Microsoft Intune-planningshandleiding

Een geslaagde Microsoft Intune-implementatie of -migratie begint met plannen. Deze handleiding begeleidt u door gangbare mogelijkheden voor Mobile Device Management (MDM) en Mobile Application Management (MAM). Daarnaast vindt u hier richtlijnen om uw apparaten te inventariseren, licenties, huidige beleidsregels en infrastructuur te controleren, een implementatieplan te maken en meer.

Taak 1: Uw doelstellingen bepalen

Organisaties gebruiken Mobile Device Management (MDM) en Mobile Application Management (MAM) om organisatiegegevens veilig te beheren, met minimale onderbrekingen voor gebruikers. Wanneer u een MDM/MAM-oplossing, zoals Microsoft Intune, gaat evalueren, bekijkt u wat het doel is en wat u wilt bereiken.

In deze sectie bespreken we gangbare doelstellingen bij het gebruik van Intune.

Doelstelling: Toegang tot organisatie-apps en e-mail

Gebruikers verwachten dat ze met organisatie-apps op apparaten kunnen werken, zoals e-mail lezen en beantwoorden, gegevens bijwerken en delen, en meer. In Intune kunt u verschillende typen apps implementeren, waaronder:

• Office 365-apps
• Win32-apps
• Line-Of-Business (LOB)-apps
• Aangepaste apps
• Toegang tot ingebouwde apps of Store-apps toestaan (of blokkeren)

Taak: Maak een lijst van de apps die uw gebruikers regelmatig gebruiken. Dit zijn de apps die op hun apparaten moeten staan. Enkele aandachtspunten:

• Veel organisaties implementeren op pc's en tablets de Office-suite, met apps als Word, Excel, OneNote, PowerPoint en Teams. Op kleinere apparaten, zoals mobiele telefoons, kunnen afzonderlijke apps worden geïnstalleerd, afhankelijk van de vereisten van de gebruiker.

  Het verkoopteam kan bijvoorbeeld Teams, Excel en SharePoint nodig hebben. Op mobiele apparaten kunt u alleen deze apps implementeren, in plaats van het hele Office-pakket te implementeren.

• Gebruikers verwachten dat ze e-mail kunnen lezen en beantwoorden, en aan vergaderingen kunnen deelnemen op alle apparaten, waaronder persoonlijke apparaten. U kunt Outlook en Teams implementeren op apparaten die eigendom zijn van de organisatie. En u kunt alle instellingen van apparaten en apps, inclusief pincode- en wachtwoordvereisten, beheren. Op persoonlijke apparaten hebt u deze controle niet. Bepaal dus of u gebruikers toegang wilt geven tot organisatie-apps, zoals e-mail en vergaderingen.

  Zie Persoonlijke apparaten versus apparaten in eigendom van de organisatie (in dit artikel) voor meer informatie en aandachtspunten.

Doelstelling: Beveiligde toegang op alle apparaten

Wanneer gegevens op mobiele apparaten worden opgeslagen, moeten deze worden beveiligd tegen schadelijke activiteiten.

Taak: Bepaal hoe u uw apparaten wilt beveiligen en minimaliseer de gevolgen van schadelijke activiteiten. Enkele aandachtspunten:

• Antivirus (AV) en bescherming tegen schadelijke software zijn een must. Intune kan worden geïntegreerd met verschillende MTD-partners (Mobile Threat Defense) om ingeschreven apparaten, persoonlijke apparaten en apps te beveiligen. Op Windows 10 apparaten kunt u Microsoft Defender voor eindpunten en Intune samen gebruiken.

  Microsoft Defender for Endpoint bevat beveiligingsfuncties en een portal voor het bewaken en reageren op bedreigingen.

• Als een apparaat is gecompromitteerd, kunt u de gevolgen hiervan beperken met voorwaardelijke toegang. Bijvoorbeeld:

  • Als een apparaat voldoet aan een bedreigingsniveau dat u hebt ingesteld, kunt u de toegang tot organisatieresources blokkeren. Voorwaardelijke toegang helpt de verspreiding van schadelijke activiteiten te voorkomen.

  • Voorwaardelijke toegang helpt bij het beveiligen van uw netwerk en resources tegen apparaten, zelfs apparaten die niet zijn ingeschreven bij Intune.

    Intune kan bijvoorbeeld worden geïntegreerd met Microsoft Defender for Endpoint. Microsoft Defender for Endpoint scant een apparaat en bepaalt of het is aangetast. Vervolgens kan de toegang op dit apparaat door voorwaardelijke toegang automatisch worden geblokkeerd vanuit de organisatieresources, inclusief e-mail.

• Updates van het apparaat, het besturingssysteem en apps zorgen er ook voor dat uw gegevens beveiligd blijven. Maak een plan voor hoe en wanneer updates worden geïnstalleerd. Er zijn beleidsregels in Intune waarmee u updates kunt beheren, inclusief updates van Store-apps.

• Bepaal hoe gebruikers zich verifiëren bij organisatieresources vanaf hun eigen apparaten. U kunt bijvoorbeeld:

  • Gebruik certificaten op apparaten om functies en apps te verifiëren, zoals verbinding maken met een virtueel particulier netwerk (VPN), Outlook openen en meer. Deze certificaten bieden een 'wachtwoordloze' gebruikerservaring. Wachtwoord-less wordt als veiliger beschouwd dan gebruikers te verplichten hun organisatiegebruikersnaam en -wachtwoord in te voeren.

    Als u van plan bent certificaten te gebruiken, moet u controleren of er een ondersteunde PKI-infrastructuur is, die geschikt is om certificaatprofielen te maken en implementeren.

  • Gebruik meervoudige verificatie (MFA) wanneer u een extra verificatielaag nodig hebt op apparaten die eigendom zijn van de organisatie. Of gebruik MFA om apps te verifiëren op persoonlijke apparaten. Biometrie, zoals gezichtsherkenning en vingerafdrukken, kan ook worden gebruikt.

