Microsoft Intune configureren voor beveiligingspatch- en updatebeheer

Microsoft Intune configureren voor beveiligingspatch- en updatebeheer

02/08/2025

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het configureren en gebruiken van Microsoft Intune om beveiligingspatches en updates op Windows-apparaten effectief te beheren. In een voortdurend evoluerend cyberdreigingslandschap is het up-to-date houden van besturingssystemen en applicaties een van de meest kritische beveiligingspraktijken om kwetsbaarheden te beperken en de organisatie tegen aanvallen te beschermen. Microsoft Intune biedt als Unified Endpoint Management (UEM)-oplossing robuuste tools om het updateproces te automatiseren en te controleren [1].

Introductie

Het ontbreken van beveiligingspatches en updates is een van de belangrijkste oorzaken van beveiligingsinbreuken. Bekende kwetsbaarheden in besturingssystemen en software worden vaak misbruikt door aanvallers, waardoor een efficiënt en geautomatiseerd patchbeheerproces essentieel is. In moderne bedrijfsomgevingen, met een gedistribueerd personeelsbestand en een verscheidenheid aan apparaten, wordt handmatig updatebeheer onpraktisch en foutgevoelig. Dit is waar Microsoft Intune in uitblinkt: het biedt een gecentraliseerd platform voor het beheren en implementeren van updates op Windows-apparaten, zodat deze veilig en compliant blijven [2].

Met Microsoft Intune kunt u verschillende typen Windows-updates beheren, waaronder Kwaliteitsupdates, die beveiligingsoplossingen en niet-beveiligingsoplossingen bieden, en Functie-updates, die nieuwe functionaliteit en verbeteringen bieden. Via Update Rings-beleid en Feature Update-profielen kunnen beheerders bepalen wanneer en hoe updates worden geïmplementeerd, waardoor een gefaseerde implementatie mogelijk is om de risico's te minimaliseren en compatibiliteit te garanderen. Daarnaast biedt Intune functies om de nalevingsstatus van updates te controleren en problemen op te lossen [3].

Deze handleiding behandelt het instellen van Update Rings- en Functie-updates-profielen in Intune, het implementeren van updates op Windows-apparaten, het controleren van de naleving van updates en het gebruiken van rapporten om problemen te identificeren en op te lossen. Er worden stapsgewijze instructies, praktische voorbeelden en beknopte uitleg gegeven, zodat de lezer deze functies kan implementeren, testen en valideren. Daarnaast worden beveiligingstips, nalevingscontrole en best practices besproken om effectief, autonoom, professioneel en betrouwbaar patch- en beveiligingsupdatebeheer te garanderen.

Waarom is Microsoft Intune cruciaal voor patchbeheer?

  • Automatisering en efficiëntie: Automatiseert de levering van updates, vermindert de administratieve lasten en zorgt ervoor dat apparaten altijd up-to-date zijn.
  • Granulaire controle: Hiermee kunnen beheerders gedetailleerd beleid instellen over wanneer, hoe en op welke apparaatupdates worden toegepast, waardoor gefaseerde implementaties worden ondersteund.
  • Verbeterde beveiliging: Zorgt ervoor dat de nieuwste beveiligingsoplossingen snel worden toegepast, waardoor kwetsbaarheden worden beperkt en bescherming wordt geboden tegen bekende exploits.
  • Compliance: Zorgt ervoor dat apparaten voldoen aan het interne beveiligingsbeleid en wettelijke vereisten.
  • Zichtbaarheid en rapportage: Biedt dashboards en rapporten om de updatestatus te controleren, niet-compatibele apparaten te identificeren en problemen op te lossen.
  • Gebruikerservaring: Hiermee kunt u actieve tijdvensters configureren en deadlines voor herstarten om de impact van updates op de productiviteit van gebruikers te minimaliseren.

Vereisten

Om Microsoft Intune te configureren voor het beheren van beveiligingspatches en updates, hebt u de volgende items nodig:

  1. Licenties: een Microsoft Intune-licentie (meestal inbegrepen bij Microsoft 365 E3/E5, Enterprise Mobility + Security E3/E5-abonnementen) [4].
  2. Beheerderstoegang: een account met de rol van Global Administrator of Intune Service Administrator in het Microsoft Intune-beheercentrum (https://intune.microsoft.com).
  3. Geregistreerde Windows-apparaten: Geregistreerde Windows 10/11-apparatengemaakt in Microsoft Intune. Apparaten moeten worden geconfigureerd om updates van Windows Update (Windows Update for Business) te ontvangen [5].

