Instellingen voor apparaatnaleving voor Windows 10/11 in Intune
In dit artikel vindt u een overzicht en beschrijving van de verschillende nalevingsinstellingen die u kunt configureren op Windows-apparaten in Intune. Als onderdeel van uw MDM-oplossing (Mobile Device Management) gebruikt u deze instellingen om BitLocker te vereisen, een minimaal en maximaal besturingssysteem in te stellen, een risiconiveau in te stellen met behulp van Microsoft Defender voor Eindpunt en meer.
Deze functie is van toepassing op:
- Windows 10/11
- Windows Holographic for Business
- Surface Hub
Als Intune-beheerder kunt u deze nalevingsinstellingen gebruiken om uw organisatieresources te beschermen. Zie Aan de slag met apparaatnaleving voor meer informatie over nalevingsbeleid en wat ze doen.
Voordat u begint
Een nalevingsbeleid maken. Selecteer bij PlatformWindows 10 en hoger.
Apparaatstatus
Om ervoor te zorgen dat apparaten worden opgestart met een vertrouwde status, maakt Intune gebruik van Microsoft device attestation-services. Apparaten in Intune commerciële, Amerikaanse overheid GCC High en DoD-services die worden uitgevoerd Windows 10 de DHA-service (Device Health Attestation) gebruiken.
Zie voor meer informatie:
Evaluatieregels voor Windows Health Attestation-service
BitLocker vereisen:
Windows BitLocker-stationsversleuteling versleutelt alle gegevens die zijn opgeslagen op het Volume van het Windows-besturingssysteem. BitLocker gebruikt de Trusted Platform Module (TPM) om het Windows-besturingssysteem en gebruikersgegevens te beveiligen. Het helpt ook te bevestigen dat er niet met een computer is geknoeid, zelfs als de computer onbeheerd, verloren of gestolen is gebleven. Als de computer is uitgerust met een compatibele TPM, gebruikt BitLocker de TPM om de versleutelingssleutels te vergrendelen die de gegevens beveiligen. Als gevolg hiervan kunnen de sleutels pas worden geopend als de TPM de status van de computer controleert.- Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
- Vereisen : het apparaat kan gegevens die zijn opgeslagen op het station beschermen tegen onbevoegde toegang wanneer het systeem is uitgeschakeld of in de sluimerstand staat.
Device HealthAttestation CSP - BitLockerStatus
Opmerking
Als u een nalevingsbeleid voor apparaten gebruikt in Intune, moet u er rekening mee houden dat de status van deze instelling alleen wordt gemeten tijdens het opstarten. Daarom is, hoewel BitLocker-versleuteling is voltooid, een herstart vereist om dit apparaat te detecteren en compatibel te worden. Zie de volgende Microsoft-ondersteuningsblog over Device Health Attestation voor meer informatie.
Vereisen dat Beveiligd opstarten is ingeschakeld op het apparaat:
- Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
- Vereisen : het systeem wordt gedwongen op te starten naar een vertrouwde fabrieksstatus. De kernonderdelen die worden gebruikt om de machine op te starten, moeten de juiste cryptografische handtekeningen hebben die worden vertrouwd door de organisatie die het apparaat heeft gemaakt. De UEFI-firmware controleert de handtekening voordat de machine kan worden gestart. Als er met bestanden wordt geknoeid, waardoor hun handtekening wordt verbroken, wordt het systeem niet opgestart.
Opmerking
De instelling Vereisen dat beveiligd opstarten is ingeschakeld op het apparaat wordt ondersteund op sommige TPM 1.2- en 2.0-apparaten. Voor apparaten die tpm 2.0 of hoger niet ondersteunen, wordt de beleidsstatus in Intune weergegeven als Niet compatibel. Zie Device Health Attestation voor meer informatie over ondersteunde versies.
Code-integriteit vereisen:
Code-integriteit is een functie waarmee de integriteit van een stuurprogramma of systeembestand wordt gevalideerd telkens wanneer het in het geheugen wordt geladen.- Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
- Vereisen : code-integriteit vereisen, waarmee wordt gedetecteerd of een niet-ondertekend stuurprogramma of systeembestand in de kernel wordt geladen. Het detecteert ook of een systeembestand is gewijzigd door schadelijke software of wordt uitgevoerd door een gebruikersaccount met beheerdersbevoegdheden.