    Als u biometrie gebruikt voor verificatie, moet u ervoor zorgen dat uw apparaten biometrie ondersteunen. De meeste moderne apparaten doen dat.

  • Implementeert een Zero Trust implementatie. Met Zero Trust gebruikt u de functies in Azure AD en Microsoft Intune om alle eindpunten te beveiligen, gebruik te maken van verificatie zonder wachtwoord, en meer. Zie voor meer informatie het Zero Trust Deployment Center.

Doelstelling: IT distribueren

Veel organisaties willen verschillende beheerders de controle geven over locaties, afdelingen enzovoort. De groep Charlotte IT-beheerders controleert/beheert en bewaakt bijvoorbeeld het beleid op de Charlotte-campus. Deze Charlotte IT-beheerders kunnen alleen beleidsregels voor de Charlotte-locatie bekijken en beheren. Ze kunnen niet de beleidsregels voor de locatie Redmond bekijken en beheren. Deze aanpak wordt gedistribueerde IT genoemd.

In Intune maakt gedistribueerde IT gebruik van bereiktags en inschrijvingscategorieën voor apparaten. Bereiktags gebruiken op rollen gebaseerd toegangsbeheer (RBAC). Dus alleen gebruikers in een specifieke groep hebben toestemming om beleidsregels en profielen te beheren voor gebruikers en apparaten binnen het bereik.

Wanneer u apparaatcategorieën gebruikt, worden apparaten automatisch toegevoegd aan groepen op basis van categorieën die u maakt. Wanneer gebruikers hun apparaat inschrijven, kiezen ze een categorie, zoals verkoop, IT-beheer, verkooppuntapparaat, enzovoort. Deze apparaatgroepen zijn nu klaar om de profielen en beleidsregels te ontvangen die u maakt.

Met apparaatcategorieën van Intune kunnen apparaten automatisch worden toegevoegd aan groepen op basis van categorieën die u definieert, zodat het voor u eenvoudiger wordt om die apparaten te beheren.

Taak: Bepaal hoe u uw regels en instellingen (beleid en profielen) wilt distribueren. Enkele aandachtspunten:

• Bepaal uw beheerstructuur. Stel dat u wilt scheiden op locatie, zoals Charlotte IT-beheerders of Redmond IT-beheerders. U kunt ook scheiden op rol, zoals netwerkbeheerders die alle netwerktoegang beheren, inclusief VPN.

  Deze categorieën worden uw bereiktags.

• Veel organisaties scheiden groepen op basis van het apparaattype, zoals iOS-, iPadOS-, Android-of Windows-apparaten. Een aantal voorbeelden:

  • Distribueer specifieke apps naar specifieke apparaten. U kunt bijvoorbeeld de Microsoft- shuttle-toepassing implementeren op apparaten in het Redmond-netwerk.
  • Implementeer beleidsregels op specifieke locaties. U kunt bijvoorbeeld een VPN-profiel implementeren op apparaten in het Charlotte-netwerk, zodat deze automatisch verbinding maken als ze binnen het bereik zijn.
  • Beheer instellingen op specifieke apparaten. U kunt bijvoorbeeld de camera uitschakelen op Android Enterprise-apparaten die worden gebruikt op de werkvloer, een Windows Defender-antivirusprofiel maken voor alle Windows-apparaten of Exchange-mailinstellingen toevoegen aan alle iOS-iPadOS-apparaten.

  Deze categorieën worden uw apparaatinschrijvingscategorieën.

Doelstelling: Organisatiegegevens binnen de organisatie houden

Wanneer gegevens op mobiele apparaten worden opgeslagen, moeten deze worden beveiligd tegen onopzettelijk verlies of delen. Dit geldt ook voor het wissen van organisatiegegevens van persoonlijke apparaten en apparaten die bedrijfseigendom zijn.

Taak: Maak een plan waarin verschillende scenario's aan bod komen die van invloed zijn op uw organisatie. Enkele aandachtspunten:

• Een apparaat is verloren of gestolen of wordt niet meer gebruikt. Een gebruiker verlaat de organisatie.

  • In Intune kunt u apparaten verwijderen door te wissen, buiten gebruik te stellen of handmatig te verwijderen. U kunt ook automatisch apparaten verwijderen die gedurende een x aantal dagen zijn ingecheckt.
  • Op app-niveau kunt u organisatiegegevens verwijderen uit door Intune beheerde apps. Selectief wissen is ideaal voor persoonlijke apparaten, omdat hiermee persoonlijke gegevens op het apparaat bewaard blijven en alleen organisatiegegevens worden verwijderd.

• Op persoonlijke apparaten wilt u mogelijk verhinderen dat gebruikers kopiëren/plakken, schermopnamen maken of e-mailberichten doorsturen. Met app-beveiligingsbeleid kunt u deze functies blokkeren op apparaten die u niet beheert. Raadpleeg Gegevenslekken op niet-beheerde apparaten voorkomen met Intune voor meer informatie.

  Op beheerde apparaten (apparaten die zijn ingeschreven bij Intune) kunt u deze functies ook beheren met behulp van configuratieprofielen voor apparaten. Apparaatconfiguratieprofielen beheren instellingen op het apparaat, niet in de app. Op apparaten die toegang hebben tot zeer gevoelige of vertrouwelijke gegevens, kunnen de apparaatconfiguratieprofielen kopiëren/plakken, schermopnamen maken en meer, verhinderen.

• In Office-apps kunt u ongeoorloofde toegang tot organisatiegegevens verhinderen door gebruik te maken van Azure Information Protection. Deze functie maakt gebruik van labels om uw bestanden te classificeren, zoals vertrouwelijke gegevens.

Zie Persoonlijke apparaten versus apparaten in eigendom van de organisatie (in dit artikel) voor meer informatie en aandachtspunten.

