Geräterichtlinien

Wenn ein neues Microsoft Managed Desktop-Gerät eingerichtet wird, stellen wir sicher, dass die Konfiguration Microsoft Managed Desktop optimiert ist.

Die Konfiguration enthält eine Reihe von Standardrichtlinien, die im Rahmen des Onboardingprozesses festgelegt werden. Diese Richtlinien werden nach Möglichkeit über die Verwaltung mobiler Geräte (Mobile Device Management, MDM) bereitgestellt. Weitere Informationen finden Sie unter Verwaltung mobiler Geräte.

Hinweis

Ändern Sie diese Richtlinien nicht, um Konflikte zu vermeiden.

Geräte werden mit einem Signaturbild empfangen und dann der Microsoft Entra Domäne beitreten, wenn sich der erste Benutzer anmeldet. Das Gerät installiert die erforderlichen Richtlinien und Anwendungen automatisch, ohne dass Ihre IT-Mitarbeiter eingreifen müssen.

Standardrichtlinien

In dieser Tabelle werden die Standardrichtlinien aufgeführt, die während der Gerätebereitstellung auf alle Microsoft Managed Desktop-Geräte angewendet werden. Alle erkannten Änderungen an Objekten, die nicht vom Microsoft Managed Desktop Operations Team genehmigt und von Microsoft Managed Desktop verwaltet werden, werden wiederhergestellt.

Richtlinie Beschreibung
Sicherheitsbaseline Die Microsoft-Sicherheitsbaseline für die Verwaltung mobiler Geräte ist für alle Microsoft Managed Desktop-Geräte konfiguriert. Diese Baseline ist die Branchenstandardkonfiguration. Sie wird öffentlich veröffentlicht, ausgiebig getestet und von Microsoft-Sicherheitsexperten überprüft, um Microsoft Managed Desktop-Geräte und -Apps am modernen Arbeitsplatz zu schützen.

Um Bedrohungen in der sich ständig weiterentwickelnden Sicherheitsbedrohungslandschaft zu mindern, wird die Microsoft-Sicherheitsbaseline aktualisiert und mit jedem Windows 10-Featureupdate auf Microsoft Managed Desktop-Geräten bereitgestellt.

Weitere Informationen finden Sie unter Windows-Sicherheitsbaselines.
Empfohlene Microsoft Managed Desktop-Sicherheitsvorlage Bei dieser Vorlage handelt es sich um eine Reihe empfohlener Änderungen an der Sicherheitsbaseline, die die Benutzererfahrung optimieren. Diese Änderungen sind im Sicherheitsnachtrag dokumentiert. Aktualisierungen des Richtliniennachtrags erfolgen nach Bedarf.
Updatebereitstellung Verwenden Sie Windows Update for Business, um die schrittweise Bereitstellung von Softwareupdates durchzuführen. IT-Administratoren können die Einstellungen für die Bereitstellungsgruppenrichtlinien nicht ändern. Weitere Informationen zur gruppenbasierten Bereitstellung finden Sie unter Wie Updates in Microsoft Managed Desktop gehandhabt werden.
Getaktete Verbindungen Standardmäßig sind Updates über getaktete Verbindungen (z. B. LTE-Netzwerke) deaktiviert. Allerdings kann jeder Benutzer diese Einstellung unabhängig aktivieren, indem er zu „Einstellungen“, dann zu „Updates“ und dann zu „Erweiterte Optionen“ navigiert.

Wenn Sie allen Benutzern das Aktivieren von Updates über getaktete Verbindungen gestatten möchten, Übermittlung Sie eine Änderungsanforderung, wodurch diese Einstellung für alle Geräte aktiviert wird.
Gerätecompliance Diese Richtlinien werden für alle Microsoft Managed Desktop-Geräte konfiguriert. Ein Gerät wird als nicht konform gemeldet, wenn es von der erforderlichen Sicherheitskonfiguration abweicht.

Windows-Diagnosedaten

Geräte werden so festgelegt, dass sie Microsoft erweiterte Diagnosedaten unter einem bekannten kommerziellen Bezeichner zur Verfügung stellen. Im Rahmen von Microsoft Managed Desktop können IT-Administratoren diese Einstellungen nicht ändern.

Für Kunden in Regionen, in denen die Datenschutz-Grundverordnung (DSGVO) gilt, können Benutzer die Menge der bereitgestellten Diagnosedaten verringern, was jedoch mit einer Reduzierung des Diensts einhergeht. Beispielsweise kann Microsoft Managed Desktop nicht die Daten sammeln, die zum Durchlaufen von Einstellungen und Richtlinien erforderlich sind, um Leistungs- und Sicherheitsanforderungen optimal zu erfüllen. Weitere Informationen finden Sie unter Konfigurieren von Windows-Diagnosedaten in Ihrer Organisation.

Sicherheitsnachtrag

In diesem Abschnitt werden die Richtlinien beschrieben, die zusätzlich zu den Standardrichtlinien für Microsoft Managed Desktop bereitgestellt werden, die in den Standardrichtlinien aufgeführt sind. Diese Konfiguration ist für Finanzdienstleistungen und stark regulierte Branchen konzipiert und für die höchste Sicherheit optimiert, bei gleichzeitiger Beibehaltung der Benutzerproduktivität.

Zusätzliche Sicherheitsrichtlinien

Diese Richtlinien werden hinzugefügt, um die Sicherheit für stark regulierte Branchen zu erhöhen:

Richtlinie Beschreibung
Überwachung der Sicherheit Microsoft überwacht Geräte mit Microsoft Defender für Endpunkt. Wenn eine Bedrohung erkannt wird, benachrichtigt Microsoft den Kunden, isoliert das Gerät und behebt das Problem remote.
Deaktivieren von PowerShell V2 Microsoft hat PowerShell V2 im August 2017 entfernt.

Dieses Feature wurde auf allen Microsoft Managed Desktop-Geräten deaktiviert. Weitere Informationen zu dieser Änderung finden Sie unter Einstellung von Windows PowerShell 2.0.