt	Lijsten verschillende methoden per besturingssysteem voor onboarding naar Defender voor Eindpunt-abonnement 1 en bevat koppelingen naar meer gedetailleerde informatie voor elke methode
6	Beveiliging van de volgende generatie configureren	Hierin wordt beschreven hoe u uw beveiligingsinstellingen van de volgende generatie configureert in Microsoft Intune
7	Uw mogelijkheden voor het verminderen van kwetsbaarheid voor aanvallen configureren	Lijsten de typen mogelijkheden voor het verminderen van kwetsbaarheid voor aanvallen die u kunt configureren en bevat procedures met koppelingen naar meer resources

De vereisten controleren

De volgende tabel bevat de basisvereisten voor Defender voor Eindpunt-abonnement 1:

Vereiste	Omschrijving
Licentievereisten	Defender for Endpoint Plan 1 (zelfstandig of als onderdeel van Microsoft 365 E3 of A3)
Browservereisten	Microsoft Edge Internet Explorer versie 11 Google Chrome
Besturingssystemen (client)	Windows 11 Windows 10, versie 1709 of hoger macOS iOS Android OS
Besturingssystemen (server)	Windows Server 2022 Windows Server 2019 Windows Server versie 1803 en hoger Windows Server 2016 en 2012 R2 worden ondersteund bij het gebruik van de moderne geïntegreerde oplossing Linux-server
Datacenter	Een van de volgende datacenterlocaties: - Europese Unie -Verenigd Koninkrijk - Verenigde Staten

Opmerking

De zelfstandige versie van Defender voor Eindpunt-abonnement 1 bevat geen serverlicenties. Voor het onboarden van servers hebt u een extra licentie nodig, zoals:

• Microsoft Defender voor servers abonnement 1 of abonnement 2 (als onderdeel van de Defender for Cloud)-aanbieding.
• Microsoft Defender voor Eindpunt voor servers
• Microsoft Defender voor Bedrijfsservers (voor kleine en middelgrote ondernemingen)

Voor meer informatie. zie Onboarding van Defender voor eindpunten voor Windows Server

Uw implementatie plannen

Wanneer u uw implementatie plant, kunt u kiezen uit verschillende architecturen en implementatiemethoden. Elke organisatie is uniek, dus u hebt verschillende opties om te overwegen, zoals vermeld in de volgende tabel:

Methode	Omschrijving
Intune	Gebruik Intune om eindpunten te beheren in een systeemeigen cloudomgeving
Intune en Configuration Manager	Gebruik Intune en Configuration Manager om eindpunten en workloads te beheren die een on-premises en cloudomgeving omvatten
Configuration Manager	Gebruik Configuration Manager om on-premises eindpunten te beveiligen met de cloud-gebaseerde kracht van Defender voor Eindpunt
Lokaal script gedownload vanuit de Microsoft Defender-portal	Lokale scripts op eindpunten gebruiken om een testfase uit te voeren of slechts een paar apparaten te onboarden

Zie Uw Defender for Endpoint-implementatie plannen voor meer informatie over uw implementatieopties. En download de volgende poster:

De implementatieposter ophalen

Tip

Zie Uw Microsoft Defender voor Eindpunt implementatie plannen voor meer informatie over het plannen van uw implementatie.

Uw tenantomgeving instellen

Het instellen van uw tenantomgeving omvat taken, zoals:

• Uw licenties verifiëren
• Uw tenant configureren
• Uw proxy-instellingen configureren (alleen indien nodig)
• Ervoor zorgen dat sensoren correct werken en gegevens rapporteren aan Defender voor Eindpunt

Deze taken zijn opgenomen in de installatiefase voor Defender voor Eindpunt. Zie Defender voor eindpunt instellen.

Rollen en machtigingen toewijzen

Als u toegang wilt krijgen tot de Microsoft Defender portal, instellingen voor Defender voor Eindpunt wilt configureren of taken wilt uitvoeren, zoals het uitvoeren van reactieacties op gedetecteerde bedreigingen, moeten de juiste machtigingen worden toegewezen. Defender voor Eindpunt maakt gebruik van ingebouwde rollen binnen Microsoft Entra ID.

