Erstellen einer Gerätekonformitätsrichtlinie für Android-Geräte in IntuneHow to create a device compliance policy for Android devices in Intune

Gilt für: Intune in AzureApplies to: Intune on Azure
Suchen Sie nach der Dokumentation zu Intune in der klassischen Konsole?Looking for documentation about Intune in the classic console? Diese finden Sie hier.Go to here.

Gerätekonformitätsrichtlinien werden für jede Plattform im Intune Azure-Portal erstellt.Device compliance policies are created for each platform form the Intune Azure portal.

So erstellen Sie eine GerätekompatibilitätsrichtlinieTo create a device compliance policy

  1. Wählen Sie auf dem Blatt Intune die Option Gerätekompatibilität festlegen aus.From the Intune blade, choose Set Device compliance. Wählen Sie unter Verwalten die Option Alle Gerätekonformitätsrichtlinien und dann Erstellen aus.Under Manage, choose All device compliance policies, and choose Create.
  2. Geben Sie einen Namen und eine Beschreibung ein, und wählen Sie die Plattform aus, auf die Sie diese Richtlinie anwenden möchten.Type a name, description and choose the platform that you want this policy to apply to.
  3. Wählen Kompatibilitätsanforderungen aus, um hier die Einstellungen Sicherheit, Geräteintegrität und Geräteeigenschaft anzugeben.Choose Compliance requirements to specify the Security, Device health, and Device property settings. Wählen Sie abschließend OK aus.When you are done, choose OK.

So weisen Sie Benutzergruppen zuTo assign user groups

Wählen Sie zum Zuweisen einer Konformitätsrichtlinie zu Benutzern eine Richtlinie aus, die Sie konfiguriert haben.To assign a compliance policy to users, choose a policy that you have configured. Vorhandene Richtlinien finden Sie auf dem Blatt Kompatibilitätsrichtlinien.Existing policies can be found in the Compliance –policies blade.

  1. Wählen Sie die Richtlinie und dann Zuweisungen aus.Choose the policy and choose Assignments. Damit öffnen Sie das Blatt, auf dem Sie Azure Active Directory-Sicherheitsgruppen auswählen und der Richtlinie zuweisen können.This opens the blade where you can select Azure Active Directory security groups and assign them to the policy.
  2. Wählen Sie Gruppen auswählen aus, um das Blatt mit den Azure AD-Sicherheitsgruppen zu öffnen.Choose Select groups to open the blade that displays the Azure AD security groups. Dies sind die Sicherheitsgruppen in Ihrer Azure Active Directory-Instanz.Here you can find the security groups in your Azure Active Directory. Sie können die Benutzergruppen auswählen, auf die diese Richtlinie angewendet werden soll, und dann Auswählen auswählen.You can select the user groups you want this policy to apply to and choose Select. Die Auswahl von Auswählen bewirkt die Bereitstellung der Richtlinie für Benutzer.Choosing Select deploys the policy to users.

Sie haben die Richtlinie auf Benutzer angewendet.You have applied the policy to users. Die von den Benutzern, denen die Richtlinie zugewiesen wurde, verwendeten Geräte werden auf Konformität überprüft.The devices used by the users who are targeted by the policy will be evaluated for compliance.

Einstellungen für Geräteintegrität und SicherheitDevice health and security settings

  • Gerät darf keinen Jailbreak oder Rootzugriff verwenden: Wenn Sie diese Einstellung aktivieren, werden Geräte mit Jailbreak als nicht konform eingestuft.Device must not be jailbroken or rooted : If you enable this setting, jailbroken devices will be evaluated as noncompliant.
  • Installation von Apps aus unbekannten Quellen muss auf Geräten gesperrt sein (Android 4.0 und höher): Um Geräte zu blockieren, bei denen die Option Sicherheit > Unbekannte Quellen aktiviert ist, aktivieren Sie diese Einstellung, und legen Sie sie auf Ja fest.Require that devices prevent installation of apps from unknown sources (Android 4.0 or later): To block devices that have Security >; Unknown sources enabled on the device, enable this setting and set it to Yes.

