{"id":472,"date":"2021-01-10T00:00:00","date_gmt":"2021-01-10T00:00:00","guid":{"rendered":"https:\/\/www.anderson.nl\/?p=472"},"modified":"2021-01-10T00:00:00","modified_gmt":"2021-01-10T00:00:00","slug":"inrichten-endpoint-manager-azure","status":"publish","type":"post","link":"https:\/\/anderson.nl\/?p=472","title":{"rendered":"Inrichten Endpoint Manager \/ Azure"},"content":{"rendered":"\n

In deze instructie laat ik zien hoe je op een eenvoudige manier een goed beveiligde Microsoft 365 omgeving kan inrichten. Voor het gebruik van deze instructie is het handig om een Windows 10 Pro \/ Enterprise<\/strong> Virtual Machine met ingeschakelde TPM beschikbaar te hebben.<\/p>\n\n\n\n

Voor deze instructie heb ik gebruik gemaakt van een demo tenant die door Microsoft beschikbaar wordt gesteld, je kan deze aanmaken op https:\/\/demos.microsoft.com.
De gebruikers in de demo omgeving waren voorzien van een Microsoft 365 Business Premium licenties.<\/p>\n\n\n\n

Het blijkt dat Microsoft regelmatig links aanpast in de het portal, het kan dus zijn dat de hieronder beschreven locaties iets gewijzigd zijn.<\/p>\n\n\n\n

Aanmaken DNS records<\/strong>
Voor het uitvoeren van de onderstaande instructie zijn de onderstaande records nodig, zorg ervoor dat deze aanwezig zijn voor je start.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Inschakelen Modern Authentication<\/strong>
Als je op de juiste manier gebruik wilt maken van MFA zal Modern Authentication op Enable moeten staan. In de oudere Tenants wil het nog wel een gebeuren dat deze op Disable staat. In de loop van 2021 wordt dit standaard voor elke Tenant aangezet.<\/p>\n\n\n\n

Start de Microsoft 365 PowerShell en meld je aan met het admin account.

Schakel Modern Authentication aan:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true<\/strong>

Controleer of het aan staat:
Get-OrganizationConfig | Format-Table Name,OAuth* -Auto<\/strong><\/p>\n\n\n\n

Groepen aanmaken<\/strong>
Meld je aan met het Global Administrator account in de Azure<\/a> Portal<\/a>.<\/p>\n\n\n\n

Ga in het (linker) menu naar Azure Active Directory<\/strong>, Groups<\/strong>, New group<\/strong> de naam van de Security Group<\/strong> is EMSUsers<\/strong>. Selecteer de gebruikers die de EMS licentie krijgen, kies Create<\/strong> om de groep aan te maken. Maak op de zelfde wijze een groep aan met de naam EMSnoTPM<\/strong>.<\/p>\n\n\n\n

Je kan de Licenties toekennen aan de EMS groep zodat gebruikers deze direct krijgen als ze lid worden van deze groep. Ga naar Azure Active Directory<\/strong>, Licenses<\/strong>, All products<\/strong> selecteer hier Microsoft 365 Business Premium<\/strong> en klik op Assign<\/strong> bij Users and groups<\/strong> selecteer de EMSUsers<\/strong> en EMSnoTPM <\/strong>groep en kies Select<\/strong>, Assign<\/strong>.
<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Instellen MDM<\/strong>
Ga naar Azure Active Directory<\/strong>, Mobility (MDM en MAM)<\/strong>, Microsoft Intune<\/strong>, kies Some<\/strong> en selecteer de Group EMSUsers <\/strong>en EMSnoTPM<\/strong>, klik op Save<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Aanmaken MDM Apple Push Certificate<\/strong>
Ga naar https:\/\/appleid.apple.com\/account#!&page=create<\/a> en maak een Apple ID aan. Ga naar Microsoft Endpoint Manager<\/strong>, Devices, Enroll device<\/strong>, Apple Enrollment<\/strong>, Apple MDM Push Certificate<\/strong><\/p>\n\n\n\n

  1. Zet een vinkje.<\/li>
  2. Download de CSR, je hebt deze nodig in stap 3.<\/li>
  3. Maak het certificaat via de Apple website, klik op Create your MDM push Certificate<\/strong>, bij de laatste stap download je het Certificaat.<\/li>
  4. Vul het e-mailadres in van het Apple ID waarmee het certificaat is aangemaakt.<\/li>
  5. Kies het certificaat en kies Upload<\/strong>.<\/li>
  6. Let op dat dit Certificaat maar 1 jaar geldig is!<\/li><\/ol>\n\n\n\n
    \"\"<\/figure>\n\n\n\n

    Apparaat instellen<\/strong>
    Hier gaan we aangeven wie er een apparaat mag aanmelden in de AzureAD. Ga naar Azure Active Directory<\/strong>, Devices<\/strong>, Device settings<\/strong>, gebruik de onderstaande instellingen. Selecteer de groepen EMSUSERS<\/strong> en EMSnoTPM<\/strong> bij de gebruikers die de computer mogen aanmelden in de AzureAD. Let op de gebruiker die de computer aanmeld is standaard local admin op de computer.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Instellingen<\/strong>
    Gebruikers zullen het ook fijn vinden als hun instellingen worden meegenomen. Ga naar Azure Active Directory<\/strong>, Devices<\/strong>, Enterprise State Roaming<\/strong> en stel de pagina in zoals hieronder. Selecteer ook hier de groepen EMSUSERS<\/strong> en EMSnoTPM<\/strong>, klik op Save<\/strong>.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Apparaten opruimen<\/strong>
    Als er computers langer dan 3 maanden niet zijn aangemeld willen we die graag opruimen. In bijna alle gevallen zal het betekenen dat deze apparaten niet meer in gebruik zijn. Ga hiervoor naar Microsoft Endpoint Manager<\/strong>, Devices<\/strong>, Device cleanup rules<\/strong> en stel het scherm is zoals hieronder en klik op Save<\/strong>.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Apparaat Eisen<\/strong>
    Ga naar Microsoft Endpoint Manager<\/strong>, Devices<\/strong>, onder het kopje Policy<\/strong> kies je Compliance policies<\/strong>, Compliance policy settings<\/strong> en stel het scherm is zoals hieronder en klik op Save<\/strong>.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Waarschuwings mail instellen<\/strong>
    We gaan hieronder het beleid instellen, als een apparaat daar niet aan voldoet krijgt deze een mail. Deze stellen we nu in. Ga naar Microsoft Endpoint Manager<\/strong>, Devices<\/strong>, Compliance policies<\/strong>, Notifications<\/strong>, Create notification<\/strong> en vul het scherm in zoals hieronder en klik op Create<\/strong>.<\/p>\n\n\n\n

    Name<\/strong>:
    Non Compliance Warning<\/p>\n\n\n\n

    Subject<\/strong>:
    Waarschuwing – Device niet compliant<\/p>\n\n\n\n

    Message<\/strong>:
    Let op, je device is momenteel niet compliant met de minimale beveiligingseisen zoals gesteld door bedrijfsnaam<\/em><\/strong>. Neem contact op met de beheerder om het apparaat weer compliant te krijgen.<\/p>\n\n\n\n

