De uitgangspunten van Zero Trust - nooit vertrouwen, altijd verifiëren - komen pas tot leven wanneer elk apparaat dat zich aanmeldt bij Microsoft 365, Azure of een line-of-business-applicatie aantoonbaar voldoet aan vastgestelde beveiligingscriteria. Voor Nederlandse overheidsorganisaties is dat extra urgent: een laptop die beleidsnota's bevat of een tablet waarmee gemeentelijke casuïstiek wordt afgehandeld, moet voldoen aan de Nederlandse Baseline voor Veilige Cloud, BIO en NIS2. Toch blijkt in audits nog te vaak dat apparaten buiten kantoor ongemerkt verouderen, dat encryptie wordt uitgeschakeld of dat malware onopgemerkt blijft totdat er echt schade ontstaat. Traditionele netwerkvertrouwensmodellen bieden daartegen onvoldoende bescherming, omdat zij locatie belangrijker maken dan de daadwerkelijke toestand van het endpoint.
Deze gids laat zien hoe Microsoft Intune device compliance fungeert als fundament voor moderne toegangscontrole. We combineren architectuurkeuzes, beleidsconfiguraties per platform, Conditional Access-handhaving en remediatieprocessen tot een samenhangend geheel dat SOC-teams, lijnmanagers en auditors dezelfde feitenbasis geeft. Elk hoofdstuk verbindt techniek aan governance: we koppelen beleidsregels aan BIO-paragrafen, beschrijven hoe je gebruikers mee krijgt zonder verstoring en leggen uit hoe je rapportages inricht die direct bruikbaar zijn voor ENSIA of interne auditdiensten.
Gebruik dit artikel als leidraad voor board- en projectgesprekken: welke beleidsregels zijn al ingeregeld, welke platforms vallen nog buiten Intune en hoe toon je compliance aan richting ENSIA- of NIS2-auditors? Door elk hoofdstuk als checklist te benutten ontstaat een concreet verbeterplan in plaats van vrijblijvende voornemens.
Plan maandelijks een compliance stand-up waarin CISO-office, SOC en servicedesk samen kijken naar dezelfde Intune-rapportages. Combineer technische feiten (BitLocker-percentages, patchleeftijden) met gebruikerservaringen. Zo koppel je cijfers direct aan verbeteracties en voorkom je dat non-compliance pas zichtbaar wordt wanneer Conditional Access blokkeert.
Device Compliance Fundamentals: Van Onbeheerd naar Gecontroleerd
Endpointlandschap binnen de overheid is heterogener dan ooit: inspecteurs gebruiken ruggedized tablets in het veld, beleidsdirecties werken op hybride laptops en leveranciers melden zich vanaf eigen apparatuur bij Teams en SharePoint. Zodra deze apparaten buiten het kantoornetwerk opereren, vervagen de klassieke controlemechanismen. Een apparaat dat maandag veilig was kan vrijdag besmet zijn omdat een medewerker software installeerde die geen enkele security review heeft doorlopen. Zonder zicht op de actuele staat van het apparaat wordt elk authenticatieproces een gok.
Dat maakt duidelijk dat een perimeterbenadering niet langer volstaat. VPN's verlenen vaak impliciet vertrouwen: wie de juiste certificaten heeft, krijgt netwerktoegang, ongeacht patchniveau of ingeschakelde beveiliging. Aanvallers misbruiken die logica door gestolen apparaten of credentials te combineren met bekende kwetsbaarheden. Bovendien zorgt het klassieke model voor een vals gevoel van veiligheid in stuurgroepen, omdat dashboards vooral netwerkstatistieken laten zien en nauwelijks iets zeggen over de daadwerkelijke hardening van apparaten. Zero Trust eist dat je ieder endpoint continu toetst op beleid en dat je afwijkingen automatisch blokkeert voordat gebruikers of systemen schade lijden.
Intune device compliance levert precies dat mechanisme. Elk apparaat dat wordt ingeschreven, krijgt een lichte agent die meerdere keren per dag een inventarisatie maakt van encryptiestatus, antimalware, firewall, OS-versie en gezondheid van kernservices. Die meetwaarden worden naar de Intune-service gestuurd en van daaruit naar Azure AD, waar Conditional Access beslist of toegang wordt verleend. Het resultaat is een realtime vertrouwensniveau per toestel dat zowel door de SOC als door functioneel beheerders kan worden geraadpleegd. Je stuurt niet langer op aannames, maar op meetbare configuraties.
De waarde van die meetreeks zit niet alleen in het blokkeren van niet-conforme apparaten, maar vooral in de stuurinformatie die ontstaat. Dashboards in Intune en Microsoft Entra laten per organisatieonderdeel zien welk deel van het wagenpark encryptie activeert, welke updates nog openstaan en welke gebruikers structureel dreigen buiten de lijntjes te kleuren. Koppel je deze inzichten aan je risicoregister of portfoliobesturing, dan kun je investeringen in hardwarevernieuwing, supportcapaciteit of training onderbouwen met feiten. Dat brengt securitybesluiten op hetzelfde niveau van professionaliteit als financiële besluiten.
Een ministerie dat in 2024 overstapte op volledige Intune-compliance documenteerde een daling van endpointgerelateerde incidenten van 31 naar 7 per jaar. De directe kostenbesparing bedroeg ruim 700.000 euro dankzij minder forensisch onderzoek en kortere hersteltrajecten. Tegelijkertijd daalde de doorlooptijd van kritieke patches van 42 naar 11 dagen en ging het BitLocker-adoptiepercentage omhoog van 27 naar 96 procent. Zulke cijfers overtuigen een auditcommissie eerder dan abstracte maturiteitsmodellen, zeker wanneer je kunt laten zien welke beleidsregels precies verantwoordelijk zijn voor het resultaat.
Compliance draait niet alleen om risicoreductie maar ook om wettelijke borging. De BIO eist in hoofdstuk 10 dat mobiele apparatuur standaard wordt versleuteld en in hoofdstuk 12 dat kwetsbaarheden aantoonbaar worden beheerst. Intune-compliance maakt deze artikelen concreet: door BitLocker of FileVault als harde eis in te stellen en door minimale OS-versies en patchniveaus te definiëren, creëer je een reproduceerbaar controletraject. De rapportages uit Intune vormen een audit trail dat je direct kunt toevoegen aan ENSIA- of NIS2-dossiers. Daarmee wordt security geen los programma maar een integraal onderdeel van het compliance managementsysteem.
Belangrijk is dat je deze aanpak ook bestuurlijk verankert. Leg in het securityboard vast welk restrisico bestuurders accepteren wanneer een uitzonderingsbeleid nodig is, en documenteer wie verantwoordelijk is voor tijdelijke vrijstellingen. Benoem eigenaars per keten die maandelijks bevestigen dat hun apparaten compliant zijn en verbind consequenties aan blijvende afwijkingen. Zo koppel je technische signalering aan duidelijke governance en zorg je dat device compliance niet alleen een IT-feestje is, maar een organisatiebreed commitment.
Windows Compliance Policies: Enterprise Endpoint Protection
Windows vormt nog altijd het merendeel van de endpoints binnen rijk, provincies en gemeenten. Juist daarom fungeert een Windows-compliancebeleid als maatstaf voor volwassenheid: als de grootste populatie aantoonbaar wordt beheerst, ontstaat er rust bij auditors en toezichthouders. Intune maakt het mogelijk om een eenduidige bron van waarheid te hanteren voor alle Windows-apparaten, of ze nu hybride aan Active Directory hangen, volledig cloud-only draaien of als gedeelde devices op een gemeentelijke balie staan.
BitLocker is de eerste harde randvoorwaarde. Door in de compliancepolicy te eisen dat volledige schijfversleuteling actief is en dat deze is gekoppeld aan een TPM 2.0-chip, voorkom je dat een gestolen laptop toegang geeft tot dossiers of onderzoeksinformatie. Intune controleert niet alleen of BitLocker is ingeschakeld, maar ook of het encryptieproces voltooid is en of het beschermingsniveau niet is verlaagd naar uitsluitend een wachtwoord. Voeg desgewenst een eis toe dat moderne energiezuinige laptops de nieuwe "device encryption"-modus gebruiken, zodat ook stand-by scenario's zijn afgedekt.
Versleuteling is pas echt betrouwbaar wanneer de herstelketen is geborgd. Daarom leg je in het beleid vast dat recovery keys automatisch worden opgeslagen in Azure AD en dat helpdeskprocedures beschrijven wie deze sleutels mag opvragen. Controleer eveneens of devices met meerdere schijven zowel het systeem- als datavolume versleutelen. Voor legacy-hardware zonder TPM documenteer je een tijdelijke uitzondering met compenserende maatregelen, zoals strengere Conditional Access en een versneld hardwarevervangingsprogramma. Zo voorkom je dat uitzonderingen ongemerkt uitgroeien tot structurele risico's.
