Implementatiehandleiding: Android-apparaten beheren in Microsoft Intune
Intune ondersteunt mdm (Mobile Device Management) van Android-apparaten om personen veilige toegang te geven tot zakelijke e-mail, gegevens en apps. Deze handleiding bevat Android-specifieke bronnen om u te helpen bij het instellen van inschrijving in Intune en het implementeren van apps en beleid voor gebruikers en apparaten.
Vereisten
Voordat u begint, moet u deze vereisten voltooien om Android-apparaatbeheer in te schakelen in Intune. Zie de implementatiehandleiding voor Intune voor gedetailleerde informatie over het instellen, onboarden of verplaatsen naar Intune.
- Gebruikers en groepen toevoegen
- Licenties toewijzen aan gebruikers
- Instantie voor beheer van mobiele apparaten instellen
Zie RBAC met Microsoft Intune voor meer informatie over Microsoft Intune rollen en machtigingen. De rollen Microsoft Entra globale beheerder en Intune beheerder hebben volledige rechten binnen Microsoft Intune. De globale beheerder heeft meer machtigingen dan nodig is voor veel apparaatbeheertaken in Microsoft Intune. We raden u aan de minst bevoegde rol te gebruiken die nodig is om taken te voltooien. De minst bevoorrechte rol die apparaatinschrijvingstaken kan voltooien, is bijvoorbeeld Beleids- en profielbeheer, een ingebouwde Intune rol.
Uw implementatie plannen
Gebruik de Microsoft Intune planningshandleiding voor hulp bij het plannen, ontwerpen en implementeren van Microsoft Intune in uw organisatie. De handleiding biedt informatie om u te helpen:
- Bepaal doelen, use-case-scenario's en vereisten.
- Implementatie- en communicatieplannen maken.
- Ondersteunings-, test- en validatieplannen maken.
Belangrijk
Beheer van Android-apparaatbeheerders is afgeschaft en niet meer beschikbaar voor apparaten met toegang tot Google Mobile Services (GMS). Als u momenteel apparaatbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie. Ondersteunings- en help-documentatie blijft beschikbaar voor sommige apparaten zonder GMS, met Android 15 en eerder. Zie Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.
Nalevingsregels maken
Gebruik nalevingsbeleid om de regels en voorwaarden te definiëren waaraan gebruikers en apparaten moeten voldoen om toegang te krijgen tot de beveiligde resources van uw organisatie. U kunt ook beleid voor voorwaardelijke toegang maken, dat samen met de nalevingsresultaten van uw apparaat de toegang tot resources vanaf niet-compatibele apparaten blokkeert. Zie Nalevingsbeleid gebruiken om regels in te stellen voor apparaten die u beheert met Intune voor een gedetailleerde uitleg over nalevingsbeleid en hoe u aan de slag gaat.
De volgende taken zijn van toepassing op zowel Android Enterprise- als Android-apparaatbeheerplatforms.
| Taak | Details |
|---|---|
| Een nalevingsbeleid maken | Krijg stapsgewijze instructies voor het maken en toewijzen van een nalevingsbeleid aan gebruikers- en apparaatgroepen. |
| Acties voor niet-naleving toevoegen | Kies wat er gebeurt wanneer apparaten niet meer voldoen aan de voorwaarden van uw nalevingsbeleid. U kunt acties voor niet-naleving toevoegen wanneer u een nalevingsbeleid voor apparaten configureert, of later door het beleid te bewerken. |
| Maak een beleid voor voorwaardelijke toegang op basis van apparaten of apps . | Geef de app of services op die u wilt beveiligen en definieer de voorwaarden voor toegang. |
| Toegang blokkeren tot apps die geen moderne verificatie gebruiken | Maak een op apps gebaseerd beleid voor voorwaardelijke toegang om apps te blokkeren die gebruikmaken van andere verificatiemethoden dan OAuth2. U kunt bijvoorbeeld apps blokkeren die gebruikmaken van basis- en formulierverificatie. Voordat u toegang blokkeert, meldt u zich aan bij Microsoft Entra ID en bekijkt u het activiteitenrapport voor verificatiemethoden om te zien of gebruikers basisverificatie gebruiken om toegang te krijgen tot essentiële zaken (zoals agendakiosken voor vergaderruimten) die u bent vergeten of waarvan u niet op de hoogte bent. |
Eindpuntbeveiliging configureren
Gebruik de Intune eindpuntbeveiligingsfuncties om apparaatbeveiliging te configureren en beveiligingstaken te beheren voor apparaten die risico lopen.
