Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Intune bevat instellingen en functies die u kunt in- of uitschakelen op verschillende apparaten binnen uw organisatie. Deze instellingen en functies worden toegevoegd aan 'configuratieprofielen'. U kunt profielen maken voor verschillende apparaten en platforms, waaronder iOS/iPadOS, Android-apparaatbeheerder, Android Enterprise en Windows. Gebruik vervolgens Intune om het profiel toe te passen of toe te wijzen aan de apparaten.
Dit artikel bevat richtlijnen om aan de slag te gaan met configuratieprofielen.
Configuratieprofielen bieden u de mogelijkheid om belangrijke beveiliging te configureren en apparaten aan de naleving toe te passen, zodat ze toegang hebben tot uw resources. Voorheen werden dit soort configuratiewijzigingen geconfigureerd met behulp van groepsbeleid instellingen in Active Directory Domain Services. Een moderne beveiligingsstrategie omvat het verplaatsen van beveiligingscontroles naar de cloud, waarbij het afdwingen van deze besturingselementen niet afhankelijk is van on-premises resources en toegang. Intune-configuratieprofielen zijn de manier om deze beveiligingsmaatregelen over te zetten naar de cloud.
Zie Functies en instellingen toepassen op uw apparaten met behulp van apparaatprofielen in Microsoft Intune om u een idee te geven van het type configuratieprofielen dat u kunt maken.
Windows-beveiligingsbasislijnen implementeren voor Intune
Als u uw apparaatconfiguraties wilt afstemmen op microsoft-beveiligingsbasislijnen, raden we u de beveiligingsbasislijnen in Microsoft Intune aan. Het voordeel van deze aanpak is dat u erop kunt vertrouwen dat Microsoft de basislijnen up-to-date houdt wanneer Windows-functies worden uitgebracht.
Om de Windows-beveiligingsbasislijnen voor Intune te implementeren, die beschikbaar is voor Windows 10 en Windows 11. Zie Beveiligingslijnlijnen gebruiken om Windows in Intune te configureren voor meer informatie over de beschikbare basislijnen.
Implementeer voorlopig alleen de meest geschikte MDM-beveiligingsbasislijn. Zie Beveiligingsbasislijnprofielen beheren in Microsoft Intune om het profiel te maken en de basislijnversie te kiezen.
Wanneer Microsoft Defender voor Eindpunt later is ingesteld en verbonden met Intune, implementeert u de Defender voor Eindpunt-basislijnen. Dit onderwerp wordt behandeld in het volgende artikel in deze reeks: Stap 6. Apparaatrisico en naleving van beveiligingsbasislijnen bewaken.
Het is belangrijk om te begrijpen dat deze beveiligingsbasislijnen niet compatibel zijn met CIS of NIST, maar nauw overeenkomen met hun aanbevelingen. Zie Zijn de Intune beveiligingsbasislijnen CIS of NIST compatibel? voor meer informatie.
Configuratieprofielen voor uw organisatie aanpassen
Naast het implementeren van de vooraf geconfigureerde basislijnen implementeren veel organisaties op ondernemingsniveau configuratieprofielen voor gedetailleerdere controle. Deze configuratie helpt de afhankelijkheid van groepsbeleid Objects (GPO's) in de on-premises Active Directory omgeving te verminderen en beveiligingsbesturingselementen naar de cloud te verplaatsen.
De vele instellingen die u kunt configureren met behulp van configuratieprofielen, kunnen worden gegroepeerd in vier categorieën, zoals te zien is in de volgende afbeelding.
In de volgende tabel wordt de afbeelding beschreven.
| Categorie | Beschrijving | Voorbeelden |
|---|---|---|
| Apparaatfuncties | Hiermee worden functies op het apparaat beheerd. Deze categorie is alleen van toepassing op iOS-/iPadOS- en macOS-apparaten. | Airprint, meldingen, berichten op vergrendelingsscherm |
| Apparaatbeperkingen | Hiermee beheert u de beveiliging, hardware, het delen van gegevens en meer instellingen op de apparaten | Een pincode en gegevensversleuteling vereisen |
| Toegangsconfiguratie | Hiermee configureert u een apparaat voor toegang tot de resources van uw organisatie | E-mailprofielen, VPN-profielen, wifi instellingen, certificaten |
| Aangepast | Aangepaste configuratie instellen of aangepaste configuratieacties uitvoeren | OEM-instellingen instellen, PowerShell-scripts uitvoeren |
Gebruik de volgende richtlijnen bij het aanpassen van configuratieprofielen voor uw organisatie:
- Vereenvoudig uw strategie voor beveiligingsbeheer door het totale aantal beleidsregels klein te houden.
- Groepeer instellingen in de categorieën die worden vermeld in de voorgaande tabel of gebruik categorieën die zinvol zijn voor uw organisatie.
- Wanneer u beveiligingsbesturingselementen verplaatst van GPO's naar Intune configuratieprofielen, moet u nagaan of de instellingen die door elk groepsbeleidsobject zijn geconfigureerd, nog steeds relevant zijn en vereist zijn om bij te dragen aan uw algehele cloudbeveiligingsstrategie. Voorwaardelijke toegang en de vele beleidsregels die kunnen worden geconfigureerd voor cloudservices, waaronder Intune, bieden geavanceerdere beveiliging dan zou kunnen worden geconfigureerd in een on-premises omgeving waarin aangepaste GPO's oorspronkelijk zijn ontworpen.
- Gebruik groepsbeleid Analytics om uw huidige GPO-instellingen te vergelijken en toe te wijzen aan mogelijkheden binnen Microsoft Intune. Zie Uw on-premises groepsbeleidsobjecten (GPO) analyseren met behulp van groepsbeleid analytics in Microsoft Intune.
- Wanneer u aangepaste configuratieprofielen gebruikt, moet u de richtlijnen gebruiken in Een profiel maken met aangepaste instellingen in Intune.
Aanvullende bronnen
Als u niet zeker weet waar u met apparaatprofielen moet beginnen, kunnen de volgende bronnen u helpen:
Als uw omgeving on-premises GPO's bevat, zijn de volgende functies een goede overgang naar de cloud:
Volgende stap
Ga naar Stap 6. Controleer apparaatrisico's en naleving van beveiligingsbasislijnen.