Een nalevingsbeleid maken in Microsoft Intune

Nalevingsbeleid voor apparaten is een belangrijke functie bij het gebruik van Intune om de resources van je organisatie te beveiligen. In Intune kun je regels en instellingen maken waaraan apparaten moeten voldoen om als compatibel te worden beschouwd, zoals een minimale versie van het besturingssysteem. Als het apparaat niet compatibel is, kun je vervolgens de toegang tot gegevens en resources blokkeren met behulp van Voorwaardelijke toegang.

Je kunt ook acties uitvoeren voor niet-naleving, zoals het verzenden van een e-mailmelding naar de gebruiker. Zie Aan de slag met apparaatnaleving voor een overzicht van wat nalevingsbeleid doet en hoe ze worden gebruikt.

Dit artikel:

• Lijsten de vereisten en stappen voor het maken van een nalevingsbeleid.
• Laat zien hoe je het beleid toewijst aan je gebruikers- en apparaatgroepen.
• Hierin worden andere functies beschreven, waaronder bereiktags om je beleid te 'filteren' en stappen die je kunt uitvoeren op apparaten die niet compatibel zijn.
• Lijsten de vernieuwingscyclus voor inchecken wanneer apparaten beleidsupdates ontvangen.

Voordat u begint

Als je nalevingsbeleid voor apparaten wilt gebruiken, moet je ervoor zorgen dat je:

• Gebruik de volgende abonnementen:

  • Intune
  • Als je voorwaardelijke toegang gebruikt, heb je Microsoft Entra ID P1- of P2-editie nodig. Microsoft Entra prijzen geeft aan wat je krijgt met de verschillende edities. Intune naleving vereist geen Microsoft Entra ID.

• Een ondersteund platform gebruiken:

  • Android apparaatbeheerder
  • Android AOSP
  • Android Enterprise
  • iOS
  • Linux - Ubuntu Desktop, versie 20.04 LTS en 22.04 LTS
  • macOS
  • Windows 10/11

Belangrijk

Beheer van Android-apparaatbeheerders is afgeschaft en niet meer beschikbaar voor apparaten met toegang tot Google Mobile Services (GMS). Als je momenteel apparaatbeheer gebruikt, raden we je aan over te schakelen naar een andere Android-beheeroptie. Ondersteunings- en help-documentatie blijft beschikbaar voor sommige apparaten zonder GMS, met Android 15 en eerder. Zie Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.

• Apparaten inschrijven in Intune (vereist om de nalevingsstatus te zien)

• Apparaten inschrijven bij één gebruiker of inschrijven zonder primaire gebruiker. Afzonderlijke apparaten kunnen niet worden ingeschreven bij meerdere gebruikers.

Naast nalevingsinstellingen die zijn ingebouwd in Intune, bieden de volgende platforms ondersteuning voor het toevoegen van aangepaste nalevingsinstellingen aan nalevingsbeleid:

• Ubuntu Desktop, versie 20.04 LTS en 22.04 LTS
• Windows 10/11

Voordat je aangepaste instellingen kunt toevoegen, moet je een aangepast JSON-bestand voorbereiden dat de instellingen definieert waarop je je aangepaste naleving wilt baseren, en een script dat wordt uitgevoerd op apparaten om de instellingen te detecteren die zijn gedefinieerd in de JSON.

Zie Aangepaste nalevingsinstellingen gebruiken voor meer informatie over het gebruik van aangepaste nalevingsinstellingen, waaronder ondersteunde platforms, vereisten en het configureren van de categorie Aangepastenaleving tijdens het maken van een beleid.

Het beleid maken

1. Meld je aan bij het Microsoft Intune-beheercentrum.

2. Ga naar Apparaten.

3. Selecteer onder Apparaten beherenNaleving. Kies vervolgens Beleid maken.

4. Selecteer een platform voor dit beleid uit de volgende opties:

   • Android apparaatbeheerder
   • Android (AOSP)
   • Android Enterprise
   • iOS/iPadOS
   • Linux - (Ubuntu Desktop, versie 20.04 LTS en 22.04 LTS, RedHat Enterprise Linux 8 of RedHat Enterprise Linux 9)
   • macOS
   • Windows 10 en hoger
   • Windows 8.1 en hoger

   Voor Android Enterprise selecteer je ook een Beleidstype. Uw opties:

   • Volledig beheerd, toegewezen werkprofiel in bedrijfseigendom
   • Werkprofiel in persoonlijk eigendom

   Selecteer vervolgens Maken om de configuratiepagina te openen.

5. Voer op het tabblad Basisinformatie een Naam in waarmee je dit beleid later kunt identificeren. Een goede beleidsnaam is bijvoorbeeld Gekraakte iOS-/iPadOS-apparaten markeren als niet-compatibel.

   Voer eventueel een Beschrijving in voor het beleid.

6. Vouw op het tabblad Nalevingsinstellingen de beschikbare categorieën uit en configureer instellingen voor je beleid. In de volgende artikelen worden de beschikbare nalevingsinstellingen voor elk platform beschreven:

   • Android apparaatbeheerder
   • Android (AOSP)
   • Android Enterprise
   • iOS/iPadOS
   • Linux
   • macOS
   • Windows 8.1 en hoger
   • Windows 10/11

7. Je kunt desgewenst aangepaste instellingen voor ondersteunde platforms toevoegen.

   Tip

   Dit is een optionele stap die wordt ondersteund voor de volgende platforms:

   • Linux - Ubuntu Desktop, versie 20.04 LTS en 22.04 LTS
   • Windows 10 en hoger
     Voordat je aangepaste instellingen aan een beleid kunt toevoegen, moet je een detectiescript hebben geüpload naar Intune en een JSON-bestand gereed hebben waarin de instellingen worden gedefinieerd die je wilt gebruiken voor naleving. Zie Instellingen voor aangepaste naleving.

   Op de pagina Nalevingsinstellingen vouw de categorie Aangepaste naleving uit:

   Voor Windows:

   1. Vouw op de pagina NalevingsinstellingenAangepaste naleving uit en stel Aangepaste naleving in op Vereisen.
   2. Selecteer voor Selecteer het detectiescript, selecteer Klik om te selecteren en voer vervolgens de naam in van een script dat je eerder hebt toegevoegd aan het Microsoft Intune-beheercentrum. Dit script moet worden geüpload voordat je begint met het maken van het beleid. Selecteer Volgende om naar de volgende stap te gaan.
   3. Voor Het uploaden en valideren van het JSON-bestand met je aangepaste nalevingsinstellingen selecteer je het mappictogram en zoekt en voeg je vervolgens het JSON-bestand voor Windows toe dat je met dit beleid wilt gebruiken. Zie Een JSON maken voor aangepaste nalevingsinstellingen voor hulp bij de JSON.

   Voor Linux:

   1. Op de pagina Nalevingsinstellingen, selecteer Instellingen toevoegen om Instellingenkiezer te openen.
   2. Selecteer Aangepaste naleving. Sluit vervolgens de instellingenkiezer.
   3. Schakel Aangepaste naleving vereisen in op Waar. T
   4. Selecteer voor Het detectiescript selecterenSelecteer een script. Selecteer vervolgens een script dat eerder is toegevoegd aan het Microsoft Intune-beheercentrum. Dit script moet worden geüpload voordat je begint met het maken van het beleid.
   5. Selecteer bij Je regelbestand selecteren het mappictogram en zoek en voeg vervolgens het JSON-bestand voor Linux toe dat je met dit beleid wilt gebruiken. Zie Een JSON maken voor aangepaste nalevingsinstellingen voor hulp bij de JSON.

   Wacht tot Intune de JSON valideert. Problemen die moeten worden opgelost, worden weergegeven op het scherm. Na validatie van de JSON-inhoud worden de regels uit de JSON weergegeven in tabelindeling.

8. Selecteer het tabblad Acties voor niet-naleving een reeks acties op die automatisch moeten worden toegepast op apparaten die niet voldoen aan dit nalevingsbeleid.

   Je kunt meerdere acties toevoegen en schema's en details voor sommige acties configureren. Je kunt bijvoorbeeld het schema van de standaardactie Apparaat niet-compatibel markeren wijzigen om na één dag op te treden. Vervolgens kun je een actie toevoegen om een e-mail naar de gebruiker te verzenden wanneer het apparaat niet compatibel is om deze te waarschuwen voor die status. Je kunt ook acties toevoegen waarmee apparaten die niet compatibel blijven, worden vergrendeld of buiten gebruik worden gesteld.

   Zie Acties toevoegen voor niet-compatibele apparaten voor meer informatie over de acties die je kunt configureren, waaronder het maken van e-mailberichten met meldingen voor het verzenden naar je gebruikers.

   Een ander voorbeeld is het gebruik van Locaties waar je ten minste één locatie toevoegt aan een nalevingsbeleid. In dit geval is de standaardactie voor niet-naleving van toepassing wanneer je ten minste één locatie selecteert. Als het apparaat niet is verbonden met een van de geselecteerde locaties, wordt het beschouwd als niet-compatibel. Je kunt de planning configureren om je gebruikers een respijtperiode te geven, bijvoorbeeld één dag.

9. Selecteer op het tabblad Bereiktags tags om beleid te filteren op specifieke groepen, zoals US-NC IT Team of JohnGlenn_ITDepartment. Nadat je de instellingen hebt toegevoegd, kun je ook een bereiktag toevoegen aan het profiel.

   Zie Bereiktags gebruiken om beleid te filteren voor meer informatie over het gebruik van bereiktags.

10. Wijs op het tabblad Toewijzingen het beleid toe aan je groepen.

Selecteer Groepen toevoegen en wijs het beleid vervolgens toe aan een of meer groepen. Het beleid is van toepassing op deze groepen wanneer je het beleid opslaat na de volgende stap.

Beleid voor Linux biedt geen ondersteuning voor toewijzingen op basis van gebruikers en kan alleen worden toegewezen aan apparaatgroepen.

11. Controleer op het tabblad Controleren en maken de instellingen en selecteer Maken wanneer je klaar bent om het nalevingsbeleid op te slaan.

    De gebruikers of apparaten waarop je beleid betrekking heeft, worden geëvalueerd op naleving wanneer ze inchecken met Intune.

Cyclustijden vernieuwen

Intune gebruikt verschillende vernieuwingscycli om te controleren op updates voor nalevingsbeleid. Als het apparaat onlangs is geregistreerd, wordt het inchecken vaker uitgevoerd. Vernieuwingscycli voor beleid en profiel vermeldt de geschatte vernieuwingstijden.

Gebruikers kunnen op elk gewenst moment de bedrijfsportal-app openen en het apparaat synchroniseren om onmiddellijk te controleren op beleidsupdates.

De status InGracePeriod toewijzen

De status InGracePeriod voor een nalevingsbeleid is een waarde. Deze waarde wordt bepaald door de combinatie van de respijtperiode van een apparaat en de werkelijke status van een apparaat voor dat nalevingsbeleid.

Met name als een apparaat de status Niet-compatibel heeft voor een toegewezen nalevingsbeleid, en:

• Er is geen respijtperiode toegewezen aan het apparaat, waarna de toegewezen waarde voor het nalevingsbeleid Niet-compatibel is
• Het apparaat heeft een respijtperiode die is verlopen. Vervolgens is de toegewezen waarde voor het nalevingsbeleid Niet-compatibel
• Het apparaat heeft een respijtperiode die zich in de toekomst bevindt. Vervolgens is de toegewezen waarde voor het nalevingsbeleid InGracePeriod

De volgende tabel bevat een overzicht van deze punten:

Werkelijke nalevingsstatus	Waarde van toegewezen respijtperiode	Effectieve nalevingsstatus
Niet-conform	Er is geen respijtperiode toegewezen	Niet-conform
Niet-conform	De datum van gisteren	Niet-conform
Niet-conform	De datum van morgen	InGracePeriod

Zie Nalevingsbeleid voor apparaten bewaken Intune voor meer informatie over het Bewaken van nalevingsbeleid voor apparaten.

Een resulterende nalevingsbeleidsstatus toewijzen

Als een apparaat meerdere nalevingsbeleidsregels heeft en het apparaat verschillende nalevingsstatussen heeft voor twee of meer van het toegewezen nalevingsbeleid, wordt één resulterende nalevingsstatus toegewezen. Deze toewijzing is gebaseerd op een conceptueel ernstniveau dat is toegewezen aan elke nalevingsstatus. Elke nalevingsstatus heeft het volgende ernstniveau:

Status	Ernst
Unknown	1
NietToepasbaar	2
Compatibel	3
InGracePeriod	4
Niet-conform	5
Error	6

Wanneer een apparaat meerdere nalevingsbeleidsregels heeft, wordt het hoogste ernstniveau van alle beleidsregels toegewezen aan dat apparaat.

Aan een apparaat zijn bijvoorbeeld drie nalevingsbeleidsregels toegewezen: één onbekende status (ernst = 1), één conforme status (ernst = 3) en één status IngracePeriod (ernst = 4). De status InGracePeriod heeft het hoogste ernstniveau. Alle drie de beleidsregels hebben dus de nalevingsstatus InGracePeriod.

Volgende stappen

Je beleid bewaken.