    De verbindingen tussen het apparaat en bedrijfsnaam<\/em><\/strong> worden stopgezet.
    <\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Windows 10 Beleid<\/strong>
    Ga in Microsoft Endpoint Manager<\/strong> naar Devices<\/strong>, Compliance policies<\/strong> en klik op Create Policy<\/strong>, selecteer het platform Windows 10 and later<\/strong>, Create <\/strong>noem het beleid Windows 10 Basis<\/strong>, Next<\/strong> en vul het scherm is zoals hieronder. We passen voor nu alleen de Device Health<\/strong> en System Security<\/strong> aan.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Klik nu op Next<\/strong> en vul bij het scherm Actions for noncompliance<\/strong> dit in zoals hieronder, Next<\/strong> voeg de groep EMSUsers<\/strong> toe bij Select groups to include<\/strong>, Next<\/strong>, Create<\/strong>.
    <\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Voor de systemen zonder TPM 2.x maken we een aparte Policy. Ga in Microsoft Endpoint Manager<\/strong> naar Devices<\/strong>, Compliance policies<\/strong> en klik op Create Policy<\/strong>, selecteer het platform Windows 10 and later<\/strong>, Create <\/strong>noem het beleid Windows 10 Basis geen TPM<\/strong>, Next<\/strong> en vul het scherm is zoals hieronder. We passen voor nu alleen System Security<\/strong> aan.
    <\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Klik nu op Next<\/strong> en vul bij het scherm Actions for noncompliance<\/strong> dit in zoals hieronder, Next<\/strong> voeg de groep EMSnoTPM<\/strong> toe bij Select groups to include<\/strong>, Next<\/strong>, Create<\/strong>.
    <\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Instellen Windows 10 Updates<\/strong>
    Ga in Microsoft Endpoint Manager<\/strong> naar Devices,<\/strong> Windows 10 Update rings, Create profile<\/strong>, bij Name <\/strong>Windows 10 Updates, Next<\/strong> en vul de schermen in zoals hieronder, Next<\/strong>, voeg de groepen EMSUsers<\/strong> en EMSnoTPM<\/strong> toe bij Select groups to include<\/strong>, Next<\/strong>, Create<\/strong>.
    <\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Android Beleid<\/strong>
    Ga in Microsoft Endpoint Manager<\/strong>, naar Devices,<\/strong> Enroll device<\/strong>, Android enrollment<\/strong>, Android device administrator<\/strong> klik op Personal and corporate-owned devices with device administrator privileges<\/strong> en zet het vinkje aan bij Use device administrator to manage devices<\/strong>.
    <\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Ga in Microsoft Endpoint Manager<\/strong> naar Devices<\/strong>, Compliance policies<\/strong>, Policies<\/strong> en klik op Create Policy<\/strong>, selecteer het platform Android device administrator<\/strong>, Create <\/strong>noem het beleid Android Basis<\/strong>, Next<\/strong> en vul het scherm is zoals hieronder. We passen voor nu alleen de Device Health<\/strong> en System Security<\/strong> aan.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Klik nu op Next, Next<\/strong> en vul het scherm in zoals hieronder, Next<\/strong> voeg de groepen EMSUsers<\/strong> en EMSnoTPM<\/strong> toe bij Select groups to include<\/strong>, Next<\/strong>, Create<\/strong>.
    <\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    macOS<\/strong>
    Ga in Microsoft Endpoint Manager<\/strong> naar Devices,<\/strong> Compliance policies<\/strong> en klik op Create Policy<\/strong>, selecteer het platform macOS<\/strong>, Create <\/strong>noem het beleid macOS Basis<\/strong>, Next<\/strong> en vul het scherm is zoals hieronder. We passen voor nu alleen de Device Health<\/strong> en System Security<\/strong> aan.
    <\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Klik nu op Next<\/strong> en vul het scherm in zoals hieronder, Next<\/strong> voeg de groepen EMSUsers<\/strong> en EMSnoTPM<\/strong> toe bij Select groups to include<\/strong>, Next<\/strong>, Create<\/strong>.
    <\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    iOS Beleid<\/strong>
    Ga in Microsoft Endpoint Manager<\/strong> naar Device<\/strong>, Compliance policies<\/strong> en klik op Create Policy<\/strong>, selecteer het platform iOS\/iPadOS<\/strong>, Create <\/strong>noem het beleid iOS Basis<\/strong>, Next<\/strong> en vul het scherm is zoals hieronder. We passen voor nu alleen de Device Health<\/strong> en System Security<\/strong> aan.

