Meer informatie over beleidsbeheer op basis van groepen

  • 4 minuten

U kunt toewijzingen van apparaten, apps en beleid beheren op basis van groepen gebruikers of apparaten.

U kunt de volgende typen groepen toevoegen:

  • Toegewezen groepen: voeg handmatig gebruikers of apparaten toe aan een statische groep.
  • Dynamische groepen (hiervoor is Microsoft Entra ID P1 of P2 vereist): voeg automatisch gebruikers of apparaten toe aan gebruikersgroepen of apparaatgroepen op basis van een expressie die u maakt.

Apparaten

Als u het beheer van apparaten eenvoudiger wilt maken, kunt u Microsoft Intune-apparaatcategorieën gebruiken om apparaten automatisch toe te voegen aan groepen op basis van categorieën die u definieert.

Apparaatcategorieën gebruiken de volgende werkstroom:

  1. Categorieën maken waaruit gebruikers kunnen kiezen wanneer ze hun apparaat inschrijven.
  2. Wanneer gebruikers van iOS-/iPadOS- en Android-apparaten een apparaat inschrijven, moeten ze een categorie kiezen uit de lijst met categorieën die u hebt geconfigureerd. Gebruikers moeten de Bedrijfsportal-website gebruiken om een categorie toe te wijzen aan een Windows-apparaat.
  3. Vervolgens kunt u beleidsregels en apps implementeren in deze groepen.

U kunt alle gewenste apparaatcategorieën maken. Voorbeeld:

  • Point-of-sale-apparaat
  • Demonstratieapparaat
  • Verkoop
  • Financiële administratie
  • Manager

Nadat uw apparaat is ingeschreven, wordt het beheerd. Uw organisatie kan beleidsregels en apps toewijzen aan het apparaat via een MDM-provider (Mobile Device Management), zoals Intune.

Apps

Nadat u een app aan Microsoft Intune hebt toegevoegd, kunt u de app toewijzen aan gebruikers en apparaten. Het is belangrijk om te weten dat u een app kunt toewijzen aan een apparaat, ongeacht of Intune deze beheert of niet.

In Intune kunt u bepalen wie toegang heeft tot een app door groepen gebruikers toe te wijzen die moeten worden opgenomen en uitgesloten. Voordat u groepen aan de app toewijst, moet u het toewijzingstype voor een app instellen. Het toewijzingstype maakt de app beschikbaar, vereist of verwijdert de app.

Als u de beschikbaarheid van een app wilt instellen, neemt u app-toewijzingen op en sluit u deze uit voor een groep gebruikers of apparaten. U kunt dit doen met behulp van een combinatie van groepstoewijzingen voor opnemen en uitsluiten. Deze mogelijkheid kan handig zijn wanneer u de app beschikbaar maakt door een grote groep op te geven. Besmalen vervolgens de geselecteerde gebruikers door ook een kleinere groep uit te sluiten. De kleinere groep kan een testgroep of een leidinggevende groep zijn.

Als best practice kunt u apps specifiek maken en toewijzen voor uw gebruikersgroepen en afzonderlijk voor uw apparaatgroepen.

Wanneer u bijvoorbeeld een gebruiker met de titel Manager toevoegt, wordt de gebruiker automatisch toegevoegd aan een gebruikersgroep Alle managers . Wanneer een apparaat het besturingssysteemtype iOS-/iPadOS-apparaat heeft, wordt het apparaat automatisch toegevoegd aan een groep alle iOS-/iPadOS-apparaten .

Nadat u in Intune een app hebt toegewezen aan een groep, kunt u beleidsregels voor de app toewijzen aan gebruikers of apparaten.

Beleid

U kunt beleidsregels toewijzen aan groepen met behulp van Intune. Wanneer u beleidsregels toewijst, kunt u kiezen op wie dit betrekking zal hebben en op wie niet.