De volgende taken zijn van toepassing op zowel Android Enterprise- als Android-apparaatbeheerplatforms.
| Taak | Details |
|---|---|
| Apparaten beheren met eindpuntbeveiligingsfuncties | Gebruik de instellingen voor eindpuntbeveiliging in Intune om apparaatbeveiliging effectief te beheren en problemen voor apparaten op te lossen. |
| De MTD-connector (Mobile Threat Defense) inschakelen voor ingeschreven apparaten | Schakel de MTD-verbinding in Intune in, zodat MTD-partner-apps kunnen werken met Intune en het nalevingsbeleid voor MTD-apparaten. Als u geen Microsoft Defender voor Eindpunt gebruikt, kunt u overwegen de connector in te schakelen, zodat u een andere mobile threat defense-oplossing kunt gebruiken. U kunt de MTD-connector ook inschakelen voor apparaten die niet zijn ingeschreven bij Intune. |
| Beveiligingsbeleid voor MTD-apps maken | Maak een Intune app-beveiligingsbeleid dat risico's beoordeelt en de toegang van een apparaat tot werk- of school-apps beperkt. |
| Nalevingsbeleid voor MTD-apparaten maken | Maak een Intune app-beveiligingsbeleid dat risico's beoordeelt en de bedrijfstoegang van een apparaat beperkt op basis van het bedreigingsniveau. |
| MTD-apps toevoegen en toewijzen | MTD-apps toevoegen en implementeren in Intune. Deze apps werken met het nalevings- en app-beveiligingsbeleid voor uw apparaat om apparaatbedreigingen te identificeren en te verhelpen. U kunt ook MTD-apps toewijzen aan apparaten die niet zijn ingeschreven bij Intune. |
Apparaatinstellingen configureren
Gebruik Microsoft Intune om instellingen en functies op apparaten in of uit te schakelen. Als u deze instellingen wilt configureren en afdwingen, maakt u een apparaatprofiel en wijst u het profiel vervolgens toe aan groepen in uw organisatie. Apparaten ontvangen het profiel zodra ze zijn ingeschreven.
| Taak | Details | Platform |
|---|---|---|
| Een apparaatprofiel maken in Microsoft Intune | Meer informatie over de verschillende typen apparaatprofielen die u voor uw organisatie kunt maken. | Android Enterprise, Android-apparaatbeheerder |
| Wi-Fi profiel configureren | Met dit profiel kunnen personen het Wi-Fi netwerk van uw organisatie vinden en er verbinding mee maken. Zie voor een beschrijving van de instellingen in dit gebied de Wi-Fi instellingen voor Android Enterprise Wi-Fi-instellingen of Instellingen voor Android-apparaatbeheerder Wi-Fi. | Android Enterprise, Android-apparaatbeheerder |
| VPN-profiel configureren | Stel een beveiligde VPN-optie in, zoals Microsoft Tunnel, voor personen die verbinding maken met het netwerk van uw organisatie. Zie de naslaginformatie over VPN-instellingen voor Android Enterprise VPN-instellingen of VPN-instellingen voor Android-apparaatbeheerder voor een beschrijving van de instellingen in dit gebied. | Android Enterprise, Android-apparaatbeheerder |
| E-mailprofiel configureren | Configureer e-mailinstellingen zodat personen verbinding kunnen maken met een e-mailserver en toegang hebben tot hun werk- of school-e-mail. Zie e-mailinstellingen voor Android Enterprise of E-mailinstellingen voor Android-apparaatbeheerder voor een beschrijving van de instellingen in dit gebied. | Android Enterprise, Android-apparaatbeheerder |
| Apparaatfuncties beperken | Beveilig gebruikers tegen onbevoegde toegang en afleiding door de apparaatfuncties te beperken die ze op het werk of op school kunnen gebruiken. Zie Android Enterprise-apparaatinstellingen of Apparaatinstellingen voor Android-apparaatbeheerder voor een beschrijving van de instellingen in dit gebied. | Android Enterprise, Android-apparaatbeheerder |