Stap voor stap: Microsoft Intune configureren voor patchbeheer

Laten we het updatebeleid voor Windows-apparaten configureren.

1. Updateringen voor Windows maken

Updateringen zijn beleidsregels die bepalen hoe en wanneer kwaliteits- en niet-beveiligingsupdates op apparaten worden toegepast.

  1. Open uw browser en navigeer naar het Microsoft Intune-beheercentrum: https://intune.microsoft.com.
  2. Log in met een account dat over de benodigde rechten beschikt.
  3. Selecteer in het linkernavigatievenster Apparaten > Per platform > Windows.
  4. Selecteer onder 'Updates beheren' de optie Windows Update Rings.

  5. Klik op + Profiel aanmaken.

  6. Basisprincipes:

    • Naam: geef een betekenisvolle naam (bijvoorbeeld: Anel_Atualizacao_Piloto_Windows).
    • Beschrijving: Geef een duidelijke omschrijving (bijvoorbeeld Update ring voor loodsgroep, met minimale vertraging.).

  7. Klik op Volgende.

  8. Belinstellingen bijwerken:

    • Kwaliteitsupdate-instellingen:
      • Onderhoudsniveau van kwaliteitsupdates: Algemene beschikbaarheidskanaal.
      • Uitstelperiode voor kwaliteitsupdates (dagen): 0 (voor de pilotgroep, om updates zo snel mogelijk te ontvangen). Voor grotere groepen kunt u 3 tot 7 dagen instellen.
      • Uitstelperiode voor stuurprogramma-update (dagen): 0 (of een hogere waarde voor het testen van stuurprogramma's).
    • Instellingen voor functie-updates:
      • Onderhoudsniveau van functie-updates: Algemeen beschikbaarheidskanaal.
      • Uitstelperiode voor functie-update (dagen): 0 (voor pilotgroep). Voor grotere groepen kunt u 30 tot 60 dagen instellen.
    • Instellingen voor eindgebruikerservaring:
      • Automatisch updategedrag: Automatisch installeren en opnieuw opstarten tijdens onderhoud.
      • Opnieuw opstarten na installatie: Automatisch opnieuw opstarten tijdens onderhoud.
      • Actieve uren: Door de gebruiker gecontroleerde actieve uren.
      • Deadline voor herstart (dagen): 2 (voor de pilotgroep). Voor grotere groepen, 5 tot 7 dagen.

  9. Klik op Volgende.

  10. Bereiktags: voeg optioneel bereiktags toe. Klik op 'Volgende'.

  11. Toewijzingen: wijs deze updatering toe aan een Azure AD-apparaatgroep (bijvoorbeeld 'Pilot_Device_Group').

  12. Klik op Volgende.

  13. Bekijken + aanmaken: Controleer de instellingen en klik op Maken.

    • Uitleg: U moet meerdere updateringen maken (bijvoorbeeld Pilot, Fast, Slow) met verschillende uitstelperioden om een ​​gefaseerde uitrol van updates mogelijk te maken, waardoor het risico op compatibiliteitsproblemen wordt geminimaliseerd.

2. Functie-updateprofielen maken voor Windows (functie-updates voor Windows 10 en hoger)

Met functie-updateprofielen kunt u apparaten richten op een specifieke versie van Windows (bijvoorbeeld Windows 11 22H2).

  1. Selecteer in het linkernavigatievenster van het Microsoft Intune-beheercentrum Apparaten > Per platform > Windows.
  2. Selecteer onder 'Updates beheren' de optie Functie-updates voor Windows 10 en hoger.

  3. Klik op + Profiel aanmaken.

  4. Basisprincipes:

    • Naam: geef een betekenisvolle naam (bijvoorbeeld: Atualizacao_Recurso_Windows11_23H2).
    • Beschrijving: Geef een duidelijke beschrijving (bijvoorbeeld Windows 11 23H2-implementatie op in aanmerking komende apparaten.).

  5. Klik op Volgende.

  6. Instellingen voor functie-update:

    • Bronversie die moet worden geïmplementeerd: Selecteer de gewenste versie (bijvoorbeeld: Windows 11, versie 23H2).
    • Beschikbaarheidsdatum: Stel de datum in waarop de update beschikbaar zal zijn voor apparaten.
    • Einddatum: Stel optioneel een einddatum in voor de upgrade-aanbieding.

  7. Klik op Volgende.

  8. Bereiktags: voeg optioneel bereiktags toe. Klik op 'Volgende'.

  9. Toewijzingen: wijs dit profiel toe aan een Azure AD-apparaatgroep (bijvoorbeeld: Windows11_Device_Group).

  10. Klik op Volgende.

  11. Beoordelen + creëren:Controleer de instellingen en klik op Maken.

    • Uitleg: Dit profiel zorgt ervoor dat apparaten in de toegewezen groep de specifieke versie van Windows 11 23H2 ontvangen. Het is belangrijk om functie-updates in kleinere groepen te testen voordat ze breed worden geïmplementeerd.

3. Updatestatus bewaken

Intune biedt dashboards en rapporten om de voortgang van updates en naleving te monitoren.

  1. Selecteer in het linkernavigatievenster van het Microsoft Intune-beheercentrum Apparaten > Per platform > Windows.
  2. Selecteer onder 'Updates beheren' de optie Windows Update Rings.
  3. Klik op de updatering die u wilt monitoren (bijvoorbeeld: Anel_Atualizacao_Piloto_Windows).

  4. In het update-ringoverzicht kunt u de 'Apparaatimplementatiestatus' en 'Gebruikersupdatestatus' zien, die laten zien hoeveel apparaten compatibel zijn, hoeveel fouten er zijn, enz.

  5. Voor meer gedetailleerde rapporten selecteert u in het linkernavigatievenster van het Intune-beheercentrum Rapporten > Windows Updates.

  6. Hier kunt u rapporten vinden zoals 'Windows Update Compliance Report' en 'Windows Feature Updates Report' om een ​​uitgebreid beeld te krijgen van de status van updates in uw organisatie.

Validatie en testen

Het is van cruciaal belang dat u het updatebeleid test om er zeker van te zijn dat het werkt zoals verwacht en dat apparaten de updates correct ontvangen.

1. Update-ringen testen (kwaliteitsupdates)

  1. Scenario: Registreer een test-Windows-apparaat in Intune en wijs het toe aan Pilot_Device_Group.
  2. Verwachte actie: het apparaat moet kwaliteitsupdates ontvangen en installeren volgens het Anel_Atualizacao_Piloto_Windows beleid (met een vertraging van 0 dagen, dat wil zeggen snel).
  3. Verificatie:
    • Ga op het testapparaat naar 'Instellingen' > 'Windows Update' en controleer de updategeschiedenis.
    • Controleer in het Intune-beheercentrum de 'Apparaatimplementatiestatus' voor 'Anel_Atualizacao_Piloto_Windows' en 'Windows Update Compliance Report' om te bevestigen dat het apparaat compatibel is.
    • Opdracht op apparaat (PowerShell als beheerder): powershell Get-WindowsUpdateLog
      • Uitleg: Deze opdracht genereert een gedetailleerd logboek van Windows Update-activiteiten, handig bij het oplossen van problemen.

2. Updateprofielen voor bronnen testen

  1. Scenario: Registreer een Windows-testapparaat in Intune en wijs het toe aan 'Windows11_Device_Group'.
  2. Verwachte actie: het apparaat moet de Windows 11 Feature Update, versie 23H2 ontvangen en installeren.
  3. Verificatie:
    • Ga op het testapparaat naar 'Instellingen' > 'Systeem' > 'Over' en controleer de 'Windows-versie'.
    • Controleer in het Intune-beheercentrum de 'Apparaatimplementatiestatus' voor het profiel 'Atualizacao_Recurso_Windows11_23H2' en het 'Windows Feature Updates Report'.

Beveiligingstips en best practices

  • Update Ring-strategie: Implementeer een gefaseerde update-ringstrategie (bijvoorbeeld Pilot, Small, Medium, Large) om updates op een subset van apparaten te testen voordat ze breed worden geïmplementeerd. Hierdoor wordt het risico op onderbrekingen geminimaliseerd.
  • Onderhoudsvensters: Configureer onderhoudsvensters en herstartdeadlines die de impact op de gebruikersproductiviteit minimaliseren, maar zorg ervoor dat updates tijdig worden toegepast.
  • Continu toezicht: controleer regelmatig de nalevingsrapporten van updates in Intune en stel waarschuwingen in voor apparaten die niet voldoen of een updatefout vertonen.
  • Compatibiliteitstests: voordat u belangrijke functie-updates implementeert, voert u compatibiliteitstests uit met kritieke applicaties en hardware in uw omgeving.
  • Delivery Optimization: gebruik functies zoals Delivery Optimization om het bandbreedteverbruik van het netwerk te verminderen bij het distribueren van updates binnen uw organisatie.
  • Stuurprogrammabeheer: wees voorzichtig met stuurprogramma-updates. Overweeg om stuurprogramma-updates uit te stellen of deze uitgebreid te testen voordat u deze breed inzet, omdat problematische stuurprogramma's crashes kunnen veroorzaken.vermogen in het systeem.
  • Integratie met Microsoft Defender for Endpoint: Intune en Defender for Endpoint werken samen om de beveiliging van het eindpunt te garanderen. Defender for Endpoint kan inzicht geven in kwetsbaarheden die met patches kunnen worden verholpen.