Zie voor meer informatie:
- Zie Health Attestation CSP voor meer informatie over hoe de Health Attestation-service werkt.
- Ondersteuningstip: Instellingen voor apparaatstatusverklaring gebruiken als onderdeel van uw Intune-nalevingsbeleid.
Apparaateigenschappen
Versie van besturingssysteem
Als u buildversies wilt detecteren voor alle Windows 10/11 functie-Updates en cumulatieve Updates (die in sommige van de onderstaande velden moeten worden gebruikt), raadpleegt u Windows-release-informatie. Zorg ervoor dat u het juiste versievoorvoegsel voor de buildnummers opneemt, zoals 10.0 voor Windows 10, zoals in de volgende voorbeelden wordt geïllustreerd.
Minimale versie van het besturingssysteem:
Voer de minimaal toegestane versie in de nummerindeling major.minor.build.revision in. Als u de juiste waarde wilt ophalen, opent u een opdrachtprompt en typt uver
. Dever
opdracht retourneert de versie in de volgende indeling:Microsoft Windows [Version 10.0.17134.1]
Wanneer een apparaat een eerdere versie heeft dan de versie van het besturingssysteem dat u invoert, wordt het als niet-compatibel gerapporteerd. Er wordt een koppeling weergegeven met informatie over het upgraden. De eindgebruiker kan ervoor kiezen om het apparaat te upgraden. Nadat ze een upgrade hebben uitgevoerd, hebben ze toegang tot bedrijfsresources.
Maximale versie van het besturingssysteem:
Voer de maximaal toegestane versie in de nummerindeling major.minor.build.revision in. Als u de juiste waarde wilt ophalen, opent u een opdrachtprompt en typt uver
. Dever
opdracht retourneert de versie in de volgende indeling:Microsoft Windows [Version 10.0.17134.1]
Wanneer een apparaat een versie van het besturingssysteem gebruikt die hoger is dan de opgegeven versie, wordt de toegang tot organisatieresources geblokkeerd. De eindgebruiker wordt gevraagd contact op te leggen met de IT-beheerder. Het apparaat heeft geen toegang tot organisatieresources totdat de regel is gewijzigd om de versie van het besturingssysteem toe te staan.
Minimale besturingssysteem vereist voor mobiele apparaten:
Voer de minimaal toegestane versie in de getalnotatie major.minor.build in.Wanneer een apparaat een eerdere versie heeft die de versie van het besturingssysteem dat u invoert, wordt dit gerapporteerd als niet-compatibel. Er wordt een koppeling weergegeven met informatie over het upgraden. De eindgebruiker kan ervoor kiezen om het apparaat te upgraden. Nadat ze een upgrade hebben uitgevoerd, hebben ze toegang tot bedrijfsresources.
Maximum aantal vereiste besturingssystemen voor mobiele apparaten:
Voer de maximaal toegestane versie in het nummer major.minor.build in.Wanneer een apparaat een versie van het besturingssysteem gebruikt die hoger is dan de opgegeven versie, wordt de toegang tot organisatieresources geblokkeerd. De eindgebruiker wordt gevraagd contact op te leggen met de IT-beheerder. Het apparaat heeft geen toegang tot organisatieresources totdat de regel is gewijzigd om de versie van het besturingssysteem toe te staan.