    Device Health<\/strong><\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    System Security<\/strong>
    <\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Klik nu op Next<\/strong> en vul het scherm in zoals hieronder, Next<\/strong> voeg de groepen EMSUsers<\/strong> en EMSnoTPM<\/strong> toe bij Select groups to include<\/strong>, Next<\/strong>, Create<\/strong>.
    <\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    OneDrive instellingen
    <\/strong>Om OneDrive in te stellen, ga naar Microsoft Endpoint Manager <\/strong>naar Devices, Configuration profiles<\/strong> en kies Create profile, <\/strong>selecteer het platform Windows 10 and later <\/strong>bij Profile<\/strong> selecteer Administrative Templates<\/strong>, Create<\/strong>. Geef als naam Windows 10 OneDrive config<\/strong>, Next<\/strong>.<\/p>\n\n\n\n

    In het volgende scherm type je in het Search<\/strong> veld OneDrive<\/strong>, scroll naar Use OneDrive Files On-Demand <\/strong>open deze en kies Enabled<\/strong>, OK<\/strong>.

    Zoek nu eerst het Tenant ID op, het Tenant ID vindt je Azure Active Directory<\/strong>, Properties<\/strong>, Directory ID<\/strong> en ga weer terug naar het vorige scherm.

    Scroll nu naar Silently move Windows known folders to OneDrive <\/strong>en kies Enabled<\/strong>, vul het Tenant ID <\/strong>in en kies OK<\/strong>.

    Scroll nu naar Silently sign in users to the OneDrive sync app with their Windows credentials<\/strong> en kies Enabled<\/strong>, OK<\/strong>, Next<\/strong>, Next<\/strong> voeg de groepen EMSUsers<\/strong> en EMSnoTPM<\/strong> toe bij Select groups to include<\/strong>, Next<\/strong>, Create<\/strong>.<\/p>\n\n\n\n

    SharePoint TeamSite koppelen<\/strong>
    Het handmatig koppelen van Sharepoint Document Bibliotheken is nogal een tijdrovende klus, gelukkig is het sinds kort mogelijk dit te automatiseren. Voor elke Sharepoint Document Bibliotheken maken we een Microsoft 365 groep aan, deze gebruiken we ook om de site te koppelen.<\/p>\n\n\n\n

    Elke SharePoint site heeft zijn eigen ID, deze hebben we straks nodig bij het instellen. Zorg dat je aangemeld met een admin account met de juiste licenties. Open de site waar je het ID van nodig hebt en klik op Synchroniseren, klik op Kopieer de bibliotheek-id<\/strong>, deze wordt nu op het klembord gezet.<\/p>\n\n\n\n

    Om de SharePoint sync in te stellen, ga naar Microsoft Endpoint Manager<\/strong>, Device, Configuration<\/strong> profiles<\/strong> en kies Create profile, <\/strong>selecteer het platform Windows 10 and later <\/strong>bij Profile<\/strong> selecteer Administrative Templates<\/strong>, Create<\/strong>. Geef als naam Windows 10 SharePoint config<\/strong>, Next<\/strong>.

    In het volgende scherm type je bij Search<\/strong> Team, scroll naar Configure team site libraries to sync automatically <\/strong>open de user<\/strong> variant en kies Enabled<\/strong>, en vul bij Name<\/strong> de SharePoint Teamsite naam, bij Value<\/strong> het ID dat je gekopieerd hebt, OK<\/strong>.<\/p>\n\n\n\n

    Je moet nog wel de groepsnaam (bijvoorbeeld SP_Algemeen) van de SharePoint Team Site koppelen aan dit profiel, dit doen je bij Assignments<\/strong>. In dit scherm kan je dat voor elke site doen. Klik OK<\/strong> om op te slaan.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Klik nu op Next<\/strong>, Next<\/strong> voeg de groepen EMSUsers<\/strong> en EMSnoTPM<\/strong> toe bij Select groups to include<\/strong>, Next<\/strong>, Create<\/strong>.

