Delen via

Stap 5. Apparaatprofielen implementeren in Microsoft Intune

  • Artikel

Microsoft Intune bevat instellingen en functies die u kunt in- of uitschakelen op verschillende apparaten binnen uw organisatie. Deze instellingen en functies worden toegevoegd aan 'configuratieprofielen'. U kunt profielen maken voor verschillende apparaten en verschillende platforms, waaronder iOS/iPadOS, Android-apparaatbeheerder, Android Enterprise en Windows. Gebruik vervolgens Intune om het profiel toe te passen of toe te wijzen aan de apparaten.

Dit artikel bevat richtlijnen om aan de slag te gaan met configuratieprofielen.

De vierde stap van Mobile Apparaatbeheer het afdwingen van beveiligde instellingen op apparaten met configuratieprofielen.

Configuratieprofielen bieden u de mogelijkheid om belangrijke beveiliging te configureren en apparaten aan de naleving toe te passen, zodat ze toegang hebben tot uw resources. Voorheen werden dit soort configuratiewijzigingen geconfigureerd met behulp van groepsbeleid instellingen in Active Directory Domain Services. Een moderne beveiligingsstrategie omvat het verplaatsen van beveiligingscontroles naar de cloud, waarbij het afdwingen van deze besturingselementen niet afhankelijk is van on-premises resources en toegang. Intune-configuratieprofielen zijn de manier om deze beveiligingsmaatregelen over te zetten naar de cloud.

Zie Functies en instellingen toepassen op uw apparaten met behulp van apparaatprofielen in Microsoft Intune om u een idee te geven van het type configuratieprofielen dat u kunt maken.

Windows-beveiligingsbasislijnen implementeren voor Intune

Als u uw apparaatconfiguraties wilt afstemmen op microsoft-beveiligingsbasislijnen, raden we u de beveiligingsbasislijnen in Microsoft Intune aan. Het voordeel van deze aanpak is dat u erop kunt vertrouwen dat Microsoft de basislijnen up-to-date houdt wanneer Windows 10 en 11 functies worden uitgebracht.

Om de Windows-beveiligingsbasislijnen voor Intune te implementeren, die beschikbaar is voor Windows 10 en Windows 11. Zie Beveiligingslijnlijnen gebruiken om Windows in Intune te configureren voor meer informatie over de beschikbare basislijnen.

Implementeer voorlopig alleen de meest geschikte MDM-beveiligingsbasislijn. Zie Beveiligingsbasislijnprofielen beheren in Microsoft Intune om het profiel te maken en de basislijnversie te kiezen.

Wanneer Microsoft Defender voor Eindpunt later is ingesteld en u Intune hebt verbonden, implementeert u de Defender voor eindpuntbasislijnen. Dit onderwerp wordt behandeld in het volgende artikel in deze reeks: Stap 6. Controleer apparaatrisico's en naleving van beveiligingsbasislijnen.

Het is belangrijk om te begrijpen dat deze beveiligingsbasislijnen niet compatibel zijn met CIS of NIST, maar nauw overeenkomen met hun aanbevelingen. Zie voor meer informatie Zijn de Intune-beveiligingsbasislijnen CIS- of NIST-compatibel?

Configuratieprofielen voor uw organisatie aanpassen

Naast het implementeren van de vooraf geconfigureerde basislijnen implementeren veel organisaties op ondernemingsniveau configuratieprofielen voor gedetailleerdere controle. Deze configuratie vermindert de afhankelijkheid van groepsbeleid-objecten in de on-premises Active Directory-omgeving en verplaatst beveiligingsbesturingselementen naar de cloud.

De vele instellingen die u kunt configureren met behulp van configuratieprofielen kunnen worden gegroepeerd in vier categorieën, zoals hieronder wordt geïllustreerd.

Intune apparaatprofielcategorieën, waaronder apparaatfuncties, apparaatbeperkingen, toegangsconfiguratie en aangepaste instellingen.

In de volgende tabel wordt de afbeelding beschreven.

Categorie Beschrijving Voorbeelden
Apparaatfuncties Hiermee worden functies op het apparaat beheerd. Deze categorie is alleen van toepassing op iOS-/iPadOS- en macOS-apparaten. Airprint, meldingen, berichten op vergrendelingsscherm
Apparaatbeperkingen Hiermee beheert u de beveiliging, hardware, het delen van gegevens en meer instellingen op de apparaten Een pincode en gegevensversleuteling vereisen
Toegangsconfiguratie Hiermee configureert u een apparaat voor toegang tot de resources van uw organisatie E-mailprofielen, VPN-profielen, wifi instellingen, certificaten
Aangepast Aangepaste configuratie instellen of aangepaste configuratieacties uitvoeren OEM-instellingen instellen, PowerShell-scripts uitvoeren

Gebruik de volgende richtlijnen bij het aanpassen van configuratieprofielen voor uw organisatie:

  • Vereenvoudig uw strategie voor beveiligingsbeheer door het totale aantal beleidsregels klein te houden.
  • Groepeer instellingen in de hierboven genoemde categorieën of categorieën die zinvol zijn voor uw organisatie.
  • Wanneer u beveiligingsbesturingselementen verplaatst van groepsbeleid Objects (GPO) naar Intune configuratieprofielen, moet u nagaan of de instellingen die door elk groepsbeleidsobject zijn geconfigureerd nog steeds relevant zijn en nodig zijn om bij te dragen aan uw algehele cloudbeveiligingsstrategie. Voorwaardelijke toegang en de vele beleidsregels die kunnen worden geconfigureerd voor cloudservices, waaronder Intune, bieden geavanceerdere beveiliging dan zou kunnen worden geconfigureerd in een on-premises omgeving waarin aangepaste GPO's oorspronkelijk zijn ontworpen.
  • Gebruik groepsbeleid Analytics om uw huidige GPO-instellingen te vergelijken en toe te wijzen aan mogelijkheden binnen Microsoft Intune. Zie Uw on-premises groepsbeleidsobjecten (GPO) analyseren met behulp van groepsbeleid analytics in Microsoft Intune.
  • Wanneer u aangepaste configuratieprofielen gebruikt, moet u de volgende richtlijnen gebruiken: Een profiel maken met aangepaste instellingen in Intune.

Aanvullende bronnen

Als u niet zeker weet waar u moet beginnen met apparaatprofielen, kan het volgende helpen:

Als uw omgeving on-premises GPO's bevat, zijn de volgende functies een goede overgang naar de cloud:

Volgende stap

Ga naar Stap 6. Controleer apparaatrisico's en naleving van beveiligingsbasislijnen.