Geldige builds van besturingssystemen:
Geef een lijst op met minimale en maximale builds van besturingssystemen. Geldige builds van besturingssystemen bieden extra flexibiliteit in vergelijking met de minimale en maximale versie van het besturingssysteem. Overweeg een scenario waarin de minimale versie van het besturingssysteem is ingesteld op 10.0.18362.xxx (Windows 10 1903) en de maximale versie van het besturingssysteem is ingesteld op 10.0.18363.xxx (Windows 10 1909). Met deze configuratie kan een Windows 10 1903-apparaat waarop geen recente cumulatieve updates zijn geïnstalleerd, worden geïdentificeerd als compatibel. Minimale en maximale versie van het besturingssysteem kunnen geschikt zijn als u hebt gestandaardiseerd op één Windows 10 release, maar mogelijk niet voldoet aan uw vereisten als u meerdere builds moet gebruiken, elk met specifieke patchniveaus. In een dergelijk geval kunt u overwegen om in plaats daarvan geldige builds van besturingssystemen te gebruiken, waardoor meerdere builds kunnen worden opgegeven volgens het volgende voorbeeld.De grootste ondersteunde waarde voor elk van de velden versie, primaire, secundaire en build is 65535. De grootste waarde die u kunt invoeren, is bijvoorbeeld 65535.65535.65535,65535.
Voorbeeld:
De volgende tabel is een voorbeeld van een bereik voor de acceptabele versies van besturingssystemen voor verschillende Windows 10 releases. In dit voorbeeld zijn drie verschillende functie-Updates toegestaan (1809, 1909 en 2004). In het bijzonder worden alleen de versies van Windows die van juni tot september 2020 cumulatieve updates hebben toegepast, beschouwd als compatibel. Dit zijn alleen voorbeeldgegevens. De tabel bevat een eerste kolom met alle tekst die u wilt beschrijven, gevolgd door de minimale en maximale versie van het besturingssysteem voor die vermelding. De tweede en derde kolom moeten voldoen aan geldige buildversies van het besturingssysteem in de nummerindeling major.minor.build.revision . Nadat u een of meer vermeldingen hebt gedefinieerd, kunt u de lijst exporteren als een csv-bestand (door komma's gescheiden waarden).Beschrijving Minimale versie van het besturingssysteem Maximale versie van het besturingssysteem Win 10 2004 (jun-september 2020) 10.0.19041.329 10.0.19041.508 Win 10 1909 (jun-september 2020) 10.0.18363.900 10.0.18363.1110 Win 10 1809 (jun-september 2020) 10.0.17763.1282 10.0.17763.1490 Opmerking
Als u meerdere bereiken met versieversieversies van het besturingssysteem in uw beleid opgeeft en een apparaat een build heeft buiten de compatibele bereiken, geeft Bedrijfsportal de gebruiker van het apparaat een melding dat het apparaat niet compatibel is met deze instelling. Houd er echter rekening mee dat vanwege technische beperkingen in het bericht nalevingsherstel alleen het eerste versiebereik van het besturingssysteem wordt weergegeven dat is opgegeven in het beleid. We raden u aan om de acceptabele versiebereiken van het besturingssysteem voor beheerde apparaten in uw organisatie te documenteren.
naleving van Configuration Manager
Is alleen van toepassing op co-beheerde apparaten waarop Windows 10/11 wordt uitgevoerd. Intune alleen-apparaten retourneren de status Niet beschikbaar.
-
Apparaatcompatibiliteit vereisen vanuit Configuration Manager:
- Niet geconfigureerd (standaard): Intune controleert niet op een van de Configuration Manager instellingen voor naleving.
- Vereisen: vereisen dat alle instellingen (configuratie-items) in Configuration Manager compatibel zijn.
Systeembeveiliging
Wachtwoord
Een wachtwoord vereisen om mobiele apparaten te ontgrendelen:
- Niet geconfigureerd (standaard): deze instelling wordt niet geëvalueerd op naleving of niet-naleving.
- Vereisen : gebruikers moeten een wachtwoord invoeren voordat ze toegang hebben tot hun apparaat.
Eenvoudige wachtwoorden:
- Niet geconfigureerd (standaard): gebruikers kunnen eenvoudige wachtwoorden maken, zoals 1234 of 1111.
- Blokkeren : gebruikers kunnen geen eenvoudige wachtwoorden maken, zoals 1234 of 1111.
Wachtwoordtype:
Kies het vereiste type wachtwoord of pincode. Uw opties:- Standaardwaarde voor apparaat (standaard): een wachtwoord, numerieke pincode of alfanumerieke pincode vereisen
- Numeriek: een wachtwoord of numerieke pincode vereisen
- Alfanumeriek : een wachtwoord of alfanumerieke pincode vereisen.
