Overzicht: een catalogusbeleid voor Intune instellingen maken en vergelijken met on-premises ADMX

Opmerking

Deze procedure is gemaakt als een technische workshop en bijgewerkt om van toepassing te zijn op de catalogus met Intune instellingen. Het heeft meer vereisten dan typische scenario's, omdat het wordt vergeleken met het gebruik en configureren van catalogusbeleid voor instellingen in Intune en on-premises groepsbeleid Beheersjablonen (ADMX).

Groepsbeleid en ADMX-sjablonen bevatten instellingen die u kunt configureren op Windows-apparaten. Deze instellingen worden gebruikt en beheerd door MDM-providers (Mobile Apparaatbeheer), zoals Microsoft Intune, om functies en instellingen op Windows-apparaten te configureren. U kunt bijvoorbeeld Ontwerpideeën inSchakelen in PowerPoint, een startpagina instellen in Microsoft Edge en meer.

Deze instellingen zijn ingebouwd in de catalogus met Microsoft Intune instellingen. In een catalogusprofiel voor instellingen configureert u de instellingen die u wilt opnemen en wijst u dit profiel vervolgens toe aan uw apparaten.

In dit scenario doet u het volgende:

  • Maak kennis met het Microsoft Intune-beheercentrum.
  • Gebruikersgroepen maken en apparaatgroepen maken.
  • Vergelijk de instellingen in Intune met on-premises ADMX-instellingen.
  • Maak catalogusbeleid voor verschillende instellingen en configureer de instellingen die zijn gericht op de verschillende groepen.

Aan het einde van dit lab kunt u Intune gebruiken om uw gebruikers te beheren en catalogusbeleid voor instellingen te implementeren.

Deze functie is van toepassing op:

  • Windows
  • Microsoft Edge versie 77 en hoger

Tip

Vereisten

  • Een Microsoft 365 E3- of E5-abonnement, inclusief Intune en Microsoft Entra ID P1 of P2. Als u geen E3- of E5-abonnement hebt, kunt u het gratis proberen.

    Ga naar Uw onderneming transformeren met Microsoft 365 voor meer informatie over wat u krijgt met de verschillende Microsoft 365-licenties.

  • Microsoft Intune is geconfigureerd als de Intune MDM-instantie. Ga voor meer informatie naar De instantie voor het beheer van mobiele apparaten instellen.

    Schermopname die laat zien hoe u de MDM-instantie instelt op Microsoft Intune in uw tenantstatus.

  • Op een on-premises Active Directory domeincontroller (DC):

    1. Kopieer de volgende Office- en Microsoft Edge-sjablonen naar de centrale opslag (map sysvol):

    2. Maak een groepsbeleid om deze sjablonen te pushen naar een Windows Enterprise-beheerderscomputer in hetzelfde domein als de domeincontroller. In deze walkthrough:

      • Het groepsbeleid dat we met deze sjablonen hebben gemaakt, heet OfficeandEdge. U ziet deze naam in de afbeeldingen.
      • De Windows Enterprise-beheerderscomputer die we gebruiken, heet de Beheer computer.

      In de meeste organisaties heeft een domeinbeheerder twee accounts:

      • Een typisch werkaccount van een domein
      • Een ander domeinbeheerdersaccount dat alleen wordt gebruikt voor domeinbeheerderstaken, zoals groepsbeleid

      Het doel van deze Beheer computer is dat beheerders zich kunnen aanmelden met hun domeinbeheerdersaccount en toegang kunnen krijgen tot hulpprogramma's die zijn ontworpen voor het beheren van groepsbeleid.

  • Op deze Beheer computer:

    • Meld u aan met een domeinbeheerdersaccount.

    • Voeg de RSAT: groepsbeleid Management Tools toe:

      1. Open de app> Instellingen Systeem>Een optionele functie>Toevoegen Functies weergeven.

      2. Selecteer RSAT: groepsbeleid Management Tools>Toevoegen.

        Wacht tot windows de functie toevoegt. Wanneer dit is voltooid, wordt deze uiteindelijk weergegeven in de app Windows-systeembeheer .

        Schermopname van de windows-beheerprogramma's-apps, inclusief de app groepsbeleid Management.

    • Zorg ervoor dat u toegang tot internet en beheerdersrechten hebt voor het Microsoft 365-abonnement, waaronder het Intune-beheercentrum.