Microsoft Defender Antivirus en Defender for Endpoint vormen de tweede pijler. Een volwassen compliancebeleid checkt of realtimebescherming actief is, of handtekeningen nieuwer zijn dan de ingestelde drempel en of cloudgestuurde bescherming niet is uitgeschakeld. Voeg daar controles aan toe op tamper protection en Attack Surface Reduction wanneer Defender for Endpoint wordt gebruikt. Intune rapporteert apparaten waar Defender wel aanwezig is maar door gebruikers of malware is uitgeschakeld, waardoor je sneller kunt ingrijpen en escaleren naar het SOC.
Patching en versiebeheer volgen daarna. Veel organisaties houden een feature-update achterstand aan zodat compatibiliteit is getest, maar eisen wel dat kritieke beveiligingsupdates binnen 14 of 30 dagen zijn geïnstalleerd. Intune-compliance kan minimale OS-buildnummers afdwingen en een maximale ouderdom van kwaliteitsupdates instellen. Combineer dit met Windows Update for Business of Autopatch zodat de distributie automatisch verloopt. Door in het beleid ook te registreren hoe lang apparaten offline zijn geweest, signaleer je sneller of een thuiswerker al maanden geen updates heeft ontvangen.
Een actief beveiligingsbeleid vereist bovendien een gedegen firewallbaseline. Intune kan afdwingen dat Windows Firewall op alle drie netwerkprofielen ingeschakeld blijft en dat gebruikers dit niet lokaal kunnen uitschakelen. Voeg controles toe op het toestaan van inkomende verbindingen: alleen vooraf goedgekeurde beheerprotocollen of monitoringagents mogen uitzonderingen maken. In omgevingen met hogere vertrouwelijkheid kun je zelfs eisen dat outboundverkeer standaard wordt geblokkeerd behalve voor gedefinieerde toepassingen, mits de gebruikservaring goed wordt begeleid.
Tot slot let je op aanvullende hardeningmaatregelen zoals Secure Boot, Virtualization Based Security, Credential Guard en het blokkeren van verouderde SMB-versies. Intune kan via compliancebeleid controleren of Device Health Attestation succesvol is en of kernservices zoals Windows Update, Background Intelligent Transfer Service en de Intune Management Extension draaien. Door ook eisen voor verwijderbare media op te nemen - bijvoorbeeld dat alleen versleutelde USB-sticks zijn toegestaan - maak je het beleid compleet. Elk van deze instellingen komt terug in auditrapportages, zodat bestuurders kunnen aantonen dat Windows-apparaten daadwerkelijk voldoen aan de Nederlandse Baseline voor Veilige Cloud.
iOS, Android en macOS Compliance: Cross-Platform Device Management
Mobiele platforms brengen een ander spanningsveld mee: gebruikers verwachten flexibiliteit, terwijl securityteams harde garanties moeten afgeven. In een gemiddelde organisatie bestaat het wagenpark uit iPhones van bestuurders, Android-toestellen van buitendienstmedewerkers, macOS-apparaten van communicatieafdelingen en een groeiende groep hybride werkers die privéapparatuur inzet binnen BYOD-regelingen. Intune biedt per platform eigen beleidsknoppen; het is aan de CISO om daar een samenhangend verhaal van te maken dat privacy respecteert en toch aan BIO- en AVG-eisen voldoet.
Voor iOS en iPadOS ligt de nadruk op het detecteren van jailbreaks, het afdwingen van recente versies en het beschermen van lokale data. Een jailbreak verwijdert sandboxing en geeft malware toegang tot zakelijke apps, dus het compliancebeleid blokkeert elk toestel waarbij systeemintegriteit is aangetast. Daarnaast stel je een minimale iOS-versie vast - bijvoorbeeld de huidige versie minus één major release - en besteed je aandacht aan gebruikerscommunicatie, omdat sommige legacy-apps tijd nodig hebben om mee te groeien. Door passcodes te verplichten met minimaal zes tekens, een maximale inlogpoging en Face ID of Touch ID voor zakelijke apps, voorkom je dat verloren toestellen een datalek veroorzaken.
iOS versleutelt standaard data zodra een passcode actief is, maar Intune controleert expliciet of opslag daadwerkelijk versleuteld blijft en of gebruikers geen onveilige configuraties toepassen. Managed apps krijgen een eigen encryptielaag via App Protection Policies, zodat zakelijke gegevens gescheiden blijven van privéfoto's of berichten. Communiceer helder dat de organisatie alleen de zakelijke container kan wissen; zo neem je de angst weg dat BYOD-gebruikers hun privédata kwijtraken. Combineer dit met duidelijke notificaties over complianceverzoeken, zodat gebruikers weten hoe zij updates installeren voordat enforcement ingaat.