Wanneer deze instelling is ingesteld op Alfanumeriek, zijn de volgende instellingen beschikbaar:
Wachtwoordcomplexiteit:
Uw opties:- Cijfers en kleine letters vereisen (standaard)
- Cijfers, kleine letters en hoofdletters vereisen
- Cijfers, kleine letters, hoofdletters en speciale tekens vereisen
Tip
Het alfanumerieke wachtwoordbeleid kan complex zijn. We raden beheerders aan om de CSP's te lezen voor meer informatie:
Minimale wachtwoordlengte:
Voer het minimale aantal cijfers of tekens in dat het wachtwoord moet bevatten.Maximum aantal minuten van inactiviteit voordat wachtwoord is vereist:
Voer de niet-actieve tijd in voordat de gebruiker het wachtwoord opnieuw moet invoeren.Wachtwoord verloopt (dagen):
Voer het aantal dagen in voordat het wachtwoord verloopt en ze moeten een nieuw wachtwoord maken, van 1 tot 730.Aantal eerdere wachtwoorden om hergebruik te voorkomen:
Voer het aantal eerder gebruikte wachtwoorden in dat niet kan worden gebruikt.Wachtwoord vereisen wanneer het apparaat terugkeert vanuit de inactieve status (Mobiel en Holographic):
- Niet geconfigureerd (standaard)
- Vereisen : vereisen dat apparaatgebruikers het wachtwoord invoeren telkens wanneer het apparaat terugkeert vanuit een niet-actieve status.
Belangrijk
Wanneer de wachtwoordvereiste wordt gewijzigd op een Windows-bureaublad, worden gebruikers beïnvloed wanneer ze zich de volgende keer aanmelden, omdat het apparaat van niet-actief naar actief gaat. Gebruikers met wachtwoorden die voldoen aan de vereiste, worden nog steeds gevraagd hun wachtwoord te wijzigen.
Versleuteling
Versleuteling van gegevensopslag op een apparaat:
Deze instelling is van toepassing op alle stations op een apparaat.- Niet geconfigureerd (standaard)
- Vereisen : gebruik Vereisen om gegevensopslag op uw apparaten te versleutelen.
DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance
Opmerking
De instelling Versleuteling van gegevensopslag op een apparaat controleert algemeen op de aanwezigheid van versleuteling op het apparaat, meer specifiek op het niveau van het besturingssysteemstation. Momenteel ondersteunt Intune alleen de versleutelingscontrole met BitLocker. Voor een robuustere versleutelingsinstelling kunt u BitLocker vereisen gebruiken, die gebruikmaakt van Windows Device Health Attestation om de BitLocker-status op TPM-niveau te valideren. Wanneer u deze instelling gebruikt, moet u er echter rekening mee houden dat er mogelijk opnieuw moet worden opgestart voordat het apparaat als compatibel wordt weergegeven.
Apparaatbeveiliging
Firewall:
- Niet geconfigureerd (standaard): Intune bepaalt de Windows Firewall niet en wijzigt geen bestaande instellingen.
- Vereisen : schakel Windows Firewall in en voorkom dat gebruikers deze uitschakelen.
Opmerking
Als het apparaat onmiddellijk wordt gesynchroniseerd nadat het opnieuw is opgestart, of als het apparaat onmiddellijk uit de slaapstand wordt gesynchroniseerd, wordt deze instelling mogelijk gerapporteerd als een fout. Dit scenario heeft mogelijk geen invloed op de algehele nalevingsstatus van het apparaat. Als u de nalevingsstatus opnieuw wilt evalueren, synchroniseert u het apparaat handmatig.
Als een configuratie wordt toegepast (bijvoorbeeld via een groepsbeleid) op een apparaat dat Windows Firewall configureert om al het binnenkomend verkeer toe te staan, of als de firewall wordt uitgeschakeld, wordt de instelling Firewall op Vereisen geretourneerd, zelfs als Intune apparaatconfiguratiebeleid firewall inschakelt. Dit komt doordat het groepsbeleidsobject het Intune-beleid overschrijft. Om dit probleem op te lossen, raden we u aan om conflicterende groepsbeleidsinstellingen te verwijderen of uw firewall-gerelateerde groepsbeleidsinstellingen te migreren naar Intune apparaatconfiguratiebeleid. Over het algemeen raden we u aan de standaardinstellingen te behouden, waaronder het blokkeren van binnenkomende verbindingen. Zie Best practices voor het configureren van Windows Firewall voor meer informatie.