| Aangepaste instellingen configureren voor Android-apparaatbeheerder | Aangepaste instellingen toevoegen of maken die niet zijn ingebouwd in Intune, zoals een VPN-profiel per app en webbeveiliging met Microsoft Defender voor Eindpunt. | Android apparaatbeheerder |
| Samsung Knox-apps configureren | Maak een aangepast profiel om apps voor Samsung Knox Standard-apparaten toe te staan en te blokkeren. | Android apparaatbeheerder |
| Aangepast profiel maken voor Android Enterprise | Aangepaste instellingen toevoegen of maken die niet zijn ingebouwd in Intune voor apparaten in persoonlijk eigendom. | Android Enterprise |
| Mx-profiel (Zebra Mobility Extensions) configureren | Gebruik de Mx-profielen (Mobility Extensions) van Zebra om meer Zebra-specifieke instellingen in Intune aan te passen of toe te voegen. | Android apparaatbeheerder |
| OEMConfig-configuratieprofiel maken | Gebruik OEMConfig om OEM-specifieke instellingen voor Android Enterprise-apparaten toe te voegen, te maken en aan te passen. | Android Enterprise |
| Huisstijl en inschrijvingservaring aanpassen | Pas de Intune-bedrijfsportal en Microsoft Intune apps aan met de huisstijl van uw organisatie om een vertrouwde ervaring te creëren voor mensen die hun apparaten inschrijven. | Android Enterprise, Android-apparaatbeheerder |
Veilige verificatiemethoden instellen
Stel verificatiemethoden in Intune in om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot uw interne resources. Intune ondersteunt meervoudige verificatie, SCEP- en PKCS-certificaten en afgeleide referenties. Certificaten kunnen ook worden gebruikt voor het ondertekenen en versleutelen van e-mail met behulp van S/MIME.
| Taak | Details | Platform |
|---|---|---|
| Meervoudige verificatie (MFA) vereisen | Vereisen dat personen twee vormen van referenties opgeven op het moment van inschrijving. | Android Enterprise |
| Een vertrouwd certificaatprofiel maken | Maak en implementeer een vertrouwd certificaatprofiel voordat u een SCEP-, PKCS- of GEÏMPORTEERD PKCS-certificaatprofiel maakt. Het vertrouwde certificaatprofiel implementeert het vertrouwde basiscertificaat op apparaten met behulp van SCEP-, PKCS- en PKCS-geïmporteerde certificaten. | Android Enterprise, Android-apparaatbeheerder |
| SCEP-certificaten gebruiken met Intune | Ontdek wat er nodig is voor het gebruik van SCEP-certificaten met Intune en configureer de vereiste infrastructuur. Nadat u dit hebt uitgevoerd, kunt u een SCEP-certificaatprofiel maken of een externe certificeringsinstantie instellen met SCEP. | Android Enterprise |
| PKCS-certificaten gebruiken met Intune | Configureer de vereiste infrastructuur (zoals on-premises certificaatconnectors), exporteer een PKCS-certificaat en voeg het certificaat toe aan een Intune apparaatconfiguratieprofiel. | Android Enterprise, Android-apparaatbeheerder |
| Geïmporteerde PKCS-certificaten gebruiken met Intune | Geïmporteerde PKCS-certificaten instellen, waarmee u S/MIME kunt instellen en gebruiken om e-mail te versleutelen. | Android Enterprise, Android-apparaatbeheerder |
| Een verlener van afgeleide referenties instellen | Richt Android-apparaten in met certificaten die zijn afgeleid van smartcards van gebruikers. | Android Enterprise |
Apps implementeren
Denk bij het instellen van apps en app-beleid na over de vereisten van uw organisatie, zoals de platformen die u ondersteunt, de taken die mensen moeten uitvoeren, het type apps dat ze nodig hebben om deze taken te voltooien en de groepen die deze apps nodig hebben. U kunt Intune gebruiken om het hele apparaat (inclusief apps) te beheren of Intune gebruiken om alleen apps te beheren.