Gebruikersgroepen versus apparaatgroepen

Veel gebruikers vragen wanneer ze gebruikersgroepen en apparaatgroepen moeten gebruiken. Het antwoord is afhankelijk van uw doel. Hier volgen enkele richtlijnen om u op weg te helpen:

Apparaatgroepen

Als u instellingen wilt toepassen op een apparaat, ongeacht wie is aangemeld, wijst u uw profielen toe aan een apparaatgroep. Instellingen die zijn toegepast op apparaatgroepen, gaan altijd met het apparaat, niet met de gebruiker. Apparaatgroepen worden vaak gebruikt voor gedeelde en gespecialiseerde apparaten.

Voorbeeld:

  • Apparaatgroepen zijn handig voor het beheren van apparaten die geen toegewezen gebruiker hebben. U hebt bijvoorbeeld apparaten die tickets afdrukken, inventaris scannen, informatie delen tussen ploegenwerkers, tickets toewijzen aan specifieke magazijnen, enzovoort. Plaats deze apparaten in een apparaatgroep en wijs uw profielen toe aan deze apparaatgroep.
  • U maakt een DFCI-profiel (Device Firmware Configuration Interface) dat de instellingen in het BIOS bijwerkt. U configureert dit profiel bijvoorbeeld om de camera van het apparaat uit te schakelen of de opstartopties te vergrendelen om te voorkomen dat gebruikers een ander besturingssysteem opstarten. Dit profiel is een goed scenario om toe te wijzen aan een apparaatgroep.
  • Op sommige specifieke Windows-apparaten wilt u altijd bepaalde Microsoft Edge-instellingen beheren, ongeacht wie het apparaat gebruikt. U wilt bijvoorbeeld alle downloads blokkeren, alle cookies beperken tot de huidige browsersessie en de browsegeschiedenis verwijderen. Voor dit scenario plaatst u deze specifieke Windows-apparaten in een apparaatgroep. Maak vervolgens een beheersjabloon in Intune, voeg deze apparaatinstellingen toe en wijs dit profiel toe aan de apparaatgroep.

Als u wilt samenvatten, gebruikt u apparaatgroepen wanneer u niet schelt wie is aangemeld op het apparaat of als iemand is aangemeld. U wilt dat uw instellingen altijd op het apparaat staan.

Gebruikersgroepen

Profielinstellingen die zijn toegepast op gebruikersgroepen, gaan altijd met de gebruiker mee en gaan met de gebruiker wanneer ze zijn aangemeld bij hun vele apparaten. Het is normaal dat gebruikers veel apparaten hebben, zoals een Surface Pro voor werk en een persoonlijk iOS-/iPadOS-apparaat. Het is ook normaal dat een persoon vanaf deze apparaten toegang heeft tot e-mail en andere organisatiebronnen. Gebruikersgroepen worden doorgaans gebruikt voor informatievoorziening en kenniswerkers.

Voorbeeld:

  • U wilt een helpdeskpictogram voor alle gebruikers op al hun apparaten plaatsen. In dit scenario plaatst u deze gebruikers in een gebruikersgroep en wijst u uw pictogramprofiel voor helpdesk toe aan deze gebruikersgroep.

  • Een gebruiker ontvangt een nieuw apparaat dat eigendom is van de organisatie. De gebruiker meldt zich aan bij het apparaat met zijn/haar domeinaccount. Het apparaat wordt automatisch geregistreerd in Microsoft Entra ID en automatisch beheerd door Intune. Dit profiel is een goed scenario om aan een gebruikersgroep toe te wijzen.

  • Wanneer een gebruiker zich aanmeldt bij een apparaat, wilt u functies in apps beheren, zoals OneDrive of Office. In dit scenario wijst u uw OneDrive- of Office-profielinstellingen toe aan een gebruikersgroep.

    U wilt bijvoorbeeld niet-vertrouwde ActiveX-besturingselementen in uw Office-app s blokkeren. U kunt een beheersjabloon maken in Intune, deze instelling configureren en dit profiel toewijzen aan een gebruikersgroep.

Als u wilt samenvatten, gebruikt u gebruikersgroepen wanneer u wilt dat uw instellingen en regels altijd bij de gebruiker worden gebruikt, ongeacht het apparaat dat ze gebruiken.