Taak 2: Uw apparaten inventariseren

Organisaties hebben een groot aantal apparaten, zoals desktopcomputers, laptops, tablets en mobiele telefoons. Deze apparaten kunnen eigendom zijn van de organisatie of eigendom zijn van uw gebruikers. Wanneer u uw oplossing voor apparaatbeheer gaat plannen, moet u denken om alles wat toegang heeft tot uw organisatieresources, waaronder persoonlijke apparaten van gebruikers.

In deze sectie vindt u informatie over apparaten waarmee u rekening moet houden.

Ondersteunde platforms

Intune ondersteunt Android-apparaatbeheerder, Android-, Android Enterprise-, iOS/iPadOS-, macOS- en Windows-apparaten. Zie Ondersteunde platforms voor de specifieke versies.

Taak: Als uw apparaten niet-ondersteunde versies gebruiken, voornamelijk oudere besturingssystemen, is het tijd om het besturingssysteem bij te werken of de apparaten te vervangen. Deze oudere besturingssystemen en apparaten kunnen beperkte ondersteuning hebben en vormen een potentieel beveiligingsrisico. Deze taak omvat desktopcomputers met Windows 7, iPhone 7-apparaten met het oorspronkelijke besturingssysteem v10.0 enzovoort.

Persoonlijke apparaten versus apparaten in bedrijfseigendom

Op persoonlijke apparaten is het normaal en te verwachten dat gebruikers e-mail kunnen controleren, kunnen deelnemen aan Teams-vergaderingen, SharePoint-bestanden kunnen delen en meer. Veel organisaties staan persoonlijke apparaten toe en veel organisaties staan alleen apparaten toe die eigendom zijn van de organisatie.

Als organisatie en als beheerder kunt u besluiten om persoonlijke apparaten toe te staan.

Taak: Bepaal hoe u wilt omgaan met persoonlijke apparaten. Als 'mobiel' belangrijk is voor uw organisatie, kunt u de volgende benaderingen overwegen:

• Geef op persoonlijke apparaten gebruikers de keuze om in te schrijven voor Intune. Na inschrijving beheren beheerders deze apparaten volledig, inclusief push-beleid, het beheren van de functies en instellingen van het apparaat en zelfs het wissen van apparaten. Als beheerder wilt u deze controle mogelijk hebben of denkt u dat u deze controle wilt.

  Wanneer gebruikers hun persoonlijke apparaten inschrijven, realiseren ze zich mogelijk niet dat beheerders alles kunnen doen op het apparaat, inclusief het apparaat per ongeluk wissen of opnieuw instellen. Als beheerder wilt u deze aansprakelijkheid of mogelijke invloed op apparaten die geen eigendom zijn van uw organisatie, niet.

  Daarnaast weigeren veel gebruikers zich in te schrijven. Ze vinden andere manieren om toegang te krijgen tot organisatieresources. U moet bijvoorbeeld instellen dat apparaten ingeschreven moeten zijn om de Outlook-app te gebruiken om organisatie-e-mail te controleren. Gebruikers kunnen deze vereiste overslaan door een webbrowser op het apparaat te openen en zich aan te melden bij Outlook Web Access. Wellicht is dit niet wat u wilt. Of ze maken schermopnamen en slaan de afbeeldingen op het apparaat op. Dit is ook niet wat u wilt.

• Gebruik app-configuratiebeleid en beleid voor app-beveiliging op persoonlijke apparaten. Gebruikers schrijven zich niet in bij Intune. Deze apparaten worden niet beheerd door u.

  Gebruik een Voorwaarden-verklaring met beleid voor voorwaardelijke toegang. Als gebruikers niet akkoord gaan, krijgen ze geen toegang tot apps. Als gebruikers akkoord gaan met de verklaring, wordt een apparaatrecord toegevoegd aan Azure AD en wordt het apparaat een bekende entiteit. Wanneer het apparaat bekend is, kunt u bijhouden wat er vanaf het apparaat wordt benaderd.

  Vervolgens beheert u de toegang en beveiliging met behulp van app-beleid.

  Kijk naar de taken die uw organisatie het meest gebruikt, zoals e-mail en deelname aan vergaderingen. Gebruik app-configuratiebeleid om app-specifieke instellingen te configureren. Gebruik app-beveiligingsbeleid om de beveiliging en toegang tot deze apps te beheren.

  Gebruikers kunnen bijvoorbeeld de Outlook-app op hun persoonlijke apparaat gebruiken om werk-e-mail te controleren. Met Intune maken beheerders een Outlook-beleid voor app-beveiliging waarbij meervoudige verificatie (MFA) wordt gebruikt wanneer de Outlook-app wordt geopend, dat kopiëren en plakken voorkomt en meer.

• U wilt dat elk apparaat volledig wordt beheerd. In dit scenario geeft u gebruikers alle apparaten die ze nodig hebben, inclusief mobiele telefoons. Investeer in een plan voor het vernieuwen van hardware, zodat gebruikers productief en effectief blijven. Schrijf deze apparaten die eigendom zijn van de organisatie in Intune in en beheer ze met behulp van beleid.

  Met deze optie kunt u persoonlijke apparaten voorkomen.

U kunt er het beste altijd van uitgaan dat gegevens het apparaat verlaten. Zorg ervoor dat u beschikt over methoden voor bijhouden en controleren. Zie voor meer informatie het Zero Trust Deployment Center.

Desktopcomputers beheren

Met Intune kunt u desktopcomputers met Windows 10 en hoger beheren. Het Windows 10-besturingssysteem bevat ingebouwde beheerfuncties voor moderne apparaten en verwijdert afhankelijkheden op lokaal Active Directory-groepsbeleid (AD). U profiteert van de voordelen van de cloud bij het maken van regels en instellingen in Intune en bij het implementeren van dit beleid op al uw Windows 10-apparaten, waaronder desktopcomputers en pc's.

Raadpleeg Begeleid scenario: in de cloud beheerde moderne desktop voor meer informatie.