WichtigImportant

Das Sideloading von Anwendungen erfordert, dass die Einstellung Unbekannte Quellen aktiviert ist.Side-loading applications require that the Unknown sources setting is enabled. Erzwingen Sie diese Kompatibilitätsrichtlinie nur, wenn Sie kein Sideloading von Android-Apps auf Geräten durchführen.Enforce this compliance policy only if you are not side-loading Android apps on devices.

  • USB-Debuggen muss deaktiviert sein (Android 4.2 und höher): Diese Einstellung gibt an, ob die Option für USB-Debuggen auf dem Gerät aktiviert ist.Require that USB debugging is disabled (Android 4.2 or later): This setting specifies whether to detect the USB debugging option on the device is enabled.
  • Aktivierung von „Gerät auf Sicherheitsbedrohungen überprüfen“ auf Geräten erforderlich (Android 4.2-4.4): Diese Einstellung gibt an, dass die Option Apps überprüfen auf dem Gerät aktiviert ist.Require devices have enabled Scan device for security threats (Android 4.2-4.4): This setting specifies that the Verify apps feature is enabled on the device.
  • Niedrigste zulässige Android-Sicherheitspatchebene (Android 6.0 und höher): Geben Sie mit dieser Einstellung die niedrigste Android-Patchebene an.Minimum Android security patch level (Android 6.0 or later): Use this setting to specify the minimum Android patch level. Geräte, die nicht mindestens diese Patchebene aufweisen, sind nicht kompatibel.Devices that are not at least at this patch level will be noncompliant. Das Datum muss im folgenden Format angegeben werden: JJJJ-MM-TT.The date must be specified in the format YYYY-MM-DD.
  • Schutz vor Gerätebedrohungen muss aktiviert sein: Verwenden Sie diese Einstellung, um die Risikobewertung mit der Lookout MTP-Lösung als Konformitätsvoraussetzung zu fordern.Require device threat protection to be enabled : Use this setting to take the risk assessment from the Lookout MTP solution as a condition for compliance. Wählen Sie aus den folgenden Optionen die maximal zulässige Bedrohungsstufe aus:Choose the maximum allowed threat level, which is one of the following:
    • Keine (geschützt): Dies ist die sicherste Einstellung.None (secured): This is the most secure. Dies bedeutet, dass das Gerät keinerlei Bedrohungen unterliegen darf.This means that the device cannot have any threats. Wenn auf dem Gerät Bedrohungen jeglicher Stufe erkannt werden, wird es als nicht kompatibel bewertet.If the device is detected as having any level of threats, it will be evaluated as noncompliant.
    • Niedrig: Das Gerät wird als konform bewertet, wenn nur Bedrohungen auf niedrigen Stufen vorliegen.Low : The device is evaluated as compliant if only low-level threats are present. Durch Bedrohungen höherer Stufen wird das Gerät in einen nicht kompatiblen Status versetzt.Anything higher puts the device in a noncompliant status.
    • Mittel: Das Gerät wird als konform bewertet, wenn auf dem Gerät Bedrohungen auf niedriger oder mittlerer Stufe gefunden werden.Medium : The device is evaluated as compliant if the threats that are present on the device are low or medium level. Wenn auf dem Gerät Bedrohungen hoher Stufen erkannt werden, wird es als nicht kompatibel bewertet.If the device is detected to have high-level threats, it is determined to be noncompliant.
    • Hoch: Dies ist die unsicherste Einstellung.High : This is the least secure. Sie lässt im Wesentlichen alle Bedrohungsstufen zu.Essentially, this allows all threat levels. Es ist möglicherweise hilfreich, diese Lösung nur zu Meldungszwecken zu verwenden.Perhaps it is useful if you are using this solution only for reporting purposes.