Algemene probleemoplossing

  • Apparaten ontvangen geen updates:
    • Controleer of het apparaat is ingeschreven bij Intune en dat het update-/functieringsbeleid is toegewezen aan de juiste apparaatgroep.
    • Controleer op uw apparaat de connectiviteit met Windows Update. Voer wuauclt.exe /reportnow (voor Windows 10) of usoclient StartScan (voor Windows 11) uit vanaf de opdrachtprompt.
    • Controleer de Windows Update-logboeken op het apparaat met behulp van Get-WindowsUpdateLog in PowerShell.
    • Controleer de instellingen voor 'Actieve uren' in Intune; Als het apparaat altijd binnen actieve uren is, wordt het mogelijk niet opnieuw opgestart om updates te installeren.
  • Updates kunnen niet worden geïnstalleerd:
    • Controleer de Windows Update-logboeken op het apparaat op specifieke foutcodes.
    • Zorg ervoor dat uw apparaat voldoende schijfruimte heeft.
    • Compatibiliteitsproblemen met bestaande software of stuurprogramma's kunnen de oorzaak zijn. Testen in een gecontroleerde omgeving.
    • Controleer de netwerkconnectiviteit van het apparaat met Windows Update-services.
  • Apparaten worden niet als compatibel weergegeven in Intune-rapporten:
    • Het kan enige tijd duren voordat de nalevingsstatus wordt gerapporteerd aan Intune. Wacht een paar uur.
    • Zorg ervoor dat uw apparaat actief is en communiceert met Intune.
    • Controleer of het nalevingsbeleid correct is toegewezen aan het apparaat.
  • False positieven (apparaat lijkt niet-compatibel, maar is up-to-date):
    • Controleer handmatig de status van updates op het apparaat. Als deze up-to-date is, kan er sprake zijn van een vertraging in de Intune-rapportage.
    • Start de Intune Client Management-service opnieuw op het apparaat (net stop dmwappushservice && net start dmwappushservice).

Conclusie

Microsoft Intune is een onmisbare tool voor het beheren van beveiligingspatches en updates in Windows-omgevingen. Door de implementatie van kwaliteits- en functie-updates te automatiseren en gedetailleerde controle over het proces te bieden, stelt Intune organisaties in staat hun apparaten veilig te houden en te voldoen aan de nieuwste bescherming tegen cyberdreigingen. Het implementeren van een updateringstrategie, samen met continue monitoring en proactieve probleemoplossing, is van cruciaal belang voor het garanderen van een veerkrachtige IT-omgeving. Met deze praktische gids zijn beveiligingsprofessionals en IT-beheerders goed toegerust om Microsoft Intune te configureren, valideren en beheren, waardoor de beveiliging van hun eindpunten wordt versterkt en de bedrijfsmiddelen van hun organisatie worden beschermd.

Referenties:

[1] Microsoft Leer. Beheer Windows-software-updates in Intune. Beschikbaar op: https://learn.microsoft.com/pt-br/intune/intune-service/protect/windows-update-for-business-configure [2] Microsoft Leer. Wat is Microsoft Intune?. Beschikbaar op: https://learn.microsoft.com/pt-br/intune/overview [3] Microsoft Leer. Beheer Windows-updates met Intune. Beschikbaar op: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-for-business-configure [4] Microsoft Leer. Microsoft Intune-licenties. Beschikbaar op: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [5] Microsoft Leer. Windows-updateringen instellen in Intune. Beschikbaar op: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-update-rings [6] Microsoft Leer. Configureer functie-updates voor Windows 10 en hoger in Intune. Beschikbaar op: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-10-feature-updates [7] Microsoft Leer. Windows Update-rapporten in Intune. Beschikbaar op: https://learn.microsoft.com/pt-br/mem/intune/protect/windows-update-reports