Als uw Windows 10-apparaten momenteel worden beheerd met Configuration Manager, kunt u deze apparaten nog steeds inschrijven in Intune. Deze aanpak wordt 'co-beheer' genoemd. Co-beheer biedt veel voordelen, waaronder het uitvoeren van externe acties op het apparaat (opnieuw opstarten, extern beheer, fabrieksinstellingen terugzetten), voorwaardelijke toegang met apparaatcompatibiliteit en meer. U kunt uw apparaten ook in de cloud koppelen met Intune.

Zie Wat is co-beheer, Paden naar co-beheer en Endpoint Manager-tenantkoppeling voor meer informatie.

Taak: Bekijk wat u momenteel gebruikt voor Mobile Device Management en wat de doelstellingen zijn. Bepaal aan de hand daarvan het beste pad. Enkele aandachtspunten:

• Als u momenteel niets gebruikt, kunt u het beste direct overstappen op Intune.

• In het geval van nieuwe apparaten die niet zijn ingeschreven bij Configuration Manager of een MDM-oplossing, kunt u het beste direct overstappen op Intune.

• Als u momenteel Configuration Manager gebruikt, zijn de volgende opties beschikbaar:

  • Als u uw bestaande infrastructuur wilt blijven gebruiken en enkele workloads naar de cloud wilt verplaatsen, gebruikt u co-beheer. U krijgt het voordeel van beide services. Bestaande apparaten kunnen enkele beleidsregels ontvangen van Configuration Manager (on-premises) en andere van Intune (cloud).
  • Als u uw bestaande infrastructuur wilt houden en Intune wilt gebruiken om uw on-premises apparaten te bewaken, gebruikt u tenantkoppeling. U profiteert van het gebruik van het beheercentrum van Endpoint Manager, terwijl u nog steeds Configuration Manager gebruikt om apparaten te beheren.
  • Als u een pure cloudoplossing wilt om apparaten te beheren, stapt u over op Intune. Dit scenario is zeldzaam. Bestaande Configuration Manager-gebruikers geven er de voorkeur aan om Configuration Manager te blijven gebruiken. In de Implementatiehandleiding voor installatie vindt u goede informatie.

  Zie Workloads voor co-beheer voor meer informatie.

Taak 3: Kosten en licenties bepalen

Apparaten beheren betekent dat u een relatie onderhoudt met verschillende services. Intune bevat de instellingen en functies die u op verschillende apparaten kunt beheren. Er zijn ook andere services die een belangrijke rol spelen:

• Azure Active Directory (AD) Premium bevat verschillende functies die essentieel zijn voor het beheren van apparaten, waaronder:

  • Windows Autopilot: Windows 10-apparaten kunnen automatisch worden ingeschreven bij Intune en automatisch uw beleid ontvangen.
  • Meervoudige verificatie (MFA): Gebruikers moeten twee of meer verificatiemethoden invoeren, zoals een pincode, een verificator-app, een vingerafdruk en meer. MFA is een uitstekende optie wanneer u app-beveiligingsbeleid gebruikt voor persoonlijke apparaten of apparaten die eigendom zijn van een organisatie waarvoor extra beveiliging nodig is.
  • Voorwaardelijke toegang: Als gebruikers en apparaten uw regels volgen, zoals een wachtwoordcode van 6 cijfers, krijgen ze toegang tot de resources van de organisatie. Als gebruikers of apparaten niet voldoen aan uw regels, krijgen ze geen toegang.
  • Dynamische gebruikersgroepen en dynamische apparaatgroepen: Voeg gebruikers of apparaten automatisch toe aan groepen wanneer ze voldoen aan criteria, zoals een stad, functietitel, type besturingssysteem, versie van besturingssysteem, enzovoort.

• Office 365 bevat de apps waarvan gebruikers afhankelijk zijn, zoals Outlook, Word, SharePoint, Teams, OneDrive en meer. U kunt deze apps implementeren op apparaten met behulp van Intune.

• Met Microsoft Defender for Endpoint kunt u uw apparaten Windows 10 controleren en scannen op schadelijke activiteiten. U kunt ook een acceptabel bedreigingsniveau instellen. In combinatie met voorwaardelijke toegang kunt u de toegang tot bedrijfsresources blokkeren als het bedreigingsniveau wordt overschreden.

• Azure Information Protection classificeert en beveiligt documenten en e-mailberichten door labels toe te passen. In Office-apps kunt u deze service gebruiken om onbevoegde toegang tot bedrijfsgegevens te verhinderen, inclusief apps op persoonlijke apparaten.

Al deze services zijn opgenomen in de Microsoft 365 E5-licentie. Zie Microsoft 365-licentieplannen voor meer informatie.

Taak: Bepaal welke services en programma's uw organisatie nodig heeft en gebruikt om productief en veilig te zijn. Enkele aandachtspunten:

• Als het uw doel is om beleid (regels) en profielen (instellingen) te implementeren, zonder afdwinging, hebt u, minimaal, Intune nodig. Intune is verkrijgbaar met verschillende abonnementen, waaronder als zelfstandige service. Zie Microsoft Intune-licenties.

  U gebruikt momenteel Configuration Manager en u wilt co-beheer voor uw apparaten instellen. Intune is al opgenomen in uw Configuration Manager-licentie. Als u wilt dat nieuwe apparaten of bestaande co-beheerde apparaten volledig worden beheerd door Intune, hebt u een afzonderlijke Intune-licentie nodig.

• U moet de nalevings- of wachtwoordregels die u in Intune maakt, afdwingen. U hebt minimaal Intune en Azure AD Premium nodig. Intune en Azure AD Premium zijn beschikbaar met Enterprise Mobility + Security.

  Zie Enterprise Mobility + Security-prijsopties voor meer informatie.

• U wilt alleen Office 365-apps op apparaten beheren. U hebt ten minste Office 365 nodig. Zie MDM voor Office 365 versus Microsoft Intune en Veelgestelde vragen over het beheer van mobiele apparaten voor Office 365 voor meer informatie.