Microsoft raadt aan gebruikers alleen het machtigingsniveau toe te wijzen dat ze nodig hebben om hun taken uit te voeren. U kunt machtigingen toewijzen met behulp van basismachtigingsbeheer of met op rollen gebaseerd toegangsbeheer (RBAC).

• Met basismachtigingenbeheer hebben globale beheerders en beveiligingsbeheerders volledige toegang, terwijl beveiligingslezers alleen-lezentoegang hebben.
• Met RBAC kunt u gedetailleerdere machtigingen instellen via meer rollen. U kunt bijvoorbeeld beveiligingslezers, beveiligingsoperators, beveiligingsbeheerders, eindpuntbeheerders en meer hebben.

In de volgende tabel worden belangrijke rollen beschreven die u kunt overwegen voor Defender voor Eindpunt in uw organisatie:

Rol	Beschrijving
Globale beheerders (ook wel globale beheerders genoemd) Als best practice kunt u het aantal globale beheerders beperken.	Globale beheerders kunnen allerlei taken uitvoeren. De persoon die uw bedrijf heeft geregistreerd voor Microsoft 365 of voor Microsoft Defender voor Eindpunt Abonnement 1, is standaard een globale beheerder. Globale beheerders kunnen instellingen openen/wijzigen in alle Microsoft 365-portals, zoals: - De Microsoft 365-beheercentrum (https://admin.microsoft.com) - Microsoft Defender portal (https://security.microsoft.com) - Intune beheercentrum (https://endpoint.microsoft.com)
Beveiligingsbeheerders (ook wel beveiligingsbeheerders genoemd)	Beveiligingsbeheerders kunnen beveiligingsoperatortaken uitvoeren plus de volgende taken: - Beveiligingsbeleid bewaken - Beveiligingsrisico's en waarschuwingen beheren - Rapporten weergeven
Beveiligingsoperator	Beveiligingsoperators kunnen beveiligingslezertaken uitvoeren plus de volgende taken: - Informatie over gedetecteerde bedreigingen weergeven - Gedetecteerde bedreigingen onderzoeken en erop reageren
Beveiligingslezer	Beveiligingslezers kunnen de volgende taken uitvoeren: - Beveiligingsbeleid voor Microsoft 365-services weergeven - Beveiligingsrisico's en waarschuwingen weergeven - Rapporten weergeven

Tip

Zie Beheerders- en niet-beheerdersrollen toewijzen aan gebruikers met Microsoft Entra ID voor meer informatie over rollen in Microsoft Entra ID. Zie Op rollen gebaseerd toegangsbeheer voor meer informatie over rollen voor Defender voor Eindpunt.

Onboarden naar Defender voor Eindpunt

Wanneer u klaar bent om de eindpunten van uw organisatie te onboarden, kunt u kiezen uit verschillende methoden, zoals vermeld in de volgende tabel:

Eindpunt	Implementatiehulpprogramma
Windows	Lokaal script (maximaal 10 apparaten) Groepsbeleid Microsoft Intune/mobile Apparaatbeheer Microsoft Endpoint Configuration Manager VDI-scripts
macOS	Lokaal script Microsoft Intune JAMF Pro Mobile Device Management
Android	Microsoft Intune
iOS	Microsoft Intune Mobile Application Manager

Ga vervolgens verder met het configureren van de mogelijkheden voor beveiliging en kwetsbaarheid voor aanvallen van de volgende generatie.

Beveiliging van de volgende generatie configureren

U wordt aangeraden Intune te gebruiken om de apparaten en beveiligingsinstellingen van uw organisatie te beheren, zoals wordt weergegeven in de volgende afbeelding:

Voer de volgende stappen uit om uw beveiliging van de volgende generatie in Intune te configureren:

1. Ga naar het Intune-beheercentrum (https://endpoint.microsoft.com) en meld u aan.

2. Selecteer Eindpuntbeveiliging>Antivirus en selecteer vervolgens een bestaand beleid. (Als u geen bestaand beleid hebt, maakt u een nieuw beleid.)

3. Stel de instellingen voor uw antivirusconfiguratie in of wijzig deze. Hulp nodig? Raadpleeg de volgende resources:
   

   • Instellingen voor Windows 10 Microsoft Defender antivirusbeleid in Microsoft Intune
   • Defender voor Eindpunt configureren op iOS-functies

4. Wanneer u klaar bent met het opgeven van uw instellingen, kiest u Controleren en opslaan.

Uw mogelijkheden voor het verminderen van kwetsbaarheid voor aanvallen configureren

Het verminderen van kwetsbaarheid voor aanvallen heeft alles te maken met het verminderen van de plaatsen en manieren waarop uw organisatie openstaat voor aanvallen. Defender voor Eindpunt-abonnement 1 bevat verschillende functies en mogelijkheden om uw kwetsbaarheid voor aanvallen op uw eindpunten te verminderen. Deze functies en mogelijkheden worden vermeld in de volgende tabel:

Functie/mogelijkheid	Omschrijving
Regels voor het verminderen van kwetsbaarheid voor aanvallen	Configureer regels voor het verminderen van kwetsbaarheid voor aanvallen om risicovol gedrag op basis van software te beperken en uw organisatie veilig te houden. Regels voor het verminderen van kwetsbaarheid voor aanvallen zijn gericht op bepaald softwaregedrag, zoals - Uitvoerbare bestanden en scripts starten die proberen bestanden te downloaden of uit te voeren - Verborgen of anderszins verdachte scripts uitvoeren - Gedrag uitvoeren dat apps meestal niet starten tijdens normaal dagelijks werk Dergelijk softwaregedrag wordt soms gezien in legitieme toepassingen. Dit gedrag wordt echter vaak als riskant beschouwd omdat ze vaak worden misbruikt door aanvallers via malware.
Ransomware-beperking	Stel ransomwarebeperking in door gecontroleerde maptoegang te configureren, waardoor de waardevolle gegevens van uw organisatie worden beschermd tegen schadelijke apps en bedreigingen, zoals ransomware.
Apparaatbesturing	Configureer instellingen voor apparaatbeheer voor uw organisatie om verwisselbare apparaten (zoals USB-stations) toe te staan of te blokkeren.
Netwerkbeveiliging	Netwerkbeveiliging instellen om te voorkomen dat personen in uw organisatie toepassingen gebruiken die toegang hebben tot gevaarlijke domeinen of schadelijke inhoud op internet.
Webbeveiliging	Stel beveiliging tegen webbedreigingen in om de apparaten van uw organisatie te beschermen tegen phishingsites, misbruiksites en andere sites met een niet-vertrouwde of lage reputatie. Stel het filteren van webinhoud in om de toegang tot websites bij te houden en te reguleren op basis van hun inhoudscategorieën (zoals vrije tijd, hoge bandbreedte, inhoud voor volwassenen of juridische aansprakelijkheid).
Netwerkfirewall	Configureer uw netwerkfirewall met regels die bepalen welk netwerkverkeer mag binnenkomen of uitgaan van de apparaten van uw organisatie.
Toepassingsbeheer	Configureer regels voor toepassingsbeheer als u alleen vertrouwde toepassingen en processen wilt laten uitvoeren op uw Windows-apparaten.

Regels voor het verminderen van kwetsbaarheid voor aanvallen

Regels voor het verminderen van kwetsbaarheid voor aanvallen zijn beschikbaar op apparaten met Windows. U wordt aangeraden Intune te gebruiken, zoals wordt weergegeven in de volgende afbeelding:

1. Ga naar het Intune-beheercentrum (https://endpoint.microsoft.com) en meld u aan.

2. Kies Eindpuntbeveiliging>Kwetsbaarheid voor aanvallen verminderen>+ Creatie beleid.

3. Selecteer bij PlatformWindows 10 en hoger.

4. Selecteer voor Profielde optie Regels voor het verminderen van kwetsbaarheid voor aanvallen en kies vervolgens Creatie.