Weitere Informationen finden Sie unter Aktivieren der Regel zum Schutz vor Bedrohungen auf dem Gerät in der Kompatibilitätsrichtlinie.For more details, see Enable device threat protection rule in the compliance policy.

Einstellungen für die SystemsicherheitSystem security settings

KennwortPassword

  • Kennwort zum Entsperren mobiler Geräte erforderlich: Legen Sie für diese Einstellung Ja fest, damit Benutzer ein Kennwort eingeben müssen, um auf ihre Geräte zugreifen zu können.Require a password to unlock mobile devices : Set this to Yes to require users to enter a password before they can access their device.
  • Minimale Kennwortlänge: Geben Sie die Mindestanzahl an Ziffern oder Zeichen an, die das Benutzerkennwort enthalten muss.Minimum password length : Specify the minimum number of digits or characters that the user's password must have.
  • Kennwortstärke: Mit dieser Einstellung wird erkannt, ob die von Ihnen angegebenen Kennwortanforderungen auf dem Gerät eingerichtet wurden.Password quality : This setting detects if the password requirements that you specify are set up on the device. Aktivieren Sie diese Einstellung, um festzulegen, dass Benutzer für Android-Geräte bestimmte Kennwortanforderungen erfüllen müssen.Enable this setting to require that users meet certain password requirements for Android devices. Wählen Sie aus:Choose from:
    • Biometrie auf niedriger SicherheitsstufeLow security biometric
    • ErforderlichRequired
    • Mindestens numerischAt least numeric
    • Mindestens alphabetischAt least alphabetic
    • Mindestens alphanumerischAt least alphanumeric
    • Alphanumerisch mit SymbolenAlphanumeric with symbols
  • Minuten Inaktivität vor erneuter Anforderung des Kennworts: Geben Sie die Leerlaufzeit an, nach der ein Benutzer sein Kennwort erneut eingeben muss.Minutes of inactivity before password is required : Specify the idle time before the user must reenter their password.
  • Kennwortablauf (Tage): Wählen Sie die Anzahl von Tagen aus, bevor das Kennwort abläuft und ein neues erstellt werden muss.Password expiration (days): Select the number of days before the password expires and they must create a new one.
  • Kennwortverlauf speichern: Verwenden Sie diese Einstellung zusammen mit Wiederverwendung vorheriger Kennwörter verhindern, um zu verhindern, dass der Benutzer zuvor bereits verwendete Kennwörter erstellt.Remember password history : Use this setting together with Prevent reuse of previous passwords to restrict the user from creating previously used passwords.
  • Wiederverwendung vorheriger Kennwörter verhindern: Wenn Sie Kennwortverlauf speichern aktiviert haben, geben Sie die Anzahl der zuvor verwendeten Kennwörter ein, die nicht erneut verwendet werden dürfen.Prevent reuse of previous passwords : If you selected Remember password history , specify the number of previously used passwords that cannot be reused.
  • Kennworteingabe verlangen, wenn das Gerät aus dem Leerlauf zurückkehrt: Verwenden Sie diese Einstellung zusammen mit der Einstellung Minuten Inaktivität vor erneuter Anforderung des Kennworts.Require a password when the device returns from an idle state : Use this setting together with the Minutes of inactivity before password is required setting. Der Benutzer wird zur Eingabe eines Kennworts aufgefordert, um auf ein Gerät zugreifen zu können, das für die in der Einstellung Minuten Inaktivität vor erneuter Anforderung des Kennworts angegebene Zeit inaktiv war.The user is prompted to enter a password to access a device that has been inactive for the time specified in the Minutes of inactivity before password is required setting.

VerschlüsselungEncryption

  • Verschlüsselung auf mobilen Geräten erforderlich: Legen Sie diese Einstellung auf Ja fest, damit Geräte verschlüsselt werden müssen, um eine Verbindung mit Ressourcen herzustellen.Require encryption on mobile device : Set this to Yes to require devices to be encrypted in order to connect to resources. Wenn Sie die Einstellung Kennwort zum Entsperren mobiler Geräte erforderlich auswählen, werden Geräte verschlüsselt.Devices are encrypted when you choose the setting Require a password to unlock mobile devices.