Android vraagt om extra aandacht vanwege de diversiteit aan hardware en fabrikant-specifieke shells. Rooted toestellen of custom ROM's zijn een no-go, omdat ze beveiligingscontroles eenvoudig omzeilen. SafetyNet- of Play Integrity-attestatie is daarom een vaste eis: alleen apparaten die door Google als integer zijn beoordeeld, krijgen toegang. Daarnaast verplicht je het gebruik van een werkprofiel of een volledig beheerd toestel, zodat bedrijfsdata cryptografisch gescheiden blijven. Intune signaleert direct wanneer een gebruiker het werkprofiel verwijdert of wanneer de scheiding wordt verbroken.
Patching is op Android traditioneel lastiger, omdat sommige fabrikanten updates maanden uitstellen. In de praktijk combineer je daarom twee drempels: een minimale hoofdversie (bijvoorbeeld Android 12 of hoger) en een maximale leeftijd van het beveiligingspatchniveau (bijvoorbeeld niet ouder dan 60 dagen). Voor toestellen die die norm niet halen, bied je een gecontroleerd vervangingsprogramma of contracteer je leveranciers op het leveren van Android Enterprise Recommended-apparaten. Documenteer uitzonderingen expliciet en geef gebruikers een heldere grace period waarin zij de overstap kunnen voorbereiden.
macOS neemt een aparte plaats in. Creatieve teams hebben vaak meer vrijheid nodig voor software-installaties, maar ook hier gelden harde eisen: FileVault moet actief zijn, System Integrity Protection blijft ingeschakeld en Gatekeeper staat minimaal op "Mac App Store en geïdentificeerde ontwikkelaars". Intune kan bovendien controleren of de ingebouwde firewall aan staat, of er geen verouderde kernel-extensies draaien en of automatische updates actief zijn. Door deze signalen te combineren met een verplichte registratie van recovery keys houd je ook macOS binnen dezelfde compliancecyclus.
Wat alle platforms verbindt, is transparantie richting de gebruiker. Leg in beleid en communicatie uit welke data je verzamelt (uitsluitend configuraties, geen privécontent), hoe lang je gegevens bewaart en welke stappen een gebruiker zelf kan zetten. Train servicedesks om platform-specifieke vragen te beantwoorden en voorzie managers van dashboards waarin zij de compliancegraad van hun afdeling zien. Zo wordt cross-platform compliance geen losstaande IT-activiteit, maar een integraal onderdeel van hybride werken.
Conditional Access Integratie: Device Compliance als Access Control
Meten is stap een, afdwingen stap twee. Zolang device-compliancegegevens niet gekoppeld zijn aan Conditional Access blijft het bij een advies dat gebruikers kunnen negeren. Zero Trust vraagt om een expliciete regel: geen toegang zonder aantoonbaar compliant apparaat. In Microsoft Entra bouw je daarom een basismodel waarin elke authenticatie langs drie vragen gaat: wie is de gebruiker, wat is de risico-inschatting van de sessie en in welke staat verkeert het apparaat. Pas wanneer alle drie positief zijn, krijgt iemand toegang tot Exchange, SharePoint of maatwerkapplicaties.
De kern bestaat uit een organisatiebrede policy die alle gebruikers en cloud-apps omvat en toegang alleen toekent aan apparaten met het kenmerk "Compliant". Break-glass-accounts sluit je uit, net als serviceaccounts die met certificaten of client credentials werken. Daarnaast definieer je wat er gebeurt met browsers op gedeelde werkplekken: eis bijvoorbeeld een compliant machine voor rijke clients, maar bied web-only toegang via een virtuele desktop of beveiligde browser voor situaties waarin apparaten niet ingeschreven kunnen worden. Zo houd je de balans tussen strakke beveiliging en continuiteit van dienstverlening.