• U wilt Office 365-apps implementeren op uw apparaten en beleidsregels maken om te helpen bij het beveiligen van apparaten waarop deze apps worden uitgevoerd. U hebt minimaal Intune en Office 365 nodig.

• U wilt beleid in Intune maken, Office 365-Apps implementeren en uw regels en instellingen afdwingen. U hebt minimaal Intune, Office 365 en Azure AD Premium nodig. Omdat al deze services zijn opgenomen in Microsoft 365, is het mogelijk rendabeler om de Microsoft 365-licentie te gebruiken.

  Zie Microsoft 365-licentieplannen voor meer informatie.

Taak 4: Bestaande beleidsregels en infrastructuur controleren

Veel organisaties hebben bestaande beleidsregels en infrastructuur voor apparaatbeheer die alleen worden 'onderhouden'. Stel dat u groepsbeleid van 20 jaar oud hebt en niet weet wat het doet. Wanneer u een overstap naar de cloud overweegt, moet u het doel vaststellen in plaats van te kijken naar wat u altijd hebt gedaan.

Met deze doelstellingen in het achterhoofd, maakt u een basislijn voor uw beleid. Als u meerdere oplossingen voor apparaatbeheer hebt, is nu het moment aangebroken om één Mobile Device Management-oplossing te gebruiken.

Taak: Kijk eerst naar de taken die u on-premises uitvoert en die kunnen worden verplaatst naar de cloud. Denk erom dat u het doel vaststelt, in plaats van te kijken naar wat u altijd hebt gedaan. Enkele aandachtspunten:

• Controleer uw bestaande beleidsregels en de bijbehorende structuur. Sommige beleidsregels zijn mogelijk globaal van toepassing, sommige zijn van toepassing op siteniveau en sommige zijn specifiek voor een apparaat. Het doel is de intentie van globaal beleid, de intentie van lokaal beleid, enzovoort te kennen en begrijpen.

  AD-groepsbeleid wordt toegepast op LSDOE-volgorde: lokaal, site, domein en organisatie-eenheid (OE). In deze hiërarchie worden domeinbeleidsregels overschreven door OE-beleidsregels, sitebeleidsregels door domeinbeleidsregels enzovoort.

  In Intune worden beleidsregels toegepast op gebruikers en groepen die u maakt. Hier is geen hiërarchie. Als dezelfde instelling wordt bijgewerkt door twee beleidsregels, wordt de instelling weergegeven als een conflict. Zie Algemene vragen, problemen en oplossingen met apparaatbeleid en -profielen voor meer informatie.

  Wanneer u van AD-groepsbeleid naar Intune gaat, wordt uw globale AD-beleid logischerwijze toegepast op groepen die u hebt, of groepen die u nodig hebt. Deze groepen bevatten gebruikers en apparaten waarop u zich op globaal niveau, op siteniveau enzovoort wilt richten. Deze taak geeft u een idee van de groepsstructuur die u nodig hebt in Intune.

• Bereid u voor op het maken van nieuwe beleidsregels en profielen in Intune. Intune bevat verschillende functies die betrekking hebben op scenario's waarin u mogelijk geïnteresseerd bent. Een aantal voorbeelden:

  • Beveiligingsbasislijnen: Op Windows 10-apparaten zijn beveiligingsbasislijnen beveiligingsinstellingen die vooraf zijn geconfigureerd op de aanbevolen waarden. Als u geen ervaring hebt met het beveiligen van apparaten, of als u een uitgebreide basislijn wilt, bekijkt u de beveiligingsbasislijnen.
  • Beheersjablonen: Gebruik ADMX-sjablonen op Windows 10-apparaten om instellingen voor groepsbeleid te configureren voor Windows, Internet Explorer, Office en Microsoft Edge versie 77 en hoger. Deze ADMX-sjablonen zijn dezelfde ADMX-sjablonen die ook worden gebruikt in AD-groepsbeleid, maar die in Intune 100% op de cloud zijn gebaseerd.
  • Groepsbeleid: Gebruik groepsbeleidsanalyse om uw GPO's te importeren en te analyseren. Deze functie helpt u te bepalen hoe uw GPO's eruit komen te zien in de cloud. In de uitvoer wordt aangegeven welke instellingen worden ondersteund in MDM-providers, waaronder Microsoft Intune. Ook worden alle afgeschafte instellingen of instellingen die niet beschikbaar zijn voor MDM-providers aangegeven.
  • Begeleide scenario's: Begeleide scenario's zijn een aangepaste reeks stappen die gericht zijn op end-to-end gebruiksscenario's. Deze scenario's omvatten automatisch beleidsregels, apps, toewijzingen en andere beheerconfiguraties.

• Maak een beleidsbasislijn die het minimum van uw doelstellingen bevat. Bijvoorbeeld:

  • Beveiligde e-mail: U kunt het beste het volgende doen:

    • Schakel voorwaardelijke toegang in voor Exchange Online of om verbinding te maken met een on-premises e-mailoplossing.
    • Maak beveiligingsbeleid voor de Outlook-app.

  • Apparaatinstellingen: U kunt het beste het volgende doen:

    • Vereis een pincode van zes tekens om het apparaat te ontgrendelen.
    • Voorkom dat back-ups naar persoonlijke cloudservices, zoals iCloud of OneDrive, worden gemaakt.

  • Apparaatprofielen: U kunt het beste het volgende doen:

    • Maak een Wi-Fi-profiel met de vooraf geconfigureerde instellingen die verbinding maken met het draadloze netwerk Contoso Wi-Fi.
    • Maak een VPN-profiel met een certificaat om automatisch te verifiëren en verbinding te maken met een VPN van de organisatie.
    • Maak een e-mailprofiel met de vooraf geconfigureerde instellingen die verbinding maken met Office 365 of een Gmail-oplossing.