5. Geef op het tabblad Basisbeginselen een naam en beschrijving op voor het beleid en kies volgende.

6. Vouw op het tabblad Configuratie-instellingenregels voor het verminderen van kwetsbaarheid voor aanvallen uit.

7. Geef instellingen op voor elke regel en kies volgende. (Zie Regels voor het verminderen van kwetsbaarheid voor aanvallen voor meer informatie over wat elke regel doet.)

8. Als uw organisatie bereiktags gebruikt op het tabblad Bereiktags , kiest u + Bereiktags selecteren en selecteert u vervolgens de tags die u wilt gebruiken. Kies vervolgens Volgende.

   Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.

9. Geef op het tabblad Toewijzingen de gebruikers en groepen op waarop het beleid moet worden toegepast en kies volgende. (Zie Gebruikers- en apparaatprofielen toewijzen in Microsoft Intune voor meer informatie over toewijzingen.)

10. Controleer op het tabblad Controleren en maken de instellingen en kies vervolgens Creatie.

Tip

Zie de volgende resources voor meer informatie over regels voor het verminderen van kwetsbaarheid voor aanvallen:

• Regels voor het verminderen van kwetsbaarheid voor aanvallen gebruiken om malware-infectie te voorkomen
• De lijst met regels voor het verminderen van kwetsbaarheid voor aanvallen weergeven
• Implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen Stap 3: Regels voor het verminderen van kwetsbaarheid voor aanvallen implementeren

Ransomware-beperking

U kunt ransomware beperken via gecontroleerde maptoegang, waardoor alleen vertrouwde apps toegang hebben tot beveiligde mappen op uw eindpunten.

U wordt aangeraden Intune te gebruiken om beheerde maptoegang te configureren.

1. Ga naar het Intune-beheercentrum (https://endpoint.microsoft.com) en meld u aan.

2. Selecteer Eindpuntbeveiliging en selecteer vervolgens Kwetsbaarheid voor aanvallen verminderen.

3. Kies + Creatie Beleid.

4. Voor Platform selecteert u Windows 10 en hoger en voor Profiel selecteert u Regels voor het verminderen van kwetsbaarheid voor aanvallen. Kies vervolgens Maken.

5. Geef op het tabblad Basisbeginselen de naam van het beleid en voeg een beschrijving toe. Selecteer Volgende.

6. Schuif op het tabblad Configuratie-instellingen in de sectie Regels voor het verminderen van kwetsbaarheid voor aanvallen omlaag naar de onderkant. Selecteer in de vervolgkeuzelijst Mapbeveiliging inschakelen de optie Inschakelen. U kunt desgewenst deze andere instellingen opgeven:

   • Selecteer naast Lijst met extra mappen die moeten worden beveiligd de vervolgkeuzelijst en voeg vervolgens mappen toe die moeten worden beveiligd.
   • Selecteer naast Lijst met apps die toegang hebben tot beveiligde mappen de vervolgkeuzelijst en voeg vervolgens apps toe die toegang moeten hebben tot beveiligde mappen.
   • Selecteer naast Bestanden en paden uitsluiten van regels voor het verminderen van kwetsbaarheid voor aanvallen de vervolgkeuzelijst en voeg vervolgens de bestanden en paden toe die moeten worden uitgesloten van regels voor het verminderen van kwetsbaarheid voor aanvallen.

   Kies dan Volgende.

7. Als uw organisatie bereiktags gebruikt op het tabblad Bereiktags , kiest u + Bereiktags selecteren en selecteert u vervolgens de tags die u wilt gebruiken. Kies vervolgens Volgende.

   Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.

8. Selecteer op het tabblad Toewijzingende optie Alle gebruikers toevoegen en + Alle apparaten toevoegen en kies vervolgens Volgende. (U kunt ook specifieke groepen gebruikers of apparaten opgeven.)