    Uitschakelen Snel starten<\/strong>
    Regelmatig zorgt de Snel Starten optie van Windows voor problemen, deze kan dus beter uit staan. Ga naar Microsoft Endpoint Manager<\/strong>, Devices, Scripts<\/strong> en kies Add<\/strong>, Windows 10 <\/strong>en vul het scherm in zoals hieronder.
    <\/p>\n\n\n

    # PowerShell Script DisableHiberBoot.ps1
    \nREG ADD “HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Power” \/v HiberbootEnabled \/t REG_DWORD \/d “0” \/f<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n
    \"\"<\/figure>\n\n\n\n

    Klik nu op Next<\/strong>, voeg de groepen EMSUsers<\/strong> en EMSnoTPM<\/strong> toe bij Select groups to include<\/strong>, Next<\/strong>, Add<\/strong>.<\/p>\n\n\n\n

    Instellen Conditional Access<\/strong>
    <\/p>\n\n\n\n

    Ga naar Microsoft Endpoint Manager<\/strong>, Devices,<\/strong> Conditional access, New policy<\/strong> en stel alles in zoals hieronder.<\/p>\n\n\n\n

    Name<\/strong>: APP \u2013 Require Compliancy for Selective Company Data<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n
    \"\"<\/figure>\n\n\n\n
    \"\"<\/figure>\n\n\n\n
    \"\"<\/figure>\n\n\n\n

    Ga naar Microsoft Endpoint Manager<\/strong>, Device, Conditional access, New policy<\/strong> en stel alles in zoals hieronder.<\/p>\n\n\n\n

    Name<\/strong>:
    WEB  \u2013 Require MFA or Compliancy for ALL  Company Data<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n
    \"\"<\/figure>\n\n\n\n
    \"\"<\/figure>\n\n\n\n
    \"\"<\/figure>\n\n\n\n

    Ga naar Microsoft Endpoint Manager<\/strong>, Devices<\/strong>, Conditional access, Named Locations, New location <\/strong>en stel het scherm in zoals hieronder met het IP of IP\u2019s van je bedrijf in.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Ga naar Microsoft Endpoint Manager<\/strong>, Devices, Conditional access, Named Locations, Configure MFA trusted IPs <\/strong>en stel het scherm in zoals hieronder met het IP of IP\u2019s van de klant.
    <\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Uitrollen programma’s<\/strong>
    Een mooi onderdeel van Endpoint Manager is het uitrollen van Applicaties. Probeer indien mogelijk een MSI bestand van een programma te krijgen, dit werkt eigenlijk altijd. Hieronder wat voorbeelden.
    <\/p>\n\n\n\n

    Google Chrome<\/a> (MSI)

    Adobe Reader<\/a> (Win32 App)<\/p>\n\n\n\n

    Microsoft Edge<\/a><\/p>\n\n\n\n

    Microsoft 365<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

    In deze instructie laat ik zien hoe je op een eenvoudige manier een goed beveiligde Microsoft 365 omgeving kan inrichten. Voor het gebruik van deze instructie is het handig om een Windows 10 Pro \/ Enterprise Virtual Machine met ingeschakelde TPM beschikbaar te hebben. Voor deze instructie heb ik gebruik Lees verder<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3,5,8,11,12,13,19],"tags":[],"class_list":["post-472","post","type-post","status-publish","format-standard","hentry","category-azure","category-endpoint-manager","category-intune","category-microsoft-365","category-office-365","category-powershell","category-windows-10"],"_links":{"self":[{"href":"https:\/\/anderson.nl\/index.php?rest_route=\/wp\/v2\/posts\/472","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/anderson.nl\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/anderson.nl\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/anderson.nl\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/anderson.nl\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=472"}],"version-history":[{"count":0,"href":"https:\/\/anderson.nl\/index.php?rest_route=\/wp\/v2\/posts\/472\/revisions"}],"wp:attachment":[{"href":"https:\/\/anderson.nl\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=472"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/anderson.nl\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=472"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/anderson.nl\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=472"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}