  • Apps: U kunt het beste het volgende doen:

    • Implementeer Office 365 met beleid voor app-beveiliging.
    • Implementeer Line-of-business (LOB) met beleid voor app-beveiliging.

• Bekijk de huidige structuur van uw groepen. U kunt in Intune beleidsregels maken en toewijzen aan gebruikersgroepen, apparaatgroepen en dynamische gebruikers- en apparaatgroepen (hiervoor is Azure AD Premium vereist).

  Wanneer u groepen maakt in de cloud, zoals Intune of Microsoft 365, worden ze gemaakt in Azure AD. U ziet de Azure AD-huisstijl niet, maar dat is wel wat u gebruikt.

  • Het maken van nieuwe groepen is eenvoudig. Ze worden gemaakt in het Microsoft Endpoint Manager-beheercentrum. Zie Groepen toevoegen om gebruikers en apparaten te organiseren voor meer informatie.

  • Het kan lastiger zijn om bestaande distributielijsten (DL) te verplaatsen naar Azure AD. Zodra deze distributielijsten zich in Azure AD bevinden, kunnen deze groepen worden gebruikt door Intune en Microsoft 365. Zie voor meer informatie:

    • Wat is hybride identiteit met Azure Active Directory?
    • Azure AD Connect synchroniseren: Synchronisatie begrijpen en aanpassen

  • Als u bestaande Office 365-groepen hebt, kunt u overstappen naar Microsoft 365. Uw bestaande groepen blijven behouden en u beschikt over alle functies van Microsoft 365. Zie voor meer informatie:

    • Wat is Microsoft 365?
    • Migratie naar Microsoft 365 Enterprise
    • Upgraden naar Microsoft 365 Business

• Als u meerdere oplossingen voor apparaatbeheer hebt, schakelt u over naar één Mobile Device Management-oplossing. Het wordt aanbevolen Intune te gebruiken om organisatiegegevens te beschermen in apps en op apparaten.

Taak 5: Een implementatieplan ontwikkelen

De volgende taak is het plannen van hoe en wanneer uw gebruikers en apparaten uw beleid ontvangen. In deze taak moet u ook het volgende in overweging nemen:

• Definieer uw doelen en maatstaven voor succes. Gebruik deze gegevenspunten om andere implementatiefasen te maken. Zorg ervoor dat de doelen voldoen aan het SMART-principe (Specific, Measurable, Attainable, Realistic en Timely, oftewel specifiek, meetbaar, haalbaar, realistisch en tijdig). Bekijk in elke fase of de resultaten overeenkomen met de gestelde doelen, zodat het implementatieproject op schema blijft.
• Zorg dat u beschikt over duidelijk gedefinieerde doelen en doelstellingen. Neem deze doelstellingen mee in alle bewustwordings- en trainingsactiviteiten, zodat u zeker weet dat gebruikers begrijpen waarom uw organisatie voor Intune heeft gekozen.

Taak: Maak een plan om uw beleid te implementeren en kies hoe gebruikers hun apparaten inschrijven bij Intune. Enkele aandachtspunten:

• Implementeer uw beleid in fasen. Bijvoorbeeld:

  • Begin met een testfase- of testgroep. Deze groepen moeten weten dat ze de eerste gebruikers zijn en ze moeten bereid zijn om feedback te geven. Gebruik deze feedback om configuratie, documentatie en meldingen te verbeteren, om het zo gebruikers in een toekomstige implementatie eenvoudiger te maken. Deze gebruikers moeten geen leidinggevenden of VIP's zijn.

    Na de eerste testen, voegt u meer gebruikers toe aan de testfasegroep. Of maak meer testfasegroepen die zich richten op een andere implementatie, zoals:

    • Afdelingen: Elke afdeling kan een implementatiefase vormen. Een gehele afdeling is tegelijkertijd het doel van de implementatie. Bij deze implementatie maken de gebruikers van elke afdeling hoogstwaarschijnlijk op dezelfde manier gebruik van hun apparaat en hebben ze toegang tot dezelfde toepassingen. De gebruikers moeten waarschijnlijk voldoen aan hetzelfde soort beleid.

    • Geografie: Implementeer uw beleid naar alle gebruikers in een specifiek geografisch gebied, of dat nu hetzelfde continent, hetzelfde land of dezelfde regio, of hetzelfde gebouw is. Deze implementatie biedt u de mogelijkheid om u te richten op een specifieke gebruikerslocatie. U kunt een Windows Autopilot voor een vooraf ingerichte implementatieaanpak bieden, omdat het aantal locaties waarmee Intune op hetzelfde moment wordt geïmplementeerd, kleiner is. Er kunnen verschillende afdelingen of verschillende gebruiksscenario's op dezelfde locatie zijn. Daarom kunt u verschillende gebruiksscenario's tegelijk testen.

    • Platform: Met deze implementatie worden gelijksoortige platforms op hetzelfde moment geïmplementeerd. U kunt bijvoorbeeld in februari beleid implementeren voor alle iOS/iPadOS-apparaten, in maart voor alle Android-apparaten en in april voor alle Windows-apparaten. Deze aanpak vereenvoudigt de helpdeskondersteuning, aangezien deze slechts één platform tegelijk ondersteunen.

    Met een gefaseerde benadering kunt u feedback krijgen van een groot aantal verschillende typen gebruikers.

  • Na een succesvolle testfase kunt u een volledige productie-implementatie starten. Het volgende voorbeeld is een implementatieplan voor Intune met doelgroepen en tijdlijnen:

  Rollout-fase	Juli	Augustus	September	Oktober
  Beperkte pilot	IT (50 gebruikers)
  Uitgebreide pilot	IT (200 gebruikers) IT-managers (10 gebruikers)
  Productie-rollout fase 1		Verkoop en Marketing (2000 gebruikers)
  Productie-rollout fase 2			Retail (1000 gebruikers)
  Productie-rollout fase 3				HR (50 gebruikers), Financiën (40 gebruikers), Leidinggevenden (30 gebruikers)

  Deze sjabloon is ook beschikbaar om te downloaden van Het plannen, ontwerpen en toepassen van een Intune-implementatie - Tabelsjablonen.