9. Controleer op het tabblad Controleren en maken de instellingen voor uw beleid en kies vervolgens Creatie. Het beleid wordt toegepast op alle eindpunten die binnenkort zijn toegevoegd aan Defender voor Eindpunt.

Apparaatbeheer

U kunt Defender voor Eindpunt zo configureren dat verwisselbare apparaten en bestanden op verwisselbare apparaten worden geblokkeerd of toegestaan. U wordt aangeraden Intune te gebruiken om de instellingen voor apparaatbeheer te configureren.

1. Ga naar het Intune-beheercentrum (https://endpoint.microsoft.com) en meld u aan.

2. Selecteer Apparaten>Configuratieprofielen>Creatie profiel.

3. Selecteer voor PlatformWindows 10 en hoger en selecteer bij Profieltypede optie Sjablonen.

   Selecteer beheersjablonen onder Sjabloonnaam en kies vervolgens Creatie.

4. Geef op het tabblad Basisbeginselen de naam van het beleid en voeg een beschrijving toe. Selecteer Volgende.

5. Selecteer op het tabblad Configuratie-instellingende optie Alle instellingen. Typ vervolgens in het zoekvak Removable om alle instellingen te zien die betrekking hebben op verwisselbare apparaten.

6. Selecteer een item in de lijst, zoals Alle verwisselbare opslagklassen: Alle toegang weigeren, om het flyoutvenster te openen. In de flyout voor elke instelling wordt uitgelegd wat er gebeurt wanneer deze is ingeschakeld, uitgeschakeld of niet is geconfigureerd. Selecteer een instelling en kies vervolgens OK.

7. Herhaal stap 6 voor elke instelling die u wilt configureren. Kies dan Volgende.

8. Als uw organisatie bereiktags gebruikt op het tabblad Bereiktags , kiest u + Bereiktags selecteren en selecteert u vervolgens de tags die u wilt gebruiken. Kies vervolgens Volgende.

   Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.

9. Selecteer op het tabblad Toewijzingende optie Alle gebruikers toevoegen en + Alle apparaten toevoegen en kies vervolgens Volgende. (U kunt ook specifieke groepen gebruikers of apparaten opgeven.)

10. Controleer op het tabblad Controleren en maken de instellingen voor uw beleid en kies vervolgens Creatie. Het beleid wordt toegepast op alle eindpunten die binnenkort zijn toegevoegd aan Defender voor Eindpunt.

Tip

Zie USB-apparaten en andere verwisselbare media beheren met behulp van Microsoft Defender voor Eindpunt voor meer informatie.

Netwerkbeveiliging

Met netwerkbeveiliging kunt u uw organisatie helpen beschermen tegen gevaarlijke domeinen die phishing-oplichting, exploits en andere schadelijke inhoud op internet kunnen hosten. U wordt aangeraden Intune te gebruiken om netwerkbeveiliging in te schakelen.

1. Ga naar het Intune-beheercentrum (https://endpoint.microsoft.com) en meld u aan.

2. Selecteer Apparaten>Configuratieprofielen>Creatie profiel.

3. Selecteer voor PlatformWindows 10 en hoger en selecteer bij Profieltypede optie Sjablonen.

   Selecteer onder Sjabloonnaamde optie Endpoint Protection en kies vervolgens Creatie.

4. Geef op het tabblad Basisbeginselen de naam van het beleid en voeg een beschrijving toe. Selecteer Volgende.

5. Vouw op het tabblad Configuratie-instellingenMicrosoft Defender Exploit Guard uit en vouw vervolgens Netwerkfiltering uit.

   Stel Netwerkbeveiliging in op Inschakelen. (U kunt ook Controleren kiezen om te zien hoe netwerkbeveiliging in uw omgeving in eerste instantie werkt.)

   Kies dan Volgende.

6. Selecteer op het tabblad Toewijzingende optie Alle gebruikers toevoegen en + Alle apparaten toevoegen en kies vervolgens Volgende. (U kunt ook specifieke groepen gebruikers of apparaten opgeven.)

7. Stel op het tabblad Toepasselijkheidsregels een regel in. Het profiel dat u configureert, wordt alleen toegepast op apparaten die voldoen aan de gecombineerde criteria die u opgeeft.

   U kunt er bijvoorbeeld voor kiezen om het beleid toe te wijzen aan eindpunten waarop alleen een bepaalde editie van het besturingssysteem wordt uitgevoerd.

   Kies dan Volgende.

8. Controleer op het tabblad Controleren en maken de instellingen voor uw beleid en kies vervolgens Creatie. Het beleid wordt toegepast op alle eindpunten die binnenkort zijn toegevoegd aan Defender voor Eindpunt.

Tip

U kunt andere methoden gebruiken, zoals Windows PowerShell of groepsbeleid, om netwerkbeveiliging in te schakelen. Zie Netwerkbeveiliging inschakelen voor meer informatie.

Webbeveiliging

Met webbeveiliging kunt u de apparaten van uw organisatie beschermen tegen webbedreigingen en ongewenste inhoud. Uw webbeveiliging omvat beveiliging tegen webdreigingen en filteren van webinhoud. Configureer beide sets mogelijkheden. U wordt aangeraden Intune te gebruiken om uw instellingen voor webbeveiliging te configureren.

Beveiliging tegen webdreigingen configureren

1. Ga naar het Intune-beheercentrum (https://endpoint.microsoft.com) en meld u aan.

2. Kies Eindpuntbeveiliging>Kwetsbaarheid voor aanvallen verminderen en kies vervolgens + Creatie beleid.

3. Selecteer een platform, zoals Windows 10 en hoger, selecteer het profiel voor webbeveiliging en kies vervolgens Creatie.

4. Geef op het tabblad Basis een naam en beschrijving op en kies volgende.

5. Vouw op het tabblad Configuratie-instellingenwebbeveiliging uit, geef de instellingen in de volgende tabel op en kies volgende.
   
   

   Instelling	Aanbeveling
   Netwerkbeveiliging inschakelen	Stel in op Ingeschakeld. Hiermee voorkomt u dat gebruikers schadelijke sites of domeinen bezoeken. U kunt ook netwerkbeveiliging instellen op de controlemodus om te zien hoe deze werkt in uw omgeving. In de controlemodus voorkomt netwerkbeveiliging niet dat gebruikers sites of domeinen bezoeken, maar wel detecties als gebeurtenissen.
   SmartScreen vereisen voor Microsoft Edge (oudere versie)	Stel in op Ja. Helpt gebruikers te beschermen tegen mogelijke phishing-oplichting en schadelijke software.
   Toegang tot schadelijke sites blokkeren	Stel in op Ja. Hiermee voorkomt u dat gebruikers waarschuwingen over mogelijk schadelijke sites omzeilen.
   Het downloaden van niet-geverifieerde bestanden blokkeren	Stel in op Ja. Hiermee voorkomt u dat gebruikers de waarschuwingen omzeilen en niet-geverifieerde bestanden downloaden.

6. Als uw organisatie bereiktags gebruikt op het tabblad Bereiktags , kiest u + Bereiktags selecteren en selecteert u vervolgens de tags die u wilt gebruiken. Kies vervolgens Volgende.

   Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.

7. Geef op het tabblad Toewijzingen de gebruikers en apparaten op die het webbeveiligingsbeleid moeten ontvangen en kies vervolgens Volgende.

8. Controleer op het tabblad Controleren en maken uw beleidsinstellingen en kies vervolgens Creatie.

Tip

Zie Uw organisatie beveiligen tegen webbedreigingen voor meer informatie over beveiliging tegen webbedreigingen.