| Taak | Details | Platform |
|---|---|---|
| Google Play Store-apps toevoegen | Android-apps toevoegen uit de Google Play Store. | Android apparaatbeheerder |
| Beheerde Google Play-apps toevoegen | Voeg Store-apps, LOB-apps (Line-Of-Business) en web-apps toe via de beheerde Google Play Store. | Android Enterprise |
| Android Enterprise-systeem-apps toevoegen | Gebruik Intune om Android Enterprise-systeem-apps in en uit te schakelen. | Android Enterprise |
| Web-apps toevoegen | Web-apps toevoegen aan Intune en toewijzen aan groepen. | Android apparaatbeheerder |
| Ingebouwde apps toevoegen | Ingebouwde apps toevoegen aan Intune en toewijzen aan groepen. | Android apparaatbeheerder |
| Line-Of-Business-apps toevoegen | Voeg Lob-apps (Line-Of-Business) van Android toe aan Intune en toewijzen aan groepen. | Android apparaatbeheerder |
| Apps toewijzen aan groepen | Apps toewijzen aan gebruikers en apparaten. | Android Enterprise, Android-apparaatbeheerder |
| App-toewijzingen opnemen en uitsluiten | De toegang en beschikbaarheid van een app beheren door geselecteerde groepen op te geven en uit te sluiten van toewijzing. | Android Enterprise, Android-apparaatbeheerder |
| Beveiligingsbeleid voor Android-apps maken | Houd de gegevens van uw organisatie in beheerde apps zoals Outlook en Word. Zie Beveiligingsbeleidsinstellingen voor Android-apps voor meer informatie over elke instelling. | Android Enterprise, Android-apparaatbeheerder |
| Uw app-beveiligingsbeleid valideren | Controleer of uw app-beveiligingsbeleid correct is ingesteld en werkt voordat u het in de hele organisatie implementeert. | Android Enterprise, Android-apparaatbeheerder |
| Beleid voor app-beheer maken | Pas aangepaste configuratie-instellingen toe op Android-apps op ingeschreven apparaten. U kunt deze typen beleidsregels ook toepassen op beheerde apps, zonder apparaatinschrijving. | Android Enterprise, Android-apparaatbeheerder |
| Microsoft Edge configureren | Gebruik Intune beveiligings- en configuratiebeleid voor apps met Microsoft Edge voor Android om ervoor te zorgen dat bedrijfswebsites toegankelijk zijn met beveiligingsmaatregelen. | Android Enterprise, Android-apparaatbeheerder |
| Google Chrome configureren | Gebruik een Intune app-configuratiebeleid om Google Chrome te configureren op Android-apparaten die zijn ingeschreven bij Intune. | Android Enterprise |
| Microsoft Beheerd startscherm-app configureren | Stel Beheerd startscherm in op toegewezen Android Enterprise-apparaten in bedrijfseigendom die zijn ingeschreven via Intune en worden uitgevoerd in de kioskmodus voor meerdere apps. | Android Enterprise |
| Microsoft Launcher-app configureren | Configureer Microsoft Launcher om de ervaring met het startscherm aan te passen op de volledig beheerde apparaten van uw organisatie. | Android Enterprise |
| Microsoft Office-apps configureren | Gebruik Intune beleid voor app-beveiliging en configuratie met Office-apps om ervoor te zorgen dat zakelijke bestanden worden geopend met beveiligingsmaatregelen. | Android Enterprise |
| Microsoft Teams configureren | Gebruik Intune app-beveiligings- en configuratiebeleid met Teams om ervoor te zorgen dat samenwerkingsteamervaringen toegankelijk zijn met beveiligingsmaatregelen. | Android Enterprise |
| Microsoft Outlook configureren | Gebruik Intune beveiligings- en configuratiebeleid voor apps met Outlook om ervoor te zorgen dat zakelijke e-mail en agenda's worden geopend met beveiligingsmaatregelen. | Android Enterprise |
Apparaten registreren
Als u apparaten registreert, kunnen ze het beleid ontvangen dat u maakt, dus zorg ervoor dat uw Microsoft Entra gebruikersgroepen en apparaatgroepen gereed zijn.
Intune ondersteunt de volgende inschrijvingsmethoden voor Android-apparaten:
- Bring-your-own-device (BYOD): Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel
- Toegewezen Android Enterprise-apparaten in bedrijfseigendom
- Volledig beheerd android enterprise-eigendom van het bedrijf
- Android Enterprise-werkprofiel in bedrijfseigendom
- Android apparaatbeheerder
Zie de android-apparaatinschrijvingshandleiding voor Microsoft Intune voor informatie over elke inschrijvingsmethode en hoe u een methode kunt kiezen die geschikt is voor uw organisatie.