• Kies hoe gebruikers hun apparaten voor persoonlijke en bedrijfseigendom moeten inschrijven. Er zijn verschillende inschrijvingsmethoden die u kunt gebruiken, zoals:

  • Selfservice door de gebruiker: Gebruikers schrijven hun eigen apparaten in op basis van de stappen van de IT-organisatie. Deze methode wordt het meest gebruikt en is beter schaalbaar dan inschrijving met ondersteuning van de gebruiker.
  • Inschrijving met ondersteuning van de gebruiker: Met deze vooraf ingerichte implementatieaanpak helpt een IT-lid gebruikers met het inschrijvingsproces, persoonlijk of met Teams. Deze methode wordt doorgaans gebruikt voor leidinggevenden en andere groepen die wellicht meer hulp nodig hebben.
  • IT-informatiedag: Tijdens dit evenement organiseert de IT-groep een Intune-ondersteuningsstand voor inschrijving. Gebruikers ontvangen informatie over inschrijving bij Intune, kunnen vragen stellen en krijgen hulp bij het inschrijven van hun apparaten. Deze optie is nuttig voor zowel de IT-afdeling als voor gebruikers, met name tijdens de eerste fasen van de Intune-implementatie.

  Het volgende voorbeeld bevat de inschrijvingsmethoden:

  Rollout-fase	Juli	Augustus	September	Oktober
  Beperkte pilot
  Selfservice	IT
  Uitgebreide pilot
  Selfservice	IT
  Vooraf ingericht	IT-managers
  Productie-rollout fase 1		Verkoop, Marketing
  Selfservice		Verkoop en Marketing
  Productie-rollout fase 2			Retail
  Selfservice			Retail
  Productie-rollout fase 3				Leidinggevenden, HR, Financiën
  Selfservice				HR, Financiën
  Vooraf ingericht				Leidinggevenden

Taak 6: Wijzigingen doorgeven

Wijzigingsbeheer valt of staat met duidelijke en nuttige communicatie over toekomstige wijzigingen. Het idee is om de Intune-implementatie soepel te laten verlopen en er zeker van te zijn dat gebruikers op de hoogte zijn van wijzigingen en eventuele onderbrekingen.

Taak: Uw implementatieplan moet belangrijke informatie bevatten over wanneer gebruikers moeten worden geïnformeerd en wanneer moet worden gecommuniceerd. Enkele aandachtspunten:

• Bepaal welke gegevens moeten worden gecommuniceerd. Communiceer in fasen met uw groepen en gebruikers, te beginnen met een introductie van de Intune-implementatie, vóór de inschrijving en vervolgens na de inschrijving:

  • Introductiefase: Algemene informatie om het Intune-project te introduceren. Er moeten belangrijke vragen worden beantwoord, zoals:

    • Wat is Intune?
    • Waarom de organisatie gebruikmaakt van Intune, inclusief voordelen voor de organisatie en gebruikers
    • Beschrijf het overkoepelende plan voor de implementatie.
    • Als persoonlijke apparaten niet zijn toegestaan tenzij de apparaten zijn ingeschreven, moet u uitleggen waarom u de beslissing hebt genomen.

  • Fase vóór de inschrijving: Brede communicatie met informatie over Intune en aanvullende services (zoals Office, Outlook en OneDrive), gebruikersresources en specifieke tijdlijnen wanneer gebruikers en groepen Intune krijgen.

  • Inschrijvingsfase: Communicatie die gericht is op gebruikers en groepen van de organisatie die gaan werken met Intune. Dit moet gebruikers informeren dat ze klaar zijn voor Intune, moet inschrijvingsstappen bevatten en er moet instaan met wie contact moet worden opgenomen voor hulp en bij vragen.

  • Fase na de inschrijving: Communicatie die gericht is op gebruikers en groepen van de organisatie die zich hebben ingeschreven bij Intune. Hierin moet informatie staan over aanvullende resources die mogelijk nuttig zijn voor de gebruikers. Tijdens en na inschrijving verzamelt u feedback over hun ervaringen.

  De Intune Adoption Kit kan handig zijn. U kunt deze zo gebruiken of wijzigen voor uw organisatie.

• Kies hoe u informatie over Intune-implementaties naar uw doelgroepen en gebruikers wilt communiceren. Bijvoorbeeld:

  • Organiseer een organisatiebrede vergadering of gebruik Microsoft Teams.

  • Stel een e-mail op voor vóór de inschrijving, een e-mail voor de inschrijving en e-mail voor na de inschrijving. Bijvoorbeeld:

    • E-mail 1: informeer over de voordelen, verwachtingen en planning. Maak van de gelegenheid gebruik om te wijzen op eventuele andere services waartoe gebruikers toegang zullen hebben op apparaten die met Intune worden beheerd.
    • E-mail 2: kondig aan dat services nu kunnen worden gebruikt via Intune. Deel de gebruikers mee dat zij hun apparaten nu moeten inschrijven. geef de gebruikers een tijdlijn voordat hun toegang wordt beïnvloed. Herinner gebruikers aan de voordelen en de strategische redenen voor de migratie.

  • Gebruik een website van de organisatie waarin de implementatiefasen worden uitgelegd, wat gebruikers kunnen verwachten en met wie ze contact moeten opnemen voor hulp.

  • Maak posters, gebruik de platformen voor sociale media van de organisatie (zoals Yammer) of distribueer folders om de fase vóór de inschrijving aan te kondigen.

• Maak een tijdlijn met wanneer en wie. De eerste Intune-introductiecommunicatie kan gericht zijn op de hele organisatie of alleen op een subset. De communicatie kan in de loop van meerdere weken plaatsvinden voordat de Intune-implementatie begint. Daarna kan informatie in fasen worden uitgewisseld met groepen en gebruikers, op basis van hun schema binnen de Intune-implementatie.