Filteren van webinhoud configureren

1. Ga naar de Microsoft Defender-portal (https://security.microsoft.com/) en meld u aan.

2. Kies Instellingen>Eindpunten.

3. Kies onder Regelsde optie Webinhoud filteren en kies vervolgens + Beleid toevoegen.

4. Geef in de flyout Beleid toevoegen op het tabblad Algemeen een naam op voor uw beleid en kies volgende.

5. Selecteer in geblokkeerde categorieën een of meer categorieën die u wilt blokkeren en kies vervolgens Volgende.

6. Selecteer op het tabblad Bereik de apparaatgroepen die u dit beleid wilt ontvangen en kies vervolgens Volgende.

7. Controleer op het tabblad Samenvatting uw beleidsinstellingen en kies vervolgens Opslaan.

Tip

Zie Webinhoud filteren voor meer informatie over het configureren van het filteren van webinhoud.

Netwerkfirewall

Netwerkfirewall helpt het risico van netwerkbeveiligingsbedreigingen te verminderen. Uw beveiligingsteam kan regels instellen die bepalen welk verkeer van of naar de apparaten van uw organisatie mag stromen. U wordt aangeraden Intune te gebruiken om uw netwerkfirewall te configureren.

Voer de volgende stappen uit om eenvoudige firewallinstellingen te configureren:

1. Ga naar het Intune-beheercentrum (https://endpoint.microsoft.com) en meld u aan.

2. Kies Firewall voor eindpuntbeveiliging> en kies vervolgens + Creatie Beleid.

3. Selecteer een platform, zoals Windows 10 en hoger, selecteer het Microsoft Defender Firewall-profiel en kies vervolgens Creatie.

4. Geef op het tabblad Basis een naam en beschrijving op en kies volgende.

5. Vouw Microsoft Defender Firewall uit en schuif omlaag naar de onderkant van de lijst.

6. Stel elk van de volgende instellingen in op Ja:

   • Microsoft Defender Firewall inschakelen voor domeinnetwerken
   • Microsoft Defender Firewall inschakelen voor privénetwerken
   • Microsoft Defender Firewall inschakelen voor openbare netwerken

   Bekijk de lijst met instellingen onder elk domeinnetwerk, privénetwerk en openbare netwerken. U kunt ze ingesteld laten op Niet geconfigureerd of ze aanpassen aan de behoeften van uw organisatie.

   Kies dan Volgende.

7. Als uw organisatie bereiktags gebruikt op het tabblad Bereiktags , kiest u + Bereiktags selecteren en selecteert u vervolgens de tags die u wilt gebruiken. Kies vervolgens Volgende.

   Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.

8. Selecteer op het tabblad Toewijzingende optie Alle gebruikers toevoegen en + Alle apparaten toevoegen en kies vervolgens Volgende. (U kunt ook specifieke groepen gebruikers of apparaten opgeven.)

9. Controleer op het tabblad Controleren en maken uw beleidsinstellingen en kies vervolgens Creatie.

Tip

Firewallinstellingen zijn gedetailleerd en kunnen complex lijken. Raadpleeg Best practices voor het configureren van Windows Defender Firewall.

Toepassingsbeheer

Windows Defender Application Control (WDAC) helpt uw Windows-eindpunten te beschermen door alleen vertrouwde toepassingen en processen uit te voeren. De meeste organisaties hebben een gefaseerde implementatie van WDAC gebruikt. Dat wil dus dat de meeste organisaties WDAC in eerste instantie niet implementeren voor alle Windows-eindpunten. Afhankelijk van of de Windows-eindpunten van uw organisatie volledig beheerde, licht beheerde of Bring Your Own Device-eindpunten zijn, kunt u WDAC implementeren op alle of sommige eindpunten.

Zie de volgende resources voor hulp bij het plannen van uw WDAC-implementatie:

• Toepassingsbeheer voor Windows

• beleidsontwerpbeslissingen voor Windows Defender-toepassingsbeheer

• implementatie van toepassingsbeheer Windows Defender in verschillende scenario's: typen apparaten

Volgende stappen

Nu u het installatie- en configuratieproces hebt doorlopen, is de volgende stap om aan de slag te gaan met Defender voor Eindpunt.

• Aan de slag met Defender voor Eindpunt-abonnement 1

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.