Het Intune-beheercentrum openen

  1. Open een webbrowser op basis van Chromium, zoals Microsoft Edge.

  2. Ga naar het Microsoft Intune-beheercentrum. Meld u aan met het volgende account:

    Gebruiker: voer het beheerdersaccount van uw Microsoft 365-tenantabonnement in. Wachtwoord: voer het wachtwoord in.

Het Intune-beheercentrum is gericht op apparaatbeheer en bevat Azure services, zoals Microsoft Entra ID. Mogelijk ziet u de Microsoft Entra ID en Azure huisstijl niet, maar gebruikt u ze wel.

U kunt het Intune-beheercentrum ook openen vanuit de Microsoft 365-beheercentrum:

  1. Ga naar https://admin.microsoft.com.

  2. Meld u aan met het beheerdersaccount van uw Microsoft 365-tenantabonnement.

  3. Selecteer Alle>Beheer centra>weergeven Microsoft Intune. Het Intune-beheercentrum wordt geopend.

    Schermopname van de beheercentra in de Microsoft 365-beheercentrum.

Groepen maken en gebruikers toevoegen

On-premises beleidsregels worden toegepast in de LSDOU-volgorde - lokaal, site, domein en organisatie-eenheid (OE). In deze hiërarchie overschrijft OE-beleid lokaal beleid, domeinbeleid overschrijft sitebeleid, enzovoort.

In Intune wordt beleid toegepast op gebruikers en groepen die u maakt. Er is geen hiërarchie. Bijvoorbeeld:

  • Als twee beleidsregels dezelfde instelling bijwerken, wordt de instelling weergegeven als een conflict.
  • Als twee nalevingsbeleidsregels met elkaar in conflict zijn, is het meest beperkende beleid van toepassing.
  • Als twee configuratieprofielen een conflict veroorzaken, wordt de instelling niet toegepast.

Ga voor meer informatie naar Veelgestelde vragen, problemen en oplossingen met apparaatbeleid en -profielen.

In deze volgende stappen maakt u beveiligingsgroepen en voegt u gebruikers toe aan deze groepen. U kunt een gebruiker toevoegen aan meerdere groepen. Het is bijvoorbeeld normaal dat een gebruiker meerdere apparaten heeft, zoals een Surface Pro voor werk en een mobiel Android-apparaat voor persoonlijk gebruik. En het is normaal dat een persoon toegang heeft tot organisatieresources vanaf deze meerdere apparaten.

  1. Selecteer nieuwegroepin> het Intune-beheercentrum.

  2. Voer de volgende instellingen in:

    • Groepstype: selecteer Beveiliging.
    • Groepsnaam: Voer Alle Windows-studentenapparaten in.
    • Lidmaatschapstype: Selecteer Toegewezen.

  3. Selecteer Leden en voeg enkele apparaten toe.

    Het toevoegen van apparaten is optioneel. Het doel is om te oefenen met het maken van groepen en te weten hoe u apparaten toevoegt. Als u dit scenario in een productieomgeving gebruikt, moet u rekening houden met wat u doet.

  4. Selecteer>Maken om uw wijzigingen op te slaan.

    Ziet u uw groep niet? Selecteer Vernieuwen.

  5. Selecteer Nieuwe groep en voer de volgende instellingen in:

    • Groepstype: selecteer Beveiliging.

    • Groepsnaam: Voer Alle Windows-apparaten in.

    • Lidmaatschapstype: Selecteer Dynamisch apparaat.

    • Leden van dynamische apparaten: selecteer Dynamische query toevoegen en configureer uw query:

      • Eigenschap: selecteer deviceOSType.
      • Operator: Selecteer Gelijk aan.
      • Waarde: Voer Windows in.

      1. Selecteer Expressie toevoegen. Uw expressie wordt weergegeven in de regelsyntaxis:

        Schermopname van het maken van een dynamische groepsquery en het toevoegen van expressies in Microsoft Intune.

        Wanneer gebruikers of apparaten voldoen aan de criteria die u invoert, worden ze automatisch toegevoegd aan de dynamische groepen. In dit voorbeeld worden apparaten automatisch toegevoegd aan deze groep wanneer het besturingssysteem Windows is. Als u dit scenario in een productieomgeving gebruikt, moet u voorzichtig zijn. Het doel is om te oefenen met het maken van dynamische groepen.