Geen enkele organisatie ontkomt aan uitzonderingen. Leveranciers die via guest accounts samenwerken, hebben meestal geen toegang tot jouw Intune-tenant. Voor hen stel je aparte policies op waarin je MFA, restrictieve sessies en beperkte data-export afdwingt. Serviceaccounts die scripts uitvoeren, migreer je waar mogelijk naar managed identities of workload identities zodat ze buiten het gebruikersmodel vallen. Documenteer per uitzondering welke compenserende maatregelen gelden, wie eigenaar is en wanneer de uitzondering verloopt. Dit dossier hoort bij je NIS2-governance en wordt minstens jaarlijks herijkt.
Platformspecifieke differentiatie verhoogt de effectiviteit. Je kunt filters gebruiken om Windows-apparaten extra eisen mee te geven, zoals hybrid join of een specifieke compliancepolicy, terwijl iOS- of Android-toestellen volstaan met een werkprofiel. Voor macOS kun je eisen dat zowel compliance als een vertrouwde app-registratie aanwezig is, zodat alleen beheerde apparaten corporate data mogen synchroniseren. In scenario's met hoge gevoeligheid combineer je device compliance met aanvullende signalen zoals risicoanalyse van Defender for Endpoint, waardoor apparaten met verdachte processen automatisch strengere controles krijgen.
Sessieregels maken het model compleet. Denk aan het verkorten van tokenlevensduren voor administratieve apps, het afdwingen van herauthenticatie bij gevoelige acties of het inschakelen van Continuous Access Evaluation zodat compliancewijzigingen vrijwel realtime effect hebben. Ook kun je in beleidsregels conditionele variabelen opnemen, zoals strengere eisen voor locaties buiten Nederland of wanneer gebruikers via niet-beheerde browsers werken. Door deze parameters vooraf te testen met een pilotgroep, voorkom je dat een update van het beleid onverwachte blokkades veroorzaakt.
De uitrol van zulke policies vraagt om zorgvuldig verandermanagement. Bouw een gefaseerde implementatie: eerst monitoring-only, daarna een pilot met een directie, vervolgens een geleidelijke opschaling per organisatieonderdeel. Communiceer duidelijk welke deadlines gelden, welke grace periods van toepassing zijn en hoe je ondersteuning organiseert. Gebruik Change Advisory Boards voor borging en stem met HR en medezeggenschap af hoe je medewerkers informeert over de consequenties van non-compliance, zodat onaangename verrassingen worden voorkomen.
Monitoring sluit de cyclus. Microsoft Entra levert realtime inzicht in geblokkeerde sessies, topgebruikers die non-compliant zijn en geografische spreiding van blokkades. Koppel deze data terug naar de SOC voor snelle triage, maar deel ze ook met proceseigenaren zodat zij ketenverantwoordelijkheid nemen. Maak afspraken over KPI's, bijvoorbeeld maximaal twee procent tijdelijke blokkades per maand en volledige hersteltijd binnen vier uur. Door die targets op te nemen in de securityscorecard ontstaat bestuurlijke druk om device compliance structureel op orde te houden.
Automated Remediation Workflows: Self-Service Compliance Recovery
Afdwingen zonder remediatie levert alleen weerstand op. Een volwassen programma zorgt ervoor dat gebruikers precies weten wat er mis is en hoe zij het zelf kunnen oplossen voordat de toegang daadwerkelijk wordt afgesloten. De Company Portal-app is daarbij het centrale kanaal: het biedt transparante statusinformatie, verwijst naar handleidingen en vormt een brug naar de servicedesk wanneer zelfherstel niet lukt. Door die app standaard mee te nemen in onboarding en in alle handleidingen te verwijzen naar hetzelfde proces, creëer je voorspelbaarheid.
Zodra een gebruiker de Company Portal opent, moet direct zichtbaar zijn wat de gezondheid van elk toestel is. Gebruik duidelijke labels zoals "versleuteling uitgeschakeld" of "beveiligingsupdate ontbreekt sinds 18 dagen" en vermeld hoeveel tijd rest tot enforcement. Voeg context toe waarom de maatregel belangrijk is - bijvoorbeeld dat BitLocker verplicht is volgens BIO 10.1 - zodat gebruikers begrijpen dat het geen willekeurige IT-eis is. Koppel aan elk probleem een stappenplan op maat, inclusief geschatte doorlooptijd en vereiste netwerkverbinding, zodat mensen weten wanneer zij hun apparaat even moeten laten draaien.
Automatisering verhoogt het succespercentage. Veel acties kunnen rechtstreeks vanuit Company Portal of Endpoint analytics worden gestart: een knop om Windows Update te openen, een wizard die BitLocker activeert en de herstelcode automatisch opslaat, of een script dat Defender-handtekeningen ververst. Voor mobiele platforms kun je gebruikers naar het juiste instellingenpaneel sturen met deeplinks. Hoe minder stappen de gebruiker zelf hoeft te onthouden, hoe kleiner de kans op fouten en hoe sneller de compliancegraad aantrekt.
Communicatie buiten de app is net zo belangrijk. Stel een notificatiecascade in waarbij gebruikers eerst een informele herinnering per e-mail krijgen, vervolgens een Teams-bericht en tenslotte een sms bij kritiek risico. Synchroniseer deze berichten met de grace periods die je in Conditional Access hebt ingesteld, zodat niemand verrast wordt wanneer de toegang daadwerkelijk stopt. Gebruik begrijpelijke taal, voeg links toe naar veelgestelde vragen en vermeld dat gebruikers altijd kunnen bellen voordat de blokkade actief wordt.
Koppel het remediatieproces aan je ITSM-platform. Wanneer een gebruiker vanuit Company Portal aangeeft dat zelfherstel niet lukt, maak je automatisch een ticket aan met alle relevante telemetrie: apparaatnaam, gebruikte policy, tijdstempel van de laatste check en reeds uitgevoerde acties. Dit bespaart triagetijd en maakt het mogelijk om trends te analyseren. Zie je bijvoorbeeld dat een specifieke BIOS-versie BitLocker uitschakelt, dan plan je gericht een firmware-update in plaats van elke afzonderlijke melding handmatig op te lossen.
Ook governance hoort bij remediatie. Leg in procedures vast hoe lang een gebruiker in non-compliance mag blijven voordat management wordt ingelicht, en definieer escalatietreden voor ketens die structureel achterlopen. Rapporteer maandelijks over de gemiddelde oplossingstijd per categorie en bespreek die cijfers met de securityboard en HR, zodat iedereen voelt dat dit geen vrijblijvende inspanning is. Training speelt daarbij een grote rol: organiseer korte e-learnings of lunchsessies waarin medewerkers leren hoe zij Company Portal gebruiken, wat de meldingen betekenen en hoe zij contact opnemen met de servicedesk. Door ondersteuning zo laagdrempelig mogelijk te maken, vergroot je de acceptatie van strikte compliance-eisen.
Meet tenslotte het effect van remediatie door vaste KPI's te definiëren, zoals het percentage issues dat binnen 48 uur wordt opgelost, het aantal automatische scripts dat succesvol draait en het aantal gebruikers dat zonder support terug in compliance komt. Deel deze statistieken met CIO-beraad en ondernemingsraad, zodat iedereen ziet dat compliance een gezamenlijke verantwoordelijkheid is en dat investeringen in supportteams aantoonbaar resultaat opleveren.
Troubleshooting Compliance Failures: Common Issues en Resolutions
Zelfs met goede tooling ontstaan situaties waarin gebruikers denken dat ze compliant zijn maar toch geblokkeerd blijven. Het grootste deel van die frustratie komt voort uit timing. Intune evalueert standaard elke acht uur, waardoor een toestel dat direct na patchen een statusrapport wil sturen alsnog wacht tot de volgende cyclus. Leer gebruikers daarom de knop "Controleren op naleving" in Company Portal te gebruiken of push vanuit de beheerconsole een geforceerde synchronisatie. Documenteer daarnaast hoe je in noodsituaties via Remote Help of PowerShell een sync start, zodat kritieke functies niet onnodig stilliggen.
Ook de tokenlevensduur van Conditional Access speelt mee. Zelfs als Intune een apparaat binnen enkele minuten compliant verklaart, kan een bestaand refresh-token nog tot 24 uur blijven bestaan. In dat geval blijft de gebruiker een foutmelding zien totdat hij alle sessies afsluit en opnieuw inlogt. Neem dit op in je supportflow: stap een is altijd volledig afmelden, Credentials Manager legen en eventueel de Office-cache resetten. Voor administratieve apps is het verstandig om de tokenlevensduur bewust korter te zetten, zodat veranderingen sneller doorwerken.