  In het volgende voorbeeld ziet u een overkoepelend communicatieplan voor een Intune-implementatie:

  Communicatieplanning	Juli	Augustus	September	Oktober
  Fase 1	Alle
  Introductiebijeenkomst	Eerste week
  Fase 2	IT	Verkoop en Marketing	Retail	HR, financiën en leidinggevenden
  E-mail 1 pre-rollout	Eerste week	Eerste week	Eerste week	Eerste week
  Fase 3	IT	Verkoop en Marketing	Retail	HR, financiën en leidinggevenden
  E-mail 2 pre-rollout	Tweede week	Tweede week	Tweede week	Tweede week
  Fase 4	IT	Verkoop en Marketing	Retail	HR, financiën en leidinggevenden
  E-mail voor registratie	Derde week	Derde week	Derde week	Derde week
  Fase 5	IT	Verkoop en Marketing	Retail	HR, financiën en leidinggevenden
  E-mail na registratie	Vierde week	Vierde week	Vierde week	Vierde week

Taak 7: Helpdesk en gebruikers ondersteunen

Neem de IT-ondersteuning en de helpdesk op in de vroege stadia van het plannen en testen van Intune-implementaties. Door uw ondersteuningsmedewerkers al vroeg bij Intune te betrekken, kunnen ze kennis en ervaring opdoen met het opsporen en oplossen van problemen. Ook worden ze voorbereid op ondersteuning van de volledige productie-implementatie van de organisatie. Deskundige helpdesk- en ondersteuningsteams kunnen gebruikers ook helpen bij het aanpassen aan deze wijzigingen.

Taak: neem ondersteuningstraining op in het project. Valideer de ervaring van eindgebruikers met maatstaven voor succes in uw implementatieplan. Enkele aandachtspunten:

• Bepaal wie eindgebruikers gaat ondersteunen. Organisaties kunnen verschillende lagen of niveaus (1-3) hebben. Zo kunnen laag 1 en 2 deel uitmaken van het ondersteuningsteam. Laag 3 bevat leden van het MDM-team dat verantwoordelijk is voor de implementatie van Intune.

  Laag 1 is doorgaans het eerste ondersteuningsniveau en de eerste laag waarmee contact kan worden opgenomen. Als het probleem door laag 1 niet kan worden opgelost, wordt het probleem geëscaleerd naar laag 2. Laag 2 escaleert het naar laag 3. Microsoft-ondersteuning kan worden beschouwd als laag 4.

  • Zorg ervoor dat in de eerste fase van de implementatie alle lagen in het ondersteuningsteam problemen documenteren en oplossen. Zoek naar patronen en pas uw communicatie aan voor de volgende fase van de implementatie. Bijvoorbeeld:
    • Als verschillende gebruikers of groepen huiverig zijn om hun persoonlijke apparaten in te schrijven, kunt u een Teams-gesprek overwegen om vragen te beantwoorden.
    • Als gebruikers dezelfde problemen ondervinden bij het inschrijven van apparaten die eigendom zijn van de organisatie, kunt u een persoonlijk evenement hosten om gebruikers te helpen bij het inschrijven van de apparaten.

• Maak een helpdeskwerkstroom en communiceer voortdurend ondersteuningsproblemen, trends en andere belangrijke informatie naar alle lagen in uw ondersteuningsteam. Houd bijvoorbeeld dagelijks of wekelijks Teams-vergaderingen, zodat alle lagen op de hoogte zijn van trends en patronen en ondersteuning kunnen krijgen.

  In het volgende voorbeeld ziet u hoe Contoso de IT-ondersteuning of helpdeskwerkstromen implementeert:

  1. Eindgebruikers nemen contact op met de IT-ondersteuning of helpdesk op laag 1 over een inschrijvingsprobleem.
  2. De IT-ondersteuning of helpdesk op laag 1 kan de hoofdoorzaak niet achterhalen en escaleert het probleem naar laag 2.
  3. IT-ondersteuning of helpdesk op laag 2 onderzoekt. Laag 2 kan het probleem niet oplossen en escaleert naar laag 3 en geeft daarbij aanvullende informatie over het probleem.
  4. De IT-ondersteuning of helpdesk op laag 3 onderzoekt het probleem, bepaalt de hoofdoorzaak en geeft de oplossing door aan laag 2 en laag 1.
  5. IT-ondersteuning/helpdesk-laag 1 neemt vervolgens contact op met de gebruikers en lost het probleem op.

  Deze methode biedt, met name in de eerste fasen van de Intune-implementatie, tal van voordelen, zoals:

  • Hulp bij het onder de knie krijgen van de technologie.
  • Snel identificeren van problemen en oplossingen.
  • Betere algehele gebruikerservaring.

• Training van uw helpdesk en ondersteuningsteams. Laat hen apparaten inschrijven met de verschillende platformen die in uw organisatie worden gebruikt (Android, iOS/iPadOS, macOS, Windows), zodat ze vertrouwd raken met het proces. Overweeg het gebruik van helpdesk- en ondersteuningsteams als een testfasegroep voor uw scenario's.

  Er zijn trainingsbronnen beschikbaar, waaronder YouTube-Video's, Microsoft-zelfstudies over inschrijving, naleving, configuratie en cursussen via trainingspartners.

  Het volgende voorbeeld is een trainingsagenda voor Intune-training:

  • Ondersteuningsplan voor Intune bespreken
  • Overzicht van Intune
  • Oplossen van algemene problemen
  • Hulpprogramma's en informatiebronnen
  • Vragenronde

De documentatie Eindgebruikers instructies geven, het Intune-forum en documentatie voor eindgebruikers zijn ook fantastische bronnen.

Volgende stappen

Maak uw apps en beleidsregels voor apparaten en schrijf uw apparaten in.

Raadpleeg de Intune Adoption Kit.