Apparaatbeveiliging beheren met eindpuntbeveiligingsbeleid in Microsoft Intune

Gebruik Intune eindpuntbeveiligingsbeleid om beveiligingsinstellingen op apparaten te beheren. Elk eindpuntbeveiligingsbeleid ondersteunt een of meer profielen. Deze profielen zijn qua concept vergelijkbaar met een sjabloon voor apparaatconfiguratiebeleid, een logische groep gerelateerde instellingen.

Als beveiligingsbeheerder die zich bezighoudt met apparaatbeveiliging, kunt u deze beveiligingsprofielen gebruiken om de overhead van apparaatconfiguratieprofielen of beveiligingsbasislijnen te voorkomen. Apparaatconfiguratieprofielen en -basislijnen bevatten een groot aantal verschillende instellingen buiten het bereik van het beveiligen van eindpunten. Elk eindpuntbeveiligingsprofiel is daarentegen gericht op een specifieke subset van apparaatinstellingen die bedoeld zijn om één aspect van apparaatbeveiliging te configureren.

Wanneer u eindpuntbeveiligingsbeleid naast andere beleidstypen gebruikt, zoals beveiligingsbasislijnen of eindpuntbeveiligingssjablonen van apparaatconfiguratiebeleid, is het belangrijk om een plan te ontwikkelen voor het gebruik van meerdere beleidstypen om het risico op conflicterende instellingen te minimaliseren. Beveiligingsbasislijnen, apparaatconfiguratiebeleid en eindpuntbeveiligingsbeleid worden allemaal behandeld als gelijke bronnen van apparaatconfiguratie-instellingen door Intune. Er treedt een instellingenconflict op wanneer een apparaat twee verschillende configuraties voor een instelling van meerdere bronnen ontvangt. Meerdere bronnen kunnen afzonderlijke beleidstypen en meerdere exemplaren van hetzelfde beleid bevatten.

Wanneer Intune beleid voor een apparaat evalueert en conflicterende configuraties voor een instelling identificeert, kan de betreffende instelling worden gemarkeerd voor een fout of conflict en kan deze niet worden toegepast. Elk type configuratiebeleid ondersteunt het identificeren en oplossen van conflicten als deze zich voordoen:

• Apparaatconfiguratieprofielen
• Eindpuntbeveiligingsprofielen
• Beveiligingsbasislijnen

U vindt eindpuntbeveiligingsbeleid onder Beheren in het knooppunt Eindpuntbeveiliging van het Microsoft Intune-beheercentrum.

Hieronder volgen korte beschrijvingen van elk type eindpuntbeveiligingsbeleid. Volg de koppelingen naar inhoud die is toegewezen aan elk beleidstype voor meer informatie, inclusief de beschikbare profielen:

• Accountbeveiliging : accountbeveiligingsbeleid helpt u bij het beveiligen van de identiteit en accounts van uw gebruikers. Het accountbeveiligingsbeleid is gericht op instellingen voor Windows Hello en Credential Guard, dat deel uitmaakt van Windows-identiteits- en toegangsbeheer.

• Antivirus : antivirusbeleid helpt beveiligingsbeheerders zich te concentreren op het beheren van de afzonderlijke groep antivirusinstellingen voor beheerde apparaten.

• App-beheer voor Bedrijven (preview): beheer goedgekeurde apps voor Windows-apparaten met App Control for Business-beleid en Beheerde installatieprogramma's voor Microsoft Intune. Intune App Control for Business-beleid is een implementatie van Windows Defender Application Control (WDAC).

• Kwetsbaarheid voor aanvallen verminderen: wanneer Defender-antivirus wordt gebruikt op uw Windows 10/11-apparaten, gebruikt u Intune eindpuntbeveiligingsbeleid voor kwetsbaarheid voor aanvallen verminderen om deze instellingen voor uw apparaten te beheren.

• Schijfversleuteling : eindpuntbeveiliging Schijfversleutelingsprofielen richten zich alleen op de instellingen die relevant zijn voor een ingebouwde versleutelingsmethode voor apparaten, zoals FileVault of BitLocker. Met deze focus kunnen beveiligingsbeheerders eenvoudig instellingen voor schijfversleuteling beheren zonder door een groot aantal niet-gerelateerde instellingen te hoeven navigeren.

• Eindpuntdetectie en -respons: wanneer u Microsoft Defender voor Eindpunt integreert met Intune, gebruikt u het eindpuntbeveiligingsbeleid voor eindpuntdetectie en -respons (EDR) om de EDR-instellingen te beheren en apparaten te onboarden voor Microsoft Defender voor Eindpunt.

• Firewall: gebruik het firewallbeleid voor eindpuntbeveiliging in Intune om een ingebouwde firewall voor apparaten met macOS en Windows 10/11 te configureren.

De volgende secties zijn van toepassing op alle eindpuntbeveiligingsbeleidsregels.

Een eindpuntbeveiligingsbeleid maken

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Selecteer Eindpuntbeveiliging , selecteer vervolgens het type beleid dat u wilt configureren en selecteer vervolgens Beleid maken. Kies uit de volgende beleidstypen:

   • Accountbeveiliging
   • Antivirus
   • Toepassingsbeheer (preview)
   • Kwetsbaarheid voor aanvallen verminderen
   • Schijfversleuteling
   • Detectie van en reactie op eindpunt
   • Firewall

3. Geef de volgende eigenschappen op:

   • Platform: kies het platform waarvoor u beleid maakt. De beschikbare opties zijn afhankelijk van het beleidstype dat je selecteert.
   • Profiel: kies uit de beschikbare profielen voor het platform dat u hebt geselecteerd. Zie de speciale sectie in dit artikel voor het gekozen beleidstype voor meer informatie over de profielen.

4. Selecteer Maken.

5. Voer op de pagina Basisinformatie een naam en een beschrijving in voor het profiel en selecteer dan Volgende.

6. Vouw op de pagina Configuratie-instellingen elke groep instellingen uit en configureer de instellingen die u met dit profiel wilt beheren.

   Wanneer u klaar bent met het configureren van instellingen, selecteert u Volgende.

7. Kies op de pagina Bereiktags de optie Bereiktags selecteren om het deelvenster Tags selecteren te openen om bereiktags toe te wijzen aan het profiel.

   Selecteer Volgende om door te gaan.

8. Selecteer op de pagina Toewijzingen de groepen die dit profiel zullen ontvangen. Zie Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.

   Selecteer Volgende.

9. Kies op de pagina Controleren en maken de optie Maken zodra u klaar bent. Het nieuwe profiel wordt weergegeven in de lijst wanneer u het beleidstype selecteert voor het profiel dat u hebt gemaakt.

Een beleid dupliceren

Eindpuntbeveiligingsbeleid ondersteunt duplicatie om een kopie van het oorspronkelijke beleid te maken. Een scenario waarin het dupliceren van een beleid nuttig is, is als u vergelijkbare beleidsregels wilt toewijzen aan verschillende groepen, maar het hele beleid niet handmatig opnieuw wilt maken. In plaats daarvan kunt u het oorspronkelijke beleid dupliceren en vervolgens alleen de wijzigingen introduceren die voor het nieuwe beleid zijn vereist. U kunt alleen een specifieke instelling wijzigen en de groep waaraan het beleid is toegewezen.

Wanneer u een duplicaat maakt, geeft u de kopie een nieuwe naam. De kopie wordt gemaakt met dezelfde instellingsconfiguraties en bereiktags als het origineel, maar heeft geen toewijzingen. U moet het nieuwe beleid later bewerken om toewijzingen te maken.

De volgende beleidstypen ondersteunen duplicatie:

• Accountbeveiliging
• Toepassingsbeheer (preview)
• Antivirus
• Kwetsbaarheid voor aanvallen verminderen
• Schijfversleuteling
• Detectie van en reactie op eindpunt
• Firewall

Nadat u het nieuwe beleid hebt gemaakt, controleert en bewerkt u het beleid om wijzigingen aan te brengen in de configuratie.

Een beleid dupliceren

1. Meld u aan bij het Microsoft Intune-beheercentrum.
2. Selecteer het beleid dat je wilt bewerken. Selecteer vervolgens Dupliceren of selecteer het beletselteken (...) rechts van het beleid en selecteer Dupliceren.
3. Geef een nieuwe naam op voor het beleid en selecteer opslaan.

Een beleid bewerken

1. Selecteer het nieuwe beleid en selecteer vervolgens Eigenschappen.
2. Selecteer Instellingen om een lijst met configuratie-instellingen in het beleid uit te vouwen. Je kunt de instellingen niet wijzigen vanuit deze weergave, maar je kunt wel controleren hoe ze zijn geconfigureerd.
3. Als je het beleid wilt wijzigen, selecteer je Bewerken voor elke categorie waarvoor je een wijziging wilt aanbrengen:
   • Basisprincipes
   • Toewijzingen
   • Bereiktags
   • Configuratie-instellingen
4. Nadat je wijzigingen hebt aangebracht, selecteer je Opslaan om de wijzigingen op te slaan. Bewerkingen in één categorie moeten worden opgeslagen voordat u wijzigingen in extra categorieën kunt introduceren.

Conflicten beheren

Veel van de apparaatinstellingen die u kunt beheren met eindpuntbeveiligingsbeleid (beveiligingsbeleid) zijn ook beschikbaar via andere beleidstypen in Intune. Deze andere beleidstypen omvatten apparaatconfiguratiebeleid en beveiligingsbasislijnen. Omdat instellingen kunnen worden beheerd via verschillende beleidstypen of door meerdere exemplaren van hetzelfde beleidstype, moet je voorbereid zijn om beleidsconflicten te identificeren en op te lossen voor apparaten die niet voldoen aan de configuraties die je verwacht.

• Met beveiligingsbasislijnen kan een niet-standaardwaarde voor een instelling worden ingesteld om te voldoen aan de aanbevolen configuratie waarop de basislijn zich richt.
• Andere beleidstypen, waaronder het eindpuntbeveiligingsbeleid, stellen standaard de waarde Niet geconfigureerd in. Voor deze andere beleidstypen moet je expliciet instellingen in het beleid configureren.

Ongeacht de beleidsmethode kan het beheren van dezelfde instelling op hetzelfde apparaat via meerdere beleidstypen of via meerdere exemplaren van hetzelfde beleidstype leiden tot conflicten die moeten worden vermeden.

De informatie via de volgende koppelingen kan u helpen bij het identificeren en oplossen van conflicten:

• Problemen met beleidsregels en profielen in Intune oplossen
• Uw beveiligingsbasislijnen bewaken

Volgende stappen

Eindpuntbeveiliging beheren in Intune