Trusted Platform Module (TPM):
- Niet geconfigureerd (standaard): Intune controleert het apparaat niet op een TPM-chipversie.
- Vereisen: Intune controleert de TPM-chipversie op naleving. Het apparaat is compatibel als de TPM-chipversie groter is dan 0 (nul). Het apparaat is niet compatibel als er geen TPM-versie op het apparaat is.
Antivirus:
- Niet geconfigureerd (standaard): Intune controleert niet op antivirusoplossingen die op het apparaat zijn geïnstalleerd.
- Vereisen: controleer de naleving met antivirusoplossingen die zijn geregistreerd bij Windows-beveiliging Center, zoals Symantec en Microsoft Defender. Wanneer deze optie is ingesteld op Vereisen, is een apparaat waarop de antivirussoftware is uitgeschakeld of verouderd, niet compatibel.
Antispyware:
- Niet geconfigureerd (standaard): Intune controleert niet op antispywareoplossingen die op het apparaat zijn geïnstalleerd.
- Vereisen: controleer de naleving met behulp van antispywareoplossingen die zijn geregistreerd bij Windows-beveiliging Center, zoals Symantec en Microsoft Defender. Wanneer deze optie is ingesteld op Vereisen, is een apparaat waarop de antimalwaresoftware is uitgeschakeld of verouderd, niet compatibel.
Defender
De volgende nalevingsinstellingen worden ondersteund met Windows 10/11 Desktop.
Microsoft Defender Antimalware:
- Niet geconfigureerd (standaard): Intune bepaalt de service niet en wijzigt geen bestaande instellingen.
- Vereisen: schakel de Microsoft Defender antimalwareservice in en voorkom dat gebruikers deze uitschakelen.
Microsoft Defender minimale versie van Antimalware:
Voer de minimaal toegestane versie van Microsoft Defender antimalwareservice in. Voer bijvoorbeeld in4.11.0.0
. Wanneer deze leeg blijft, kan elke versie van de Microsoft Defender antimalwareservice worden gebruikt.Standaard is er geen versie geconfigureerd.
Microsoft Defender antimalwarebeveiligingsinformatie up-to-date:
Bepaalt de Windows-beveiliging virus- en bedreigingsbeveiligingsupdates op de apparaten.- Niet geconfigureerd (standaard): Intune dwingt geen vereisten af.
- Vereisen: afdwingen dat de Microsoft Defender beveiligingsinformatie up-to-date is.
Defender CSP - Defender/Health/SignatureOutOfDate CSP
Zie Updates voor beveiligingsinformatie voor Microsoft Defender Antivirus en andere Microsoft-antimalware voor meer informatie.
Realtime-beveiliging:
- Niet geconfigureerd (standaard): Intune bepaalt deze functie niet en wijzigt geen bestaande instellingen.
- Vereisen : schakel realtime-beveiliging in, waarmee wordt gescand op malware, spyware en andere ongewenste software.
Microsoft Defender voor Eindpunt
Microsoft Defender voor Eindpunt regels
Zie Voorwaardelijke toegang configureren in Microsoft Defender voor Eindpunt voor meer informatie over Microsoft Defender voor Eindpunt integratie in scenario's voor voorwaardelijke toegang.
Vereisen dat het apparaat de risicoscore van de machine heeft of niet:
Gebruik deze instelling om de risicoanalyse van uw defense threat services te gebruiken als voorwaarde voor naleving. Kies het maximaal toegestane bedreigingsniveau:- Niet geconfigureerd (standaard)
- Wissen : deze optie is het veiligst, omdat het apparaat geen bedreigingen kan hebben. Als wordt gedetecteerd dat het apparaat een bedreigingsniveau heeft, wordt het geëvalueerd als niet-compatibel.
