Verwalten von Betriebssystemversionen mit Microsoft Intune

  • Artikel

Für moderne mobile Plattformen und Desktopplattformen werden ständig größere Updates, Patches und neue Versionen herausgegeben. Es gibt Steuerelemente, mit denen Sie Updates und Patches unter Windows vollständig verwalten können. Andere Plattformen wie iOS/iPadOS und Android verlangen, dass die Endbenutzer in diesen Vorgang involviert sind. Microsoft Intune verfügt über Funktionen, mit denen Sie Ihre Betriebssystemversionsverwaltung plattformübergreifend strukturieren können.

Intune kann Sie bei den folgenden häufig auftretenden Szenarios unterstützen:

  • Ermitteln, welche Betriebssystemversionen auf Ihren Benutzergeräten vorhanden sind
  • Den Zugriff auf Unternehmensdaten auf Geräten steuern, während Sie eine neue Betriebssystemversion prüfen
  • Benutzer ermutigen bzw. dazu verpflichten, auf die neuste Betriebssystemversion, die von Ihrer Organisation zugelassen wurde, zu aktualisieren
  • Ein organisationsweites Rollout einer neuen Betriebssystemversion verwalten

Betriebssystemversionskontrolle mithilfe von Registrierungseinschränkungen für die verwaltung mobiler Geräte Intune

Mit Einschränkungen bei der Geräteregistrierung können Sie die Registrierung von Geräten bei Intune basierend auf bestimmten Geräteattributen einschränken. Das Ziel besteht darin, Benutzern zu ermöglichen, nur Geräte zu registrieren, die den Erwartungen Ihrer Organisation entsprechen, und die Registrierung von Geräten zu verhindern, die nicht konform sind, wenn sie Zugriff auf Ressourcen Ihrer Organisation erhalten könnten. Sie können Geräteplattformeinschränkungsrichtlinien für die Registrierung für die folgenden Plattformen erstellen:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

Die Geräteplattformeinschränkungsrichtlinien für jeden Plattformtyp enthalten sowohl eine minimale als auch eine maximal zulässige Betriebssystemversion, wie in der folgenden Screenshotaufnahme einer iOS-Richtlinie zu sehen ist:

Seite mit Einschränkungen für die Plattformkonfiguration.

In der Praxis

Organisationen verwenden Gerätetypeinschränkungen, um den Zugriff auf Organisationsressourcen mithilfe der folgenden Einstellungen zu steuern:

  1. Verwenden Sie die Mindestversion des Betriebssystems, um sicherzustellen, dass nur aktuelle und unterstützte Plattformen in Ihrem organization registriert werden können.
  2. Lassen Sie das maximale Betriebssystem nicht angegeben (keine Beschränkung), oder legen Sie es auf die letzte Version fest, die Ihr organization für die Verwendung überprüft hat, um Zeit für interne Tests neuer Betriebssystemversionen zu erhalten.

Weitere Informationen finden Sie unter Plattformbeschränkung für Geräte erstellen.

Berichterstellung für Betriebssystemversionen und Konformität mit Intune Gerätekonformitätsrichtlinien

Intune Gerätekonformitätsrichtlinien bieten Ihnen die folgenden Tools:

  • Geben Sie Kompatibilitätsregeln an, die erforderliche Konfigurationen für Geräte definieren.
  • Zeigen Sie Konformitätsberichte an, um zu verstehen, welche Geräte nicht konform sind und welche Einstellungen in Ihren Richtlinien enthalten sind.
  • Reagieren Sie auf Nichtkonformitätsergebnisse über Richtlinien für Gerätequarantäne und bedingten Zugriff, die verhindern, dass nicht konforme Geräte auf Ressourcen Ihrer Organisation zugreifen.

Genauso wie Registrierungsbeschränkungen umfassen Gerätekonformitätsrichtlinien sowohl Mindest- als auch Maximalversionen von Betriebssystemen. Die Richtlinien verfügen außerdem über eine Kompatibilitätszeitachse, damit Ihren Benutzern eine Toleranzperiode eingeräumt wird, die sie nutzen sollen, um ihre Geräte entsprechend anzupassen. Gerätekonformitätsrichtlinien sorgen dafür, dass Ihre registrierten Endbenutzergeräte den Erwartungen Ihrer Organisation entsprechen.

Gerätekonformität: Vorgehensweise bei nicht kompatiblen Geräten

In der Praxis

Organisationen verwenden Gerätekompatibilitätsrichtlinien für dieselben Szenarios wie die Registrierungsbeschränkungen. Diese Richtlinien sorgen dafür, dass Benutzer in Ihrer Organisation aktuelle und geprüfte Betriebssystemversionen verwenden. Wenn Benutzergeräte nicht mehr kompatibel sind, kann der Zugriff auf Organisationsressourcen solange per bedingtem Zugriff blockiert werden, bis die Geräte sich wieder innerhalb des für Ihre Organisation unterstützten Betriebssystembereichs befinden. Endbenutzer werden benachrichtigt, dass sie nicht konform sind, und ihnen werden die Schritte zur Wiederherstellung des Zugriffs bereitgestellt.

