Hinzufügen einer Gerätekonformitätsrichtlinie für Android-Geräte in IntuneAdd a device compliance policy for Android devices in Intune

Eine Intune-Konformitätsrichtlinie für Android-Geräte gibt die Regeln und Einstellungen an, die Android-Geräte erfüllen müssen, um als konform angesehen zu werden.An Intune device compliance policy for Android specifies the rules and settings that Android devices must meet to be considered compliant. Sie können diese Richtlinien mit bedingtem Zugriff verwenden, um den Zugriff auf Unternehmensressourcen zuzulassen oder zu blockieren.You can use these policies with conditional access to allow or block access to company resources. Außerdem können Sie Geräteberichte abrufen und bei Nichtkonformität Aktionen durchführen.You can also get device reports and take actions for non-compliance. Erstellen Sie Gerätekonformitätsrichtlinien für jede Plattform im Intune Azure-Portal.You create device compliance policies for each platform in the Intune Azure portal. Weitere Informationen über Konformitätsrichtlinien und alle Voraussetzungen finden Sie unter Erste Schritte bei der Gerätekonformität.To learn more about compliance policies, and any prerequisites, see Get started with device compliance.

In der folgenden Tabelle wird beschrieben, wie nicht konforme Einstellungen verwaltet werden, wenn eine Konformitätsrichtlinie mit einer Richtlinie für bedingten Zugriff verwendet wird.The following table describes how noncompliant settings are managed when a compliance policy is used with a conditional access policy.


RichtlinieneinstellungPolicy setting Android 4.0 und höher, Samsung KNOX Standard 4.0 und höherAndroid 4.0 and later, Samsung Knox Standard 4.0 and later
PIN- oder KennwortkonfigurationPIN or password configuration IsoliertQuarantined
GeräteverschlüsselungDevice encryption IsoliertQuarantined
Per Jailbreak oder Rootzugriff manipuliertes GerätJailbroken or rooted device Unter Quarantäne gestellt (keine Einstellung)Quarantined (not a setting)
E-Mail-Profilemail profile Nicht verfügbarNot applicable
Minimale Version des BetriebssystemsMinimum OS version IsoliertQuarantined
Maximale Version des BetriebssystemsMaximum OS version IsoliertQuarantined
Windows-IntegritätsnachweisWindows health attestation Nicht verfügbarNot applicable

Wiederhergestellt = Das Betriebssystem des Geräts erzwingt die Kompatibilität.Remediated = The device operating system enforces compliance. (Beispiel: Der Benutzer ist gezwungen, eine PIN festzulegen.)(For example, the user is forced to set a PIN.)

Isoliert = Das Betriebssystem des Geräts erzwingt keine Kompatibilität.Quarantined = The device operating system does not enforce compliance. (Beispiel: Android-Geräte zwingen den Benutzer nicht, das Gerät zu verschlüsseln.) Wenn das Gerät nicht kompatibel ist, erfolgen die folgenden Aktionen:(For example, Android devices do not force the user to encrypt the device.) When the device is not compliant, the following actions take place:

  • Das Gerät wird blockiert, wenn eine Richtlinie für bedingten Zