Delen via


Een nalevingsbeleid maken in Microsoft Intune

Nalevingsbeleid voor apparaten is een belangrijke functie bij het gebruik van Intune om de resources van uw organisatie te beveiligen. In Intune kunt u regels en instellingen maken waaraan apparaten moeten voldoen om als compatibel te worden beschouwd, zoals een minimale versie van het besturingssysteem. Als het apparaat niet compatibel is, kunt u vervolgens de toegang tot gegevens en resources blokkeren met behulp van voorwaardelijke toegang.

U kunt ook acties uitvoeren voor niet-naleving, zoals het verzenden van een e-mailmelding naar de gebruiker. Zie Aan de slag met apparaatnaleving voor een overzicht van wat nalevingsbeleid doet en hoe ze worden gebruikt.

Dit artikel:

  • Lijsten de vereisten en stappen voor het maken van een nalevingsbeleid.
  • Laat zien hoe u het beleid toewijst aan uw gebruikers- en apparaatgroepen.
  • Hierin worden andere functies beschreven, waaronder bereiktags om uw beleid te 'filteren' en stappen die u kunt uitvoeren op apparaten die niet compatibel zijn.
  • Lijsten de vernieuwingscyclus voor inchecken wanneer apparaten beleidsupdates ontvangen.

Voordat u begint

Als u nalevingsbeleid voor apparaten wilt gebruiken, moet u het volgende doen:

  • Gebruik de volgende abonnementen:

    • Intune
    • Als u voorwaardelijke toegang gebruikt, hebt u Microsoft Entra ID P1- of P2-editie nodig. Microsoft Entra prijzen geeft aan wat u krijgt met de verschillende edities. Intune naleving vereist geen Microsoft Entra ID.
  • Een ondersteund platform gebruiken:

    • Android apparaatbeheerder
    • Android AOSP
    • Android Enterprise
    • iOS
    • Linux - Ubuntu Desktop, versie 20.04 LTS en 22.04 LTS
    • macOS
    • Windows 10/11

Belangrijk

Microsoft Intune beëindigt de ondersteuning voor beheer van Android-apparaten op apparaten met toegang tot Google Mobile Services (GMS) op 31 december 2024. Na die datum zijn apparaatinschrijving, technische ondersteuning, bugfixes en beveiligingspatches niet meer beschikbaar. Als u momenteel apparaatbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie in Intune voordat de ondersteuning wordt beëindigd. Zie Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.

  • Apparaten inschrijven in Intune (vereist om de nalevingsstatus te zien)

  • Apparaten inschrijven bij één gebruiker of inschrijven zonder primaire gebruiker. Afzonderlijke apparaten kunnen niet worden ingeschreven bij meerdere gebruikers.

Naast nalevingsinstellingen die zijn ingebouwd in Intune, bieden de volgende platforms ondersteuning voor het toevoegen van aangepaste nalevingsinstellingen aan nalevingsbeleid:

  • Ubuntu Desktop, versie 20.04 LTS en 22.04 LTS
  • Windows 10/11

Voordat u aangepaste instellingen kunt toevoegen, moet u een aangepast JSON-bestand voorbereiden dat de instellingen definieert waarop u uw aangepaste naleving wilt baseren, en een script dat wordt uitgevoerd op apparaten om de instellingen te detecteren die zijn gedefinieerd in de JSON.

Zie Aangepaste nalevingsinstellingen gebruiken voor meer informatie over het gebruik van aangepaste nalevingsinstellingen, waaronder ondersteunde platforms, vereisten en het configureren van de categorie Aangepaste naleving tijdens het maken van een beleid.

Het beleid maken

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Ga naar Naleving van apparaten> en kies Beleid maken.

  3. Selecteer een platform voor dit beleid uit de volgende opties:

    • Android apparaatbeheerder
    • Android (AOSP)
    • Android Enterprise
    • iOS/iPadOS
    • Linux - (Ubuntu Desktop, versie 20.04 LTS en 22.04 LTS, RedHat Enterprise Linux 8 of RedHat Enterprise Linux 9)
    • macOS
    • Windows 8.1 en hoger
    • Windows 10 en hoger

    Voor Android Enterprise selecteert u ook een beleidstype:

    • Volledig beheerd, toegewezen en bedrijfseigendom werkprofiel
    • Werkprofiel in persoonlijk eigendom

    Selecteer vervolgens Maken om de configuratiepagina te openen.

  4. Geef op het tabblad Basisbeginselen een naam op waarmee u deze later kunt herkennen. Een goede beleidsnaam is bijvoorbeeld Gekraakte iOS-/iPadOS-apparaten markeren als niet-compatibel.

    U kunt er ook voor kiezen om een beschrijving op te geven.

  5. Vouw op het tabblad Nalevingsinstellingen de beschikbare categorieën uit en configureer instellingen voor uw beleid. In de volgende artikelen worden de beschikbare nalevingsinstellingen voor elk platform beschreven:

  6. Aangepaste instellingen toevoegen aan beleid voor ondersteunde platforms.

    Tip

    Dit is een optionele stap die alleen wordt ondersteund voor de volgende platforms:

    • Linux - Ubuntu Desktop, versie 20.04 LTS en 22.04 LTS
    • Windows 10/11 Voordat u aangepaste instellingen aan een beleid kunt toevoegen, moet u een detectiescript hebben geüpload naar Intune en een JSON-bestand gereed hebben waarin de instellingen worden gedefinieerd die u wilt gebruiken voor naleving. Zie Instellingen voor aangepaste naleving.

    Vouw op de pagina Nalevingsinstellingen de categorie Aangepaste naleving uit:

    Voor Windows:

    1. Vouw op de pagina NalevingsinstellingenAangepaste naleving uit en stel Aangepaste naleving in op Vereisen.
    2. Selecteer bij Uw detectiescript selecterende optie Klik om te selecteren en geef vervolgens een script op dat eerder is toegevoegd aan het Microsoft Intune-beheercentrum. Dit script moet worden geüpload voordat u begint met het maken van het beleid.
    3. Voor Het uploaden en valideren van het JSON-bestand met uw aangepaste nalevingsinstellingen selecteert u het mappictogram en zoekt en voegt u vervolgens het JSON-bestand voor Windows toe dat u met dit beleid wilt gebruiken. Zie Een JSON maken voor aangepaste nalevingsinstellingen voor hulp bij de JSON.

    Voor Linux:

    1. Selecteer op de pagina Nalevingsinstellingende optie Instellingen toevoegen om het deelvenster Instellingenkiezer te openen.
    2. Selecteer Aangepaste naleving en selecteer vervolgens 8.
    3. Selecteer op de pagina Nalevingsinstellingen de wisselknop voor Aangepaste naleving vereisen om deze te wijzigen in Waar.
    4. Selecteer bij Uw detectiescript selecterende optie Herbruikbare instellingen instellen en geef vervolgens een script op dat eerder is toegevoegd aan het Microsoft Intune beheercentrum. Dit script moet zijn geüpload voordat u begint met het maken van het beleid.
    5. Selecteer bij Uw regelbestand selecteren het mappictogram en zoek en voeg vervolgens het JSON-bestand voor Linux toe dat u met dit beleid wilt gebruiken. Zie Een JSON maken voor aangepaste nalevingsinstellingen voor hulp bij de JSON.

    De JSON die u invoert, wordt gevalideerd en eventuele problemen worden weergegeven. Na validatie van de JSON-inhoud worden de regels van de JSON weergegeven in tabelindeling.

  7. Geef op het tabblad Acties voor niet-naleving een reeks acties op die automatisch moeten worden toegepast op apparaten die niet voldoen aan dit nalevingsbeleid.

    U kunt meerdere acties toevoegen en schema's en details voor sommige acties configureren. U kunt bijvoorbeeld het schema van de standaardactie Apparaat niet-compatibel markeren wijzigen om na één dag op te treden. Vervolgens kunt u een actie toevoegen om een e-mail naar de gebruiker te verzenden wanneer het apparaat niet compatibel is om deze te waarschuwen voor die status. U kunt ook acties toevoegen waarmee apparaten die niet compatibel blijven, worden vergrendeld of buiten gebruik worden gesteld.

    Zie Acties toevoegen voor niet-compatibele apparaten voor meer informatie over de acties die u kunt configureren, waaronder het maken van e-mailberichten met meldingen voor het verzenden naar uw gebruikers.

    Een ander voorbeeld is het gebruik van Locaties waar u ten minste één locatie toevoegt aan een nalevingsbeleid. In dit geval is de standaardactie voor niet-naleving van toepassing wanneer u ten minste één locatie selecteert. Als het apparaat niet is verbonden met een van de geselecteerde locaties, wordt het beschouwd als niet-compatibel. U kunt de planning configureren om uw gebruikers een respijtperiode te geven, bijvoorbeeld één dag.

  8. Selecteer op het tabblad Bereiktags tags om beleid te filteren op specifieke groepen, zoals US-NC IT Team of JohnGlenn_ITDepartment. Nadat u de instellingen hebt toegevoegd, kunt u ook een bereiktag toevoegen aan uw nalevingsbeleid.

    Zie Bereiktags gebruiken om beleid te filteren voor meer informatie over het gebruik van bereiktags.

  9. Wijs op het tabblad Toewijzingen het beleid toe aan uw groepen.

Selecteer + Selecteer groepen om op te nemen en wijs het beleid vervolgens toe aan een of meer groepen. Het beleid is van toepassing op deze groepen wanneer u het beleid opslaat na de volgende stap.

Beleid voor Linux biedt geen ondersteuning voor toewijzingen op basis van gebruikers en kan alleen worden toegewezen aan apparaatgroepen.

  1. Controleer op het tabblad Controleren en maken de instellingen en selecteer Maken wanneer u klaar bent om het nalevingsbeleid op te slaan.

    De gebruikers of apparaten waarop uw beleid betrekking heeft, worden geëvalueerd op naleving wanneer ze inchecken met Intune.

Vernieuwingscyclustijden

Intune gebruikt verschillende vernieuwingscycli om te controleren op updates van nalevingsbeleid. Als het apparaat onlangs is geregistreerd, wordt het inchecken vaker uitgevoerd. Vernieuwingscycli voor beleid en profiel vermeldt de geschatte vernieuwingstijden.

Gebruikers kunnen op elk gewenst moment de Bedrijfsportal-app openen en het apparaat synchroniseren om onmiddellijk te controleren op beleidsupdates.

De status InGracePeriod toewijzen

De status InGracePeriod voor een nalevingsbeleid is een waarde. Deze waarde wordt bepaald door de combinatie van de respijtperiode van een apparaat en de werkelijke status van een apparaat voor dat nalevingsbeleid.

Met name als een apparaat de status Niet-compatibel heeft voor een toegewezen nalevingsbeleid, en:

  • Er is geen respijtperiode toegewezen aan het apparaat, waarna de toegewezen waarde voor het nalevingsbeleid Niet-compatibel is
  • Het apparaat heeft een respijtperiode die is verlopen. Vervolgens is de toegewezen waarde voor het nalevingsbeleid Niet-compatibel
  • Het apparaat heeft een respijtperiode die zich in de toekomst bevindt. Vervolgens is de toegewezen waarde voor het nalevingsbeleid InGracePeriod

De volgende tabel bevat een overzicht van deze punten:

Werkelijke nalevingsstatus Waarde van toegewezen respijtperiode Effectieve nalevingsstatus
Compatibel Er is geen respijtperiode toegewezen Compatibel
Compatibel De datum van gisteren Compatibel
Compatibel De datum van morgen InGracePeriod

Zie Nalevingsbeleid voor apparaten bewaken Intune voor meer informatie over het bewaken van nalevingsbeleid voor apparaten.

Een resulterende nalevingsbeleidsstatus toewijzen

Als een apparaat meerdere nalevingsbeleidsregels heeft en het apparaat verschillende nalevingsstatussen heeft voor twee of meer van het toegewezen nalevingsbeleid, wordt één resulterende nalevingsstatus toegewezen. Deze toewijzing is gebaseerd op een conceptueel ernstniveau dat is toegewezen aan elke nalevingsstatus. Elke nalevingsstatus heeft het volgende ernstniveau:

Status Ernst
Unknown 1
NotApplicable 2
Volgzaam 3
InGracePeriod 4
Compatibel 5
Error 6

Wanneer een apparaat meerdere nalevingsbeleidsregels heeft, wordt het hoogste ernstniveau van alle beleidsregels toegewezen aan dat apparaat.

Aan een apparaat zijn bijvoorbeeld drie nalevingsbeleidsregels toegewezen: één onbekende status (ernst = 1), één conforme status (ernst = 3) en één status IngracePeriod (ernst = 4). De status InGracePeriod heeft het hoogste ernstniveau. Alle drie de beleidsregels hebben dus de nalevingsstatus InGracePeriod.

Volgende stappen

Uw beleid bewaken.