Einstellungen für GeräteeigenschaftenDevice property settings

  • Minimal erforderliches Betriebssystem: Wenn ein Gerät die Anforderungen an die erforderliche Mindestversion des Betriebssystems nicht erfüllt, wird es als nicht konform gemeldet.Minimum OS required : When a device does not meet the minimum OS version requirement, it is reported as noncompliant. Ein Link zur Vorgehensweise zum Upgrade wird angezeigt.A link with information on how to upgrade is shown. Der Benutzer kann ein Upgrade des Geräts durchführen und anschließend auf die Unternehmensressourcen zugreifen.The user can choose to upgrade their device, after which they can access company resources.
  • Maximal zulässige Betriebssystemversion: Wenn auf einem Gerät eine neuere Betriebssystemversion verwendet wird, als die Regel erlaubt, wird der Zugriff auf Unternehmensressourcen gesperrt, und der Benutzer wird gebeten, sich an den IT-Administrator zu wenden.Maximum OS version allowed : When a device is using an OS version later than the one specified in the rule, access to company resources is blocked and the user is asked to contact their IT admin. Mit diesem Gerät kann solange nicht auf Unternehmensressourcen zugegriffen werden, bis die Regeln geändert werden und die betreffende Betriebssystemversion zugelassen wird.Until there is a change in rules to allow the OS version, this device cannot be used to access company resources.

Wie werden nicht kompatible Einstellungen im Zusammenhang mit Richtlinien für bedingten Zugriff gehandhabt?How non-compliant settings work with conditional access policies?

In der folgenden Tabelle erfahren Sie, wie nicht kompatible Einstellungen verwaltet werden, wenn eine Kompatibilitätsrichtlinie mit einer Richtlinie für bedingten Zugriff verwendet wird.The table below describes how non-compliant settings are managed when a compliance policy is used with a conditional access policy.


RichtlinieneinstellungPolicy setting Android 4.0 und höher, Samsung KNOX Standard 4.0 und höherAndroid 4.0 and later, Samsung Knox Standard 4.0 and later
PIN- oder KennwortkonfigurationPIN or password configuration IsoliertQuarantined
GeräteverschlüsselungDevice encryption IsoliertQuarantined
Per Jailbreak oder Rootzugriff manipuliertes GerätJailbroken or rooted device Unter Quarantäne gestellt (keine Einstellung)Quarantined (not a setting)
E-Mail-Profilemail profile Nicht verfügbarNot applicable
Minimale Version des BetriebssystemsMinimum OS version IsoliertQuarantined
Maximale Version des BetriebssystemsMaximum OS version IsoliertQuarantined
Windows-IntegritätsnachweisWindows health attestation Nicht verfügbarNot applicable

Wiederhergestellt = Das Betriebssystem des Geräts erzwingt die Kompatibilität.Remediated = The device operating system enforces compliance. (Beispiel: Der Benutzer ist gezwungen, eine PIN festzulegen.)+(For example, the user is forced to set a PIN.)+

Isoliert = Das Betriebssystem des Geräts erzwingt keine Kompatibilität.Quarantined = The device operating system does not enforce compliance. (Beispiel: Android-Geräte zwingen den Benutzer nicht, das Gerät zu verschlüsseln.) Wenn die Geräte nicht konform sind, erfolgen die folgenden Aktionen:+(For example, Android devices do not force the user to encrypt the device.) When the devices is not compliant, the following actions take place:+

  • Das Gerät wird blockiert, wenn eine Richtlinie für bedingten Zugriff für den Benutzer gilt.The device is blocked if a conditional access policy applies to the user.
  • Das Unternehmensportal benachrichtigt den Benutzer über Kompatibilitätsprobleme.The company portal notifies the user about any compliance problems.
Um Feedback zu einem Produkt zu geben, besuchen Sie folgende Seite Intune Feedback