Af en toe veroorzaakt de backend vertraging. Synchronisatie tussen Intune en Azure AD of tussen Intune en Defender kan in piekmomenten tientallen minuten duren. Maak inzichtelijk waar het euvel zit door drie controles te doen: staat het apparaat als compliant in Intune, staat het als compliant in Azure AD en wat zegt het sign-inlogboek van de gebruiker? Door deze volgorde te hanteren kun je exact aanwijzen waar de blokkade ontstaat en voorkom je dat gebruikers willekeurige maatregelen proberen. Communiceer ook intern dat het soms simpelweg wachten is, zodat er geen onnodige escalaties ontstaan.
BitLocker blijft een bron van vragen. Oude laptops zonder TPM kunnen niet voldoen aan een beleid waarin hardwarematige sleutelbeveiliging verplicht is. In zulke gevallen leg je vast welke apparaten versneld worden uitgefaseerd en welke tijdelijke compensatie geldt, bijvoorbeeld een wachtwoordbeleid plus strengere Conditional Access. Een tweede valkuil is de geschorste status die optreedt na BIOS-updates of hardwarewijzigingen. Resumeren van BitLocker via de beheerconsole lost dit binnen seconden op, maar alleen als gebruikers begrijpen dat het apparaat tijdens firmwareupdates aan de stroom moet blijven. Tot slot kan een encryptieproces uren duren; monitor via Intune of de voortgang oploopt en informeer gebruikers dat ze het apparaat 's nachts moeten laten draaien.
Windows-apparaten met dual-bootconfiguraties of side-loaded drivers leveren eveneens problemen op. Secure Boot kan dan uitgeschakeld zijn, waardoor Device Health Attestation faalt. Maak in je beleid duidelijk dat zulke configuraties niet worden ondersteund of bied een virtuele ontwikkelomgeving als alternatief. Ook virtualisatiefuncties zoals Credential Guard vereisen dat Hyper-V geactiveerd is; sommige eindgebruikers schakelen dit uit vanwege oude drivers. Documenteer hoe je dat detecteert en stel een automated remediation-script beschikbaar om de juiste Windows-functies opnieuw te activeren.
Op mobiele platforms zijn APNs-certificaten en Android-werkprofielen de grootste boosdoeners. Een verlopen Apple Push Notification-certificaat legt het volledige iOS-beheer stil en veroorzaakt massale non-compliance. Plan daarom ruimschoots voor de vervaldatum een vernieuwing, leg vast welke Apple ID wordt gebruikt en wie de verantwoordelijke is. Android-toestellen lopen vaak vast wanneer gebruikers al een werkprofiel van een andere organisatie hebben; beschrijf in je handleiding hoe zij dat profiel verwijderen voordat ze jouw tenant toevoegen. Houd daarnaast rekening met toestellen die door de fabrikant niet langer worden bijgewerkt en communiceer tijdig wanneer zij uit de ondersteunde lijst verdwijnen.
Troubleshooting stopt niet bij techniek. Elke herhaalde foutmelding moet leiden tot structurele verbeteringen: een aangepaste baseline, extra training of een wijziging in het onboardingproces. Verzamel daarom maandelijks statistieken over de meest voorkomende compliancefouten, bespreek ze in het securityboard en koppel ze terug naar leveranciers of projectteams. Zo groeit het programma uit tot een lerend systeem en blijft device compliance betrouwbaar, zelfs als het landschap van apparaten en gebruikers continu verandert.
Wanneer Intune device compliance op deze manier wordt ingericht, verandert endpointbeveiliging van een serie losse controles in een bestuurbaar systeem. Apparaten leveren meetbare bewijzen van encryptie, patchstatus en antivirus, Conditional Access vertaalt die bewijzen naar toegangsbesluiten en gebruikers krijgen duidelijke tooling om zichzelf binnen de lijntjes te houden. Voor Nederlandse overheidsorganisaties betekent dit dat BIO-artikelen, NIS2-verplichtingen en interne risicokaders niet alleen op papier bestaan maar elke dag aantoonbaar worden nageleefd. De combinatie van technische telemetrie, governance-afspraken en transparante communicatie schept vertrouwen bij bestuurders, auditors en burgers. Wie deze aanpak consequent doorvoert, ziet incidentcijfers dalen, ziet audits soepeler verlopen en weet exact welke investeringen nodig zijn om het wagenpark toekomstbestendig te houden.