      2. Opslaan>Maken om uw wijzigingen op te slaan.

  6. Maak de groep Alle docenten met de volgende instellingen:

    • Groepstype: selecteer Beveiliging.

    • Groepsnaam: Voer Alle docenten in.

    • Lidmaatschapstype: selecteer Dynamische gebruiker.

    • Leden van dynamische gebruikers: selecteer Dynamische query toevoegen en configureer uw query:

      • Eigenschap: Selecteer afdeling.

      • Operator: Selecteer Gelijk aan.

      • Waarde: Voer Docenten in.

        1. Selecteer Expressie toevoegen. Uw expressie wordt weergegeven in de regelsyntaxis.

          Wanneer gebruikers of apparaten voldoen aan de criteria die u invoert, worden ze automatisch toegevoegd aan de dynamische groepen. In dit voorbeeld worden gebruikers automatisch toegevoegd aan deze groep wanneer hun afdeling Docenten is. U kunt de afdeling en andere eigenschappen invoeren wanneer gebruikers worden toegevoegd aan uw organisatie. Als u dit scenario in een productieomgeving gebruikt, moet u voorzichtig zijn. Het doel is om te oefenen met het maken van dynamische groepen.

        2. Opslaan>Maken om uw wijzigingen op te slaan.

Gesprekspunten

De gemaakte gebruikers en groepen worden ook weergegeven in de Microsoft 365-beheercentrum en Microsoft Entra-beheercentrum. U kunt groepen maken en beheren in al deze gebieden voor uw tenantabonnement. Als uw doel apparaatbeheer is, gebruikt u het Microsoft Intune-beheercentrum.

Groepslidmaatschap controleren

  1. Selecteer in het Intune-beheercentrumGebruikers>Alle gebruikers> selecteren de naam van een bestaande gebruiker.
  2. Bekijk enkele informatie die u kunt toevoegen of wijzigen. Bekijk bijvoorbeeld de eigenschappen die u kunt configureren, zoals functie, afdeling, stad, kantoorlocatie en meer. U kunt deze eigenschappen gebruiken in uw dynamische query's wanneer u dynamische groepen maakt.
  3. Selecteer Groepen om het lidmaatschap van deze gebruiker te bekijken. U kunt de gebruiker ook uit een groep verwijderen.
  4. Selecteer enkele van de andere opties voor meer informatie en wat u kunt doen. Kijk bijvoorbeeld naar de toegewezen licentie, de apparaten van de gebruiker en meer.

Wat heb ik net gedaan?

In het Intune-beheercentrum hebt u nieuwe beveiligingsgroepen gemaakt en bestaande gebruikers en apparaten aan deze groepen toegevoegd. We gebruiken deze groepen in latere stappen in deze zelfstudie.

Een catalogusbeleid voor instellingen maken in Intune

In deze sectie maken we een catalogusbeleid voor instellingen in Intune, bekijken we enkele instellingen in on-premises groepsbeleid Management en vergelijken we dezelfde instelling in Intune. Het doel is om een instelling in groepsbeleid weer te geven en dezelfde instelling weer te geven in Intune.

  1. Selecteer in het Intune-beheercentrumapparaten>Apparaten beheren>Configuratie>Nieuw beleidmaken>.

  2. Geef de volgende eigenschappen op:

    • Platform: selecteer Windows 10 en hoger.
    • Profieltype: selecteer Instellingencatalogus.

  3. Selecteer Maken.

  4. Voer in Basisinformatie de volgende eigenschappen in:

    • Naam: een unieke beschrijvende naam voor het beleid. Geef uw profielen een naam zodat u ze later gemakkelijk kunt identificeren. Voer bijvoorbeeld Windows-studentenapparaten in.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

  5. Selecteer Volgende.

  6. Selecteer in Configuratie-instellingende optie Instellingen toevoegen. U ziet een lijst met alle instellingen.

    Schermopname van de instellingenkiezer voor catalogusinstellingen in Microsoft Intune.

    U kunt ook instellingen filteren die van toepassing zijn op apparaten en instellingen die van toepassing zijn op gebruikers, en Zoeken naar instellingen:

    Schermopname die laat zien hoe u kunt filteren en zoeken in de instellingencatalogusinstellingenkiezer in Microsoft Intune.

  7. Voer downloaden in de zoekfunctie in. Alle beleidsinstellingen met 'download' in hun naam worden gefilterd en weergegeven in de lijst:

    Schermopname van het zoeken naar beleidsregels met een trefwoord in de instellingencatalogus in een Microsoft Intune.

  8. Ga naar de Categorie >Microsoft Edge en selecteer SmartScreen-instellingen. U ziet dat de SmartScreen-beleidsinstellingen met 'download' in hun naam worden gefilterd en weergegeven:

    Schermopname die laat zien hoe u de beleidsinstellingen voor Microsoft Edge Smart Screen kunt zien in de instellingencatalogus in Microsoft Intune.

Een beleid vergelijken in groepsbeleid Management en Intune

In deze sectie wordt een beleid weergegeven in Intune en het bijbehorende beleid in groepsbeleid Beheereditor.

  1. Open de app groepsbeleid Management op de Beheer computer.

    Deze app wordt geïnstalleerd met RSAT: groepsbeleid Management Tools. Dit is een optionele functie die u aan Windows toevoegt. Vereisten (in dit artikel) bevat de stappen voor het installeren ervan.

  2. Vouw Domeinen> selecteer uw domein uit. Selecteer contoso.netbijvoorbeeld .

  3. Klik met de rechtermuisknop op het OfficeenEdge-beleid>bewerken. De app groepsbeleid Management Editor wordt geopend.

    Schermopname die laat zien hoe u met de rechtermuisknop op het on-premises ADMX-groepsbeleid van Office en Microsoft Edge klikt en bewerken selecteert.

    OfficeandEdge is een groepsbeleid dat de ADMX-sjablonen van Office en Microsoft Edge bevat. Dit beleid wordt beschreven in vereisten (in dit artikel).

  4. Vouw Computerconfiguratiebeleid>Beheersjablonen>>Configuratiescherm>Persoonlijke instellingen uit. Let op de beschikbare instellingen.

    Schermopname die laat zien hoe u Computerconfiguratie in on-premises groepsbeleid Beheereditor uitvouwt en naar Persoonlijke instellingen gaat.

    Dubbelklik op Voorkomen dat camera voor het vergrendelingsscherm wordt ingeschakeld en bekijk de beschikbare opties:

    Schermopname die laat zien hoe u de configuratie-instellingen voor de on-premises computer in groepsbeleid kunt bekijken.

  5. Ga in het Intune-beheercentrum naar het catalogusbeleid voor instellingen voor Windows-studentenapparaten.

  6. Selecteer Configuratie-instellingen>Instellingen toevoegen bewerken>. Zoek naar Persoonlijke instellingen en selecteer de Administrative templates\Configuratiescherm\Personalization categorie. Let op de beschikbare instellingen:

    Schermopname van het pad naar de instelling van het ADMX-personalisatiebeleid in de catalogus met Microsoft Intune instellingen.

    Dit pad en de beschikbare instellingen zijn vergelijkbaar met wat u ziet in groepsbeleid Beheereditor. Als u de instelling Camera voor het vergrendelingsscherm niet inschakelen selecteert, ziet u vergelijkbare opties die beschikbaar zijn in groepsbeleid Beheereditor.

    Schermopname van het pad voor het inschakelen van camera-instellingen voor het vergrendelingsscherm voorkomen in de catalogus met Microsoft Intune-instellingen.

Een gebruikersbeleid vergelijken in groepsbeleid Management en Intune

  1. Selecteer in het catalogusbeleid voor instellingen voor Windows-studentenapparatende optie Configuratie-instellingen>Bewerken>Instellingen toevoegen. inprivate browsingZoek naar . Let op de instellingenopties. De (User) instelling is van toepassing op gebruikersconfiguraties. De andere instelling is van toepassing op apparaatconfiguraties.

    Schermopname van een gebruikersinstelling en een apparaatinstelling in de catalogus met Microsoft Intune instellingen.

  2. Zoek in groepsbeleid Beheereditor de overeenkomende gebruikers- en apparaatinstellingen:

    • Apparaat: Vouw Computerconfiguratiebeleid>Beheersjablonen>>Windows-onderdelen>Internet Explorer>Privacy>Schakel InPrivate-browsen uit.
    • Gebruiker: Vouw Gebruikersconfiguratiebeleid>Beheersjablonen>>Windows-onderdelen>Internet Explorer>Privacy>Schakel InPrivate-browsing uit.

    Schermopname van het uitschakelen van InPrivate-browsing in Internet Explorer met behulp van een on-premises ADMX-sjabloon.

Tip

Als u het ingebouwde Windows-beleid wilt zien, kunt u ook GPEdit (app groepsbeleid bewerken) gebruiken.

Wat heb ik net gedaan?

U hebt een catalogusbeleid voor instellingen gemaakt in Intune. In dit beleid hebben we enkele instellingen bekeken en dezelfde ADMX-instellingen in on-premises groepsbeleid Management bekeken.

Een catalogusbeleid voor OneDrive-instellingen maken

In deze sectie maakt u een catalogusbeleid voor OneDrive-instellingen in Intune om bepaalde instellingen te beheren. Deze specifieke instellingen worden gekozen omdat ze vaak worden gebruikt door organisaties.

  1. Maak een ander Intune-beleid (Apparaten>Apparaten apparaten> beherenConfiguratie>Nieuw beleid maken>).

  2. Geef de volgende eigenschappen op:

    • Platform: selecteer Windows 10 en hoger.
    • Profieltype: selecteer Instellingencatalogus.

  3. Selecteer Maken.

  4. Voer in Basisinformatie de volgende eigenschappen in:

    • Naam: Voer OneDrive-beleid in voor alle Windows-gebruikers.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

  5. Selecteer Volgende.

  6. Selecteer in Configuratie-instellingende optie Instellingen toevoegen. Zoek of ga naar OneDrive in de lijst met categorieën. Selecteer de volgende instellingen en sluit de instellingenkiezer:

    • Voorkomen dat gebruikers persoonlijke OneDrive-accounts synchroniseren (gebruiker)
    • Gebruikers op de achtergrond aanmelden bij de OneDrive-synchronisatie-app met hun Windows-referenties
    • OneDrive Files on-demand gebruiken

  7. Configureer deze instellingen:

    Instelling Waarde
    Voorkomen dat gebruikers persoonlijke OneDrive-accounts synchroniseren (gebruiker) Ingeschakeld
    Gebruikers op de achtergrond aanmelden bij de OneDrive-synchronisatie-app met hun Windows-referenties Ingeschakeld
    OneDrive Files on-demand gebruiken Ingeschakeld

Uw instellingen zien er ongeveer uit als de volgende instellingen:

Schermopname die laat zien hoe u een catalogusbeleid voor OneDrive-instellingen maakt in Microsoft Intune.

Ga voor meer informatie over OneDrive-clientinstellingen naar Groepsbeleid gebruiken om OneDrive-synchronisatie clientinstellingen te beheren.

Uw beleid toewijzen

  1. Selecteer volgende in uw beleid totdat u bij Toewijzingen bent. Kies Groepen toevoegen:

  2. Er wordt een lijst met bestaande gebruikers en groepen weergegeven. Selecteer de groep Alle Windows-apparaten die u eerder > hebt gemaakt Selecteren.

    Als u dit scenario gebruikt in een productieomgeving, kunt u groepen toevoegen die leeg zijn. Het doel is om te oefenen met het toewijzen van uw beleid.

  3. Selecteer Volgende. Selecteer in Controleren en makende optie Maken om uw wijzigingen op te slaan.

In deze sectie hebt u een aantal catalogusbeleidsregels voor instellingen gemaakt en deze toegewezen aan groepen die u hebt gemaakt.

Aanbevolen procedures voor beleid

Wanneer u beleidsregels en profielen maakt in Intune, zijn er enkele aanbevelingen en best practices die u moet overwegen. Ga naar aanbevolen procedures voor beleid en profiel voor meer informatie.

Bronnen opschonen

Wanneer u het volgende niet meer nodig hebt, kunt u het volgende doen:

  • Verwijder de groepen die u hebt gemaakt:

    • Alle Windows-studentenapparaten
    • Alle Windows-apparaten
    • Alle docenten

  • Verwijder het catalogusbeleid voor instellingen dat u hebt gemaakt:

    • Windows-studentenapparaten
    • OneDrive-beleid dat van toepassing is op alle Windows-gebruikers

Samenvatting

In deze zelfstudie bent u meer vertrouwd geraakt met het Microsoft Intune-beheercentrum, hebt u de opbouwfunctie voor query's gebruikt om dynamische groepen te maken en hebt u catalogusbeleid voor instellingen gemaakt in Intune om verschillende instellingen te configureren. U hebt ook het gebruik van ADMX-sjablonen on-premises en in de cloud vergeleken met Intune.

  • Last updated on