- Laag : het apparaat wordt geëvalueerd als compatibel als er alleen bedreigingen op laag niveau aanwezig zijn. Als het apparaat hoger is, wordt het niet-compatibel.
- Gemiddeld : het apparaat wordt als compatibel beoordeeld als bestaande bedreigingen op het apparaat laag of gemiddeld zijn. Als wordt gedetecteerd dat het apparaat bedreigingen op hoog niveau heeft, wordt vastgesteld dat het niet-compatibel is.
- Hoog : deze optie is het minst veilig en staat alle bedreigingsniveaus toe. Dit kan handig zijn als u deze oplossing alleen gebruikt voor rapportagedoeleinden.
Zie Enable Microsoft Defender voor Eindpunt with Conditional Access (Microsoft Defender voor Eindpunt inschakelen met voorwaardelijke toegang) als u Microsoft Defender voor Eindpunt wilt instellen als uw service voor beveiligingsrisico's.
Windows-subsysteem voor Linux
Voor de instellingen in deze sectie is de invoegtoepassing Windows-subsysteem voor Linux (WSL) vereist. Zie Naleving evalueren voor Windows-subsysteem voor Linux voor meer informatie.
Voer voor Toegestane Linux-distributies en -versies ten minste één Linux-distributienaam in. Voer eventueel een minimale of maximale versie van het besturingssysteem in.
Opmerking
De distributienamen en versies die u invoert, zijn op de volgende manieren van invloed op het nalevingsbeleid:
- Als er geen distributie is opgegeven, zijn alle distributies toegestaan. Dit is het standaardgedrag.
- Als alleen distributienamen worden opgegeven, zijn alle geïnstalleerde versies van die distributie toegestaan.
- Als een distributienaam en een minimale versie van het besturingssysteem worden opgegeven, zijn alle geïnstalleerde distributies met de opgegeven naam en minimale versie of hoger toegestaan.
- Als een distributienaam en een maximale versie van het besturingssysteem worden opgegeven, zijn alle geïnstalleerde distributies met de opgegeven naam en maximale versie of eerder toegestaan.
- Als een distributienaam, een minimale versie van het besturingssysteem en een maximale versie van het besturingssysteem zijn opgegeven, zijn alle geïnstalleerde distributies en versies van het besturingssysteem binnen het opgegeven bereik toegestaan.
Windows Holographic for Business
Windows Holographic for Business maakt gebruik van het platform Windows 10 en hoger. Windows Holographic for Business ondersteunt de volgende instelling:
- Systeembeveiliging>Codering>Versleuteling van gegevensopslag op apparaat.
Zie Apparaatversleuteling verifiëren om apparaatversleuteling op de Microsoft HoloLens te controleren.
Surface Hub
Surface Hub maakt gebruik van het platform Windows 10 en hoger. Surface Hubs worden ondersteund voor zowel naleving als voorwaardelijke toegang. Als u deze functies op Surface Hubs wilt inschakelen, raden we u aan automatische inschrijving van Windows in te schakelen in Intune (vereist Microsoft Entra ID) en de Surface Hub-apparaten als apparaatgroepen te richten. Surface Hubs moeten worden Microsoft Entra gekoppeld om naleving en voorwaardelijke toegang te laten werken.
Zie Inschrijving voor Windows-apparaten instellen voor hulp.
Speciale aandacht voor Surface Hubs waarop Windows 10/11 Team OS wordt uitgevoerd:
Surface Hubs met Windows 10/11 Team OS bieden momenteel geen ondersteuning voor het Microsoft Defender voor Eindpunt- en wachtwoordnalevingsbeleid. Daarom stelt u voor Surface Hubs met Windows 10/11 Team OS de volgende twee instellingen in op de standaardinstelling Niet geconfigureerd:
Stel in de categorie Wachtwoordeen wachtwoord vereisen om mobiele apparaten te ontgrendelen in op de standaardwaarde Niet geconfigureerd.
Stel in de categorie Microsoft Defender voor EindpuntVereisen dat het apparaat zich op of onder de risicoscore van de machine bevindt in op de standaardwaarde Niet geconfigureerd.