| Taak | Details | Platform |
|---|---|---|
| Intune-account verbinden met beheerd Google Play-account | Als u Android Enterprise-beheer in Intune wilt inschakelen, koppelt u uw Intune tenantaccount aan uw beheerde Google Play-account. | Android Enterprise |
| Inschrijving van werkprofielen instellen voor apparaten in persoonlijk eigendom | Werkprofielbeheer instellen voor apparaten in persoonlijk eigendom. Met deze inschrijvingsmethode maakt u een afzonderlijk gebied op het apparaat voor werkgerelateerde gegevens, zodat persoonlijke zaken niet worden beïnvloed. | Android Enterprise |
| Inschrijving van werkprofielen instellen voor apparaten in bedrijfseigendom | Beheer van werkprofielen instellen voor apparaten in bedrijfseigendom die zijn bedoeld voor werk en persoonlijk gebruik. Met deze inschrijvingsmethode maakt u een afzonderlijk gebied op het apparaat voor werkgerelateerde gegevens, zodat persoonlijke zaken niet worden beïnvloed. | Android Enterprise |
| Inschrijving instellen voor toegewezen apparaten | Inschrijving instellen voor apparaten in kioskstijl in bedrijfseigendom voor eenmalig gebruik. | Android Enterprise |
| Inschrijving instellen voor volledig beheerde apparaten | Inschrijving instellen voor apparaten in bedrijfseigendom die zijn gekoppeld aan één gebruiker en uitsluitend voor werk worden gebruikt. | Android Enterprise |
| Toegewezen, volledig beheerde of bedrijfseigen apparaten met een werkprofiel inschrijven | Nadat u Intune hebt ingesteld voor Android Enterprise-inschrijving, kunt u apparaten inschrijven met behulp van een van de vijf ondersteunde inschrijvingsmethoden. | Android Enterprise |
| Registratie van apparaatbeheerder instellen | Inschrijving van Android-apparaatbeheerder instellen. Deze methode voor het beheren van apparaten is vervangen door Android Enterprise, dus we raden u af om nieuwe apparaten op deze manier in te schrijven. | Android apparaatbeheerder |
| Samsung Knox Mobile Enrollment gebruiken om Android-apparaten automatisch in te schrijven | Stel Intune in voor Samsung Knox Mobile Enrollment (KME), waarmee u automatisch grote aantallen Android-apparaten in bedrijfseigendom kunt inschrijven. | Android Enterprise, Android-apparaatbeheerder |
| Apparaten identificeren als bedrijfseigendom | Wijs de status bedrijfseigendom toe aan apparaten om meer beheer- en identificatiemogelijkheden in Intune mogelijk te maken. De status bedrijfseigendom kan niet worden toegewezen aan apparaten die zijn ingeschreven via Apple Business Manager. | Android Enterprise, Android-apparaatbeheerder |
| Eigendom van apparaat wijzigen | Nadat een apparaat is ingeschreven, kunt u het eigendomslabel wijzigen in Intune in bedrijfseigendom of persoonlijk eigendom. Deze aanpassing wijzigt de manier waarop u het apparaat kunt beheren. | Android Enterprise, Android-apparaatbeheerder |
| Inschrijvingsproblemen oplossen | Problemen oplossen en oplossen die optreden tijdens de inschrijving. | Android Enterprise, Android-apparaatbeheerder |
Externe acties uitvoeren
Nadat apparaten zijn ingesteld, kunt u externe acties in Intune gebruiken om apparaten op afstand te beheren en problemen op te lossen. De beschikbaarheid verschilt per apparaatplatform. Als een actie ontbreekt of is uitgeschakeld in de portal, wordt deze niet ondersteund op het apparaat.
| Taak | Details |
|---|---|
| Externe acties uitvoeren in Intune | Meer informatie over het inzoomen en extern beheren en oplossen van problemen met afzonderlijke apparaten in Intune. Dit artikel bevat alle externe acties die beschikbaar zijn in Intune en koppelingen naar deze procedures. |
| Beveiligingsproblemen oplossen die zijn geïdentificeerd door Microsoft Defender voor Eindpunt | Integreer Intune met Microsoft Defender voor Eindpunt om te profiteren van de Threat and Vulnerability Management van Defender en gebruik Intune om eindpuntproblemen op te lossen die zijn geïdentificeerd door de functie voor het beheer van beveiligingsproblemen van Defender. |
| Bedrijfsgegevens wissen uit door Intune beheerde apps | Verwijder selectief werkgerelateerde gegevens van een apparaat. |
Volgende stappen
Bekijk deze zelfstudies voor inschrijving voor meer informatie over het uitvoeren van enkele van de belangrijkste taken in Intune. Zelfstudies zijn inhoud van 100 tot 200 niveaus voor personen die nieuw zijn bij Intune of een specifiek scenario.
- Doorloop Intune beheercentrum
- Slack configureren voor het gebruik van Intune voor Enterprise Mobility Management (EMM) en app-configuratie
Zie Implementatiehandleiding: iOS-/iPadOS-apparaten beheren in Microsoft Intune voor de iOS-/iPadOS-versie van deze handleiding.