Een paar jaar geleden stond de werkplek gewoon op kantoor. Een vaste pc, een netwerkkabel en een beheerder die er fysiek bij kon. Dat beeld klopt niet meer. Je medewerkers werken thuis, onderweg en bij klanten, vaak op een mix van bedrijfslaptops en eigen telefoons. Hoe houd je dan nog overzicht over wie waarmee bij je gegevens kan?

Daar komt Microsoft Intune in beeld. In dit artikel lees je wat Intune is, wat je ermee kunt en hoe het werkplekbeheer eenvoudiger en veiliger maakt. Ook lees je hoe je begint zonder dat het een groot project wordt.

Waarom werkplekbeheer is veranderd

Toen iedereen op kantoor zat, was beheer overzichtelijk. Apparaten hingen aan hetzelfde netwerk, updates rolde je centraal uit en als er iets stuk was, liep iemand even langs. De grens tussen binnen en buiten was duidelijk.

Met de opkomst van hybride werken is die grens verdwenen. Een laptop staat de ene dag op kantoor en de volgende dag op een keukentafel met onbekend wifi. Telefoons van medewerkers hebben toegang tot zakelijke mail en bestanden. En als een apparaat kwijtraakt, raak je niet alleen het apparaat kwijt, maar mogelijk ook je bedrijfsgegevens.

Traditioneel beheer is daar niet op gebouwd. Je kunt niet bij elk apparaat fysiek aanwezig zijn en je wilt niet dat de beveiliging afhangt van of een medewerker zelf netjes updates installeert. Je hebt iets nodig dat apparaten centraal beheert, waar ze ook zijn.

Wat is Microsoft Intune?

Microsoft Intune is een clouddienst van Microsoft voor het beheren van apparaten en apps. Je beheert er Windows-laptops, macOS-apparaten, iPhones en Android-telefoons mee, zonder dat je daarvoor een eigen server nodig hebt. Alles draait in de cloud en je regelt het vanuit één beheeromgeving.

Vakmensen spreken vaak over twee onderdelen. Het eerste is device management, ook wel MDM (mobile device management). Daarmee beheer je het hele apparaat: aanmelden, instellen, beveiligen en zo nodig op afstand wissen. Het tweede is app management, ook wel MAM (mobile application management). Daarmee beheer je alleen de zakelijke apps en de gegevens daarin, zonder het hele apparaat over te nemen. Dat is handig voor telefoons van medewerkers, waar je wel de zakelijke mail wilt beschermen maar niet de privéfoto’s wilt aanraken.

Wat je met Intune kunt

Intune dekt een aantal taken die normaal veel handwerk kosten. De belangrijkste op een rij.

Apparaten aanmelden. Een nieuwe laptop kun je zo inrichten dat een medewerker hem uit de doos haalt, inlogt met het bedrijfsaccount en daarna automatisch alle juiste instellingen en apps krijgt. Geen avond installeren meer, geen handmatig configureren per toestel.

Beleid uitrollen. Je stelt centraal in welke regels gelden. Denk aan een verplichte schermvergrendeling, een minimale pincode, automatische updates en versleuteling van de schijf. Dat beleid geldt voor elk apparaat dat zich aanmeldt, of het nu op kantoor staat of bij iemand thuis.

Apps beheren. Je bepaalt welke apps op een apparaat komen en houdt ze up-to-date. Bij telefoons van medewerkers kun je verder gaan en de zakelijke gegevens binnen een app afschermen, zodat iemand bedrijfsdata bijvoorbeeld niet zomaar naar een privé-app kan kopiëren.

Compliance afdwingen. Je legt vast aan welke eisen een apparaat moet voldoen om als veilig te gelden, zoals een actuele versie van het besturingssysteem en ingeschakelde versleuteling. Voldoet een apparaat niet, dan markeert Intune het als niet-compliant. In combinatie met voorwaardelijke toegang krijgt zo’n apparaat dan geen toegang tot je bedrijfsgegevens. Dit sluit goed aan op het principe van zero trust beveiliging, waarbij je niets automatisch vertrouwt en elke toegang controleert.

Een verloren apparaat op afstand wissen. Raakt een laptop of telefoon kwijt of gestolen, dan kun je hem op afstand wissen. Bij een volledig beheerd apparaat wis je het hele toestel. Bij een telefoon van een medewerker kun je een selectieve wipe doen: alleen de zakelijke gegevens verdwijnen en de privégegevens blijven staan. Zo voorkom je dat een verloren toestel een datalek wordt.

Hoe Intune past in Microsoft 365

Het mooie is dat je Intune vaak al hebt zonder dat je het doorhebt. Intune zit als Plan 1 in Microsoft 365 Business Premium en in de grotere abonnementen E3 en E5. Voor veel MKB-bedrijven die al met Microsoft 365 werken, betekent dat je geen losse aanschaf hoeft te doen. Je moet het alleen nog inrichten.

Daarmee staat Intune niet op zichzelf. Het werkt samen met de rest van Microsoft 365: met Microsoft Entra voor identiteiten en inloggen, met de voorwaardelijke toegang die bepaalt wie waar bij mag en met de apps zoals Outlook, Teams en SharePoint die je medewerkers de hele dag gebruiken. Wie nog twijfelt tussen platforms kan trouwens onze vergelijking Microsoft 365 vs Google Workspace lezen.

Een sterke combinatie is Intune samen met multifactor authenticatie. MFA controleert wie er inlogt, Intune controleert waarmee er wordt ingelogd. Pas als allebei kloppen, een vertrouwde gebruiker op een veilig apparaat, krijgt iemand toegang. Dat is een flinke stap vooruit ten opzichte van alleen een wachtwoord.

Wat het oplevert

Werkplekbeheer met Intune levert je op twee fronten iets op: beheer en beveiliging.

Aan de beheerkant scheelt het tijd. Nieuwe medewerkers zijn sneller aan de slag omdat hun apparaat zichzelf inricht. Updates en instellingen rol je centraal uit in plaats van toestel voor toestel. En je hebt overzicht: in één scherm zie je welke apparaten er zijn, of ze veilig zijn en of ze bij zijn. Dat overzicht is lastig te krijgen als alles op losse laptops staat verspreid.

Aan de beveiligingskant verklein je je risico. Apparaten voldoen aantoonbaar aan je eisen, een verloren toestel kun je wissen en alleen veilige apparaten komen bij je data. Dat helpt ook als je te maken hebt met regels rond gegevensbescherming, zoals de AVG in de praktijk van je vraagt. Aantonen dat je apparaten onder beheer hebt en gegevens kunt wissen, is een concreet stuk bewijs dat je het serieus neemt.

Zo begin je

Je hoeft niet alles in één keer aan te zetten. Een rustige aanpak werkt beter en geeft je team de tijd om te wennen.

Begin met inventariseren. Welke apparaten gebruiken je medewerkers, en welke daarvan zijn van het bedrijf en welke van henzelf? Dat onderscheid bepaalt of je voor MDM of MAM kiest. Bedrijfslaptops beheer je doorgaans volledig, telefoons van medewerkers vaak alleen op app-niveau.

Zet daarna een basisbeleid op. Denk aan verplichte schermvergrendeling, versleuteling en automatische updates. Houd het simpel in het begin, je kunt het later altijd uitbreiden. Test het beleid eerst op een paar apparaten voordat je het breed uitrolt, zodat je niet je hele team tegelijk verrast met instellingen die nog niet kloppen.

Communiceer duidelijk wat er verandert, vooral als het om telefoons van medewerkers gaat. Leg uit dat je hun privégegevens niet inziet en dat het beheer alleen de zakelijke kant raakt. Dat voorkomt weerstand. En koppel het aan je bredere beveiliging: een goed ingericht Intune is een mooi fundament, maar werkt het best samen met MFA, een doordachte backup-strategie en bewuste medewerkers.

Loop je hierbij vast of wil je het in één keer goed doen, dan kun je het ook overlaten aan een partner. Qware ICT in Dordrecht helpt MKB-bedrijven in de Drechtsteden met het inrichten van Intune, vaak als onderdeel van breder beheer. Meer over die aanpak lees je in managed IT-services uitgelegd.

Veelgestelde vragen over Microsoft Intune

Heb ik Microsoft Intune al?

Waarschijnlijk wel, als je Microsoft 365 Business Premium of een E3- of E5-abonnement hebt. Intune Plan 1 zit daarin. Je hebt het dan alleen nog niet ingericht. Twijfel je over je abonnement, vraag het dan na bij je ICT-partner of controleer het in je beheeromgeving.

Kan ik telefoons van medewerkers beheren zonder hun privacy te schenden?

Ja. Daarvoor gebruik je app management (MAM). Je beheert dan alleen de zakelijke apps en gegevens, niet het hele toestel. Privéfoto’s, berichten en persoonlijke apps blijven buiten beeld. Bij vertrek van een medewerker wis je alleen de zakelijke gegevens.

Wat gebeurt er als een laptop wordt gestolen?

Met Intune kun je het apparaat op afstand vergrendelen of wissen. Bij een volledig beheerd toestel wis je alles, bij een telefoon van een medewerker alleen de zakelijke data. Combineer dit met versleuteling, dan is de kans klein dat iemand bij je gegevens komt.

Is Intune ook geschikt voor kleine bedrijven?

Zeker. Juist voor kleinere teams zonder eigen IT-afdeling is centraal beheer waardevol, omdat je veel handwerk en risico wegneemt. Je hoeft niet groot te zijn om er baat bij te hebben.

Tot slot

Werkplekbeheer is niet meer iets dat je per apparaat regelt op kantoor. Met hybride werken en een mix van bedrijfs- en privéapparaten heb je een aanpak nodig die overal werkt. Microsoft Intune biedt dat: apparaten aanmelden, beleid uitrollen, apps beheren, compliance afdwingen en zo nodig een verloren toestel wissen, allemaal vanuit de cloud.

Het mooie is dat je het vaak al in huis hebt via je Microsoft 365-abonnement. De winst zit in het goed inrichten ervan. Begin klein, breid stap voor stap uit en zorg dat je basis op orde is. Dan houd je grip op je werkplekken, hoe verspreid je team ook werkt.