Weitere Informationen finden Sie unter Erste Schritte mit der Gerätekonformität.

Kontrollieren von Betriebssystemversionen mithilfe der Intune-App-Schutzrichtlinien

Mit den Intune-App-Schutzrichtlinien und den Zugriffseinstellungen für die Verwaltung mobiler Anwendungen (MAM) können Sie die Mindestversion des Betriebssystems auf Anwendungsebene festlegen. Dadurch können Sie die Benutzer über Updates informieren und dazu ermutigen bzw. verpflichten, ihr Betriebssystem auf eine vorgegebene Mindestversion zu aktualisieren.

Sie haben zwei Möglichkeiten:

  • Warnungen informieren Benutzer darüber, dass sie ein Upgrade durchführen sollten, wenn sie eine App, für die eine Anwendungsschutzrichtlinie oder Zugriffseinstellungen für die mobile Anwendungsverwaltung gelten, auf einem Gerät mit einer Betriebssystemversion öffnen, die niedriger ist als die vorgegebene Version. Der Zugriff auf die App und die Organisationsdaten ist zulässig.

    Abbildung des Dialogfelds

  • Blockierungen informieren Benutzer darüber, dass sie ein Upgrade vornehmen müssen, wenn sie eine Anwendung, für die Anwendungsschutzrichtlinien oder Zugriffseinstellungen für die mobile Anwendungsverwaltung gelten, auf einem Gerät öffnen, auf dem eine Betriebssystemversion installiert ist, die nicht der vorgegebenen Version entspricht. Der Zugriff ist für App- und Organisationsdaten nicht zulässig.

    Abbildung des Dialogfelds

In der Praxis

Heutzutage verwenden Organisationen Einstellungen für App-Schutzrichtlinien, wenn Apps geöffnet oder fortgesetzt werden, um Benutzer über die Notwendigkeit zu informieren, Apps aktuell zu halten. Eine mögliche Konfiguration wäre z.B., dass Benutzer des Vorgängers der aktuellen Version gewarnt werden und Benutzer, die eine frühere Version als den Vorgänger der aktuellen Version verwenden, blockiert werden.

Weitere Informationen finden Sie unter Erstellen und Zuweisen von App-Schutzrichtlinien.

Verwalten eines Rollout einer neuen Betriebssystemversion

Sie können die in diesem Artikel beschriebenen Intune-Funktionen verwenden, um Geräte Ihrer Organisation innerhalb der von Ihnen definierten Zeitleiste auf eine neue Betriebssystemversion zu verschieben. Die folgenden Schritte stellen ein Beispiel für ein Bereitstellungsmodell dar, mit dem Sie die Benutzer innerhalb von sieben Tagen von Betriebssystem V1 auf eine Betriebssystem V2 verschieben können.

  1. Verwenden Sie Geräteregistrierungseinschränkungen , um das Betriebssystem v2 als Mindestversion für die Registrierung des Geräts zu verlangen. Damit wird gewährleistet, dass neue Benutzergeräte zum Zeitpunkt der Registrierung konform sind.
  2. Verwenden Sie Intune App-Schutzrichtlinien, um Benutzer zu warnen, wenn eine geschützte App geöffnet oder fortgesetzt wird, dass das neuere Betriebssystem v2 erforderlich ist.
  3. Verwenden Sie Gerätekonformitätsrichtlinien , um das Betriebssystem v2 als Mindestversion für die Kompatibilität eines Geräts festzulegen. Verwenden Sie Aktionen für Nichtkonformität, um eine Karenzzeit von sieben Tagen zuzulassen und Endbenutzern eine E-Mail-Benachrichtigung mit Ihren Zeitleiste und Anforderungen zu senden.
    • Diese Richtlinien können Endbenutzer darüber informieren, dass ihre Geräte per E-Mail, dem Intune-Unternehmensportal aktualisiert werden müssen und wann die App für Apps geöffnet wird, die mit einer App-Schutzrichtlinie aktiviert sind.
    • Sie können einen Konformitätsbericht ausführen, um Benutzer zu ermitteln, deren Geräte nicht kompatibel sind.
  4. Verwenden Sie Intune App-Schutzrichtlinien, um Benutzer zu blockieren, wenn eine App geöffnet oder fortgesetzt wird, wenn auf dem Gerät das Betriebssystem v2 nicht ausgeführt wird.
  5. Verwenden Sie Gerätekonformitätsrichtlinien, um eine die Betriebssystemversion V2 als Mindestversion für ein Gerät festzulegen, damit es konform ist.
    • In diesen Richtlinien wird festgelegt, dass Geräte aktualisiert werden müssen, damit sie weiterhin Zugriff auf Organisationsdaten haben. Geschützte Dienste werden blockiert, wenn sie auf Geräten mit bedingtem Zugriff verwendet werden. Apps, für die eine Appschutz-Richtlinie aktiviert ist, werden beim Öffnen oder beim Zugreifen auf Organisationsdaten blockiert.

Nächste Schritte

Verwenden Sie die folgenden Ressourcen, um Betriebssystemversionen in Ihrer Organisation zu verwalten: