Een apparaatconfiguratieprofiel maken in Microsoft Intune

Met apparaatconfiguratieprofielen kunt u apparaatinstellingen toevoegen en configureren en deze instellingen vervolgens pushen naar apparaten in uw organisatie. U hebt een aantal opties bij het maken van beleidsregels:

• Basislijnen: op Windows-apparaten bevatten deze basislijnen vooraf geconfigureerde beveiligingsinstellingen. Als u beveiligingsbeleid wilt maken met aanbevelingen van Microsoft-beveiligingsteams, gebruikt u beveiligingsbasislijnen.

  Ga voor meer informatie naar Basislijnen voor beveiliging.

• Instellingencatalogus: Op uw Apple-, Android- en Windows-apparaten kunt u de instellingencatalogus gebruiken om apparaatfuncties en -instellingen te configureren. De instellingencatalogus bevat alle beschikbare instellingen en op één locatie. U kunt bijvoorbeeld alle instellingen zien die van toepassing zijn op BitLocker en een beleid maken dat alleen is gericht op BitLocker. Gebruik op macOS-apparaten de instellingencatalogus om Microsoft Edge versie 77 en instellingen te configureren.

  Er worden voortdurend meer instellingen toegevoegd aan de instellingencatalogus. Ga naar Instellingencatalogus voor meer informatie.

• Sjablonen: op uw apparaten kunt u de ingebouwde sjablonen gebruiken. Elke sjabloon bevat een logische groepering van instellingen waarmee een functie of concept wordt geconfigureerd, zoals VPN, e-mail, kioskapparaten en meer. Als u bekend bent met het maken van apparaatconfiguratiebeleid in Microsoft Intune, gebruikt u deze sjablonen al.

  Ga voor meer informatie, met inbegrip van de beschikbare sjablonen, naar Functies en instellingen toepassen op uw apparaten met behulp van apparaatprofielen.

Dit artikel:

• Toont de stappen om een profiel aan te maken.
• Laat zien hoe u een bereiktag toevoegt om uw beleid te 'filteren'.
• Beschrijft toepasselijkheidsregels op Windows-clientapparaten en laat zien hoe u een regel maakt.
• Bevat meer informatie over de vernieuwingscyclustijden voor inchecken wanneer apparaten profielen en eventuele profielupdates ontvangen.

Deze functie is van toepassing op:

• Android
• iOS/iPadOS
• macOS
• Windows

Vereisten

• Meld u minimaal aan bij het Microsoft Intune-beheercentrum met de rol Beleids- en profielbeheerder . Ga naar Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune voor informatie over de ingebouwde rollen in Intune en wat ze kunnen doen.

• Registreer uw apparaten bij Intune. Zie de Microsoft Intune-inschrijvingshandleiding voor meer informatie over uw inschrijvingsopties.

Het profiel maken

Selecteer apparaten in het Intune-beheercentrum. U beschikt tevens over de volgende opties:

• Overzicht: Lijsten de status van sommige van uw profielen en geeft meer informatie over de profielen die u hebt toegewezen aan gebruikers en apparaten.

• Bewaken: Lijsten alle bewakingsrapporten voor apparaten. Gebruik deze rapporten om fouten bij de toewijzing van configuratiebeleid, onvolledige gebruikersinschrijvingen, niet-compatibele apparaten, installatiefouten bij updates en meer te controleren.

• Per platform: vouw deze optie uit om een lijst met ondersteunde platforms op te halen, zoals Android en Linux. Wanneer u een platform selecteert, kunt u beleidsregels en profielen maken en weergeven voor het platform dat u kiest.

  In deze weergave kunnen ook functies worden weergegeven die specifiek zijn voor het platform. Selecteer bijvoorbeeld Windows. U ziet windows-specifieke functies, zoals scripts en herstelbewerkingen en analyse van groepsbeleid.

• Apparaten beheren: vouw deze optie uit om de beleidsregels te zien die u kunt maken, zoals nalevings- en configuratiebeleid.

Wanneer u een profiel maakt (Apparaten>Apparaten apparaten> beherenConfiguratie>Nieuw beleidmaken>), kiest u uw platform:

• Android apparaatbeheerder
• Android (AOSP)
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10 en hoger
• Windows 8.1 en hoger

Kies vervolgens uw profieltype. Afhankelijk van het platform dat u kiest, zijn de profieltypen verschillend. In de volgende artikelen worden de verschillende profielen beschreven:

Als u bijvoorbeeld Windows als platform selecteert, zien uw opties er ongeveer uit als in het volgende profiel:

Bereiktags

Nadat u de instellingen hebt toegevoegd, kunt u ook een bereiktag toevoegen aan het profiel. Met bereiktags worden profielen gefilterd op specifieke IT-groepen, zoals US-NC IT Team of JohnGlenn_ITDepartment. En worden gebruikt in gedistribueerde IT.

Ga naar RBAC en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags en wat u kunt doen.

Regels voor toepasselijkheid

Van toepassing op:

• Windows

Met toepasselijkheidsregels kunnen beheerders zich richten op apparaten in een groep die voldoen aan specifieke criteria. U maakt bijvoorbeeld een profiel voor apparaatbeperkingen dat van toepassing is op de groep Alle Windows-apparaten . En u wilt dat het profiel alleen wordt toegewezen aan apparaten met Windows Enterprise.

Als u deze taak wilt uitvoeren, maakt u een toepasselijkheidsregel. Deze regels zijn ideaal voor de volgende scenario's:

• Bij Bellows College wilt u zich richten op alle Windows-apparaten waarop Windows 11 versie 24H2 wordt uitgevoerd.
• U wilt zich richten op alle gebruikers in Human Resources bij Contoso, maar alleen Windows Professional- of Enterprise-apparaten.

Als u deze scenario's wilt benaderen, gaat u als volgt te werk:

• Maak een apparatengroep die alle apparaten van Bellows College bevat. Voeg in het profiel een toepasbaarheidsregel toe, zodat deze van toepassing is als de minimale versie van het besturingssysteem is 10.0.26100 en de maximale versie 10.0.26200 is. Dit profiel toewijzen aan de apparatengroep Bellows College.

  Wanneer het profiel wordt toegewezen, is dit van toepassing op apparaten tussen de minimale en maximale versie die u invoert. Voor apparaten die zich niet tussen de minimale en maximale versie bevinden die u invoert, wordt de status Niet van toepassing weergegeven.

• Maak een gebruikersgroep die alle gebruikers in HR (Human Resources, Personeelszaken) bij Contoso bevat. Voeg in het profiel een toepasselijkheidsregel toe, zodat deze van toepassing is op apparaten met Windows Professional of Enterprise. Wijs dit profiel toe aan de groep HR-gebruikers.

  Wanneer het profiel is toegewezen, is dit van toepassing op apparaten met Windows Professional of Enterprise. Voor apparaten waarop deze edities niet worden uitgevoerd, wordt de status Niet van toepassing weergegeven.

• Als er twee profielen met exact dezelfde instellingen zijn, wordt het profiel zonder toepassingsregel toegepast.

  ProfileA is bijvoorbeeld gericht op de groep Windows-apparaten, schakelt BitLocker in en heeft geen regel voor toepasselijkheid. ProfileB is gericht op dezelfde Windows-apparatengroep, schakelt BitLocker in en heeft een toepasselijkheidsregel om het profiel alleen toe te passen op de Windows Enterprise-editie.

  Wanneer beide profielen zijn toegewezen, wordt ProfileA toegepast omdat deze geen toepassingsregel heeft.

Wanneer u het profiel toewijst aan de groepen, fungeren de toepasselijkheidsregels als een filter en zijn ze alleen gericht op de apparaten die voldoen aan uw criteria.

Een regel toevoegen

Gebruik de volgende stappen om een toepasselijkheidsregel te maken.

1. Selecteer Toepasselijkheidsregels in uw beleid. U kunt de Regel en het Eigenschap kiezen:

   

2. Kies in Regel of u gebruikers of groepen wilt opnemen of uitsluiten. Uw opties:

   • Profiel toewijzen als: bevat gebruikers of groepen die voldoen aan de criteria die u invoert.
   • Wijs geen profiel toe als: hiermee worden gebruikers of groepen uitgesloten die voldoen aan de criteria die u invoert.

3. Kies in Eigenschap het filter. Uw opties:

   • Editie van het besturingssysteem: controleer in de lijst de Windows-clientversies die u wilt opnemen (of uitsluiten) in uw regel.

   • Versie van het besturingssysteem: voer de minimale en maximale versienummers van de Windows-client in die u wilt opnemen in (of uitsluiten van) in uw regel. Beide waarden zijn vereist.

     U kunt bijvoorbeeld 10.0.16299.0 (RS3 of 1709) invoeren voor de minimale versie en 10.0.17134.0 (RS4 of 1803) voor de maximale versie. Of u kunt gedetailleerder zijn en 10.0.16299.001 invoeren voor de minimale versie en 10.0.17134.319 voor de maximale versie.

     Ga naar Release-informatie voor Windows-client voor meer versienummers.

4. Selecteer Opslaan om de wijzigingen op te slaan.

Cyclustijden voor beleidsvernieuwing

Intune gebruikt verschillende vernieuwingscycli om te controleren op updates voor configuratieprofielen. Als het apparaat onlangs is geregistreerd, wordt het inchecken vaker uitgevoerd. Vernieuwingscycli voor beleid en profiel vermeldt de geschatte vernieuwingstijden.

Gebruikers kunnen op elk gewenst moment de bedrijfsportal-app openen en het apparaat synchroniseren om onmiddellijk te controleren op profielupdates.

Aanbevelingen

Houd bij het maken van profielen rekening met de volgende aanbevelingen:

• Geef uw beleid een naam, zodat u weet wat het is en wat ze doen. Alle nalevingsbeleidsregels en configuratieprofielen hebben een optionele eigenschap Beschrijving. In Beschrijving moet u specifiek zijn en informatie opnemen, zodat anderen weten wat het beleid doet.

  Voorbeelden van configuratieprofielen zijn:

  Profielnaam: OneDrive-configuratieprofiel voor alle Windows-gebruikers
  Profielbeschrijving: OneDrive-profiel met de minimale en basisinstellingen voor alle Windows-gebruikers. Gemaakt door user@contoso.com om te voorkomen dat gebruikers organisatiegegevens delen met persoonlijke OneDrive-accounts.

  Profielnaam: VPN-profiel voor alle iOS-/iPadOS-gebruikers
  Profielbeschrijving: VPN-profiel met de minimale en basisinstellingen voor alle iOS-/iPadOS-gebruikers om verbinding te maken met Contoso VPN. Gemaakt door user@contoso.com zodat gebruikers zich automatisch verifiëren bij VPN, in plaats van gebruikers om hun gebruikersnaam en wachtwoord te vragen.

• Maak uw profiel op basis van de taak, zoals Microsoft Edge-instellingen configureren, antivirusinstellingen voor Microsoft Defender inschakelen, iOS-/iPadOS-apparaten blokkeren die zijn gekraakt, enzovoort.

• Maak profielen die van toepassing zijn op specifieke groepen, zoals Marketing, Verkoop, IT-beheerders of per locatie of schoolsysteem. Gebruik de ingebouwde functies, waaronder:

  • Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT in Intune
  • Gedistribueerde IT met veel beheerders in dezelfde Intune-tenant
  • Filters gebruiken bij het toewijzen van uw apps, beleidsregels en profielen in Intune

• Gebruikersbeleid scheiden van apparaatbeleid.

  De catalogus met Intune-instellingen bevat bijvoorbeeld duizenden instellingen. Deze instellingen worden weergegeven als een instelling van toepassing is op gebruikers of apparaten. Wanneer u het beleid maakt, wijst u uw gebruikersinstellingen toe aan een gebruikersgroep en wijst u uw apparaatinstellingen toe aan een apparaatgroep.

  In de volgende afbeelding ziet u een voorbeeld van enkele instellingen die van toepassing kunnen zijn op gebruikers, op apparaten of op beide:

  

• Gebruik Microsoft Copilot in Intune om uw beleid te evalueren, meer te weten te komen over een beleidsinstelling & het effect ervan op uw gebruikers & beveiliging en beleidsregels tussen twee apparaten te vergelijken.

  Ga voor meer informatie naar Microsoft Copilot in Intune.

• Telkens wanneer u een beperkend beleid maakt, moet u deze wijziging doorgeven aan uw gebruikers. Als u bijvoorbeeld de vereiste wachtwoordcode wijzigt van vier (4) tekens in zes (6) tekens, laat dit dan aan uw gebruikers weten voordat u het beleid toewijst.

Verwante onderwerpen

• Wijs het profiel toe.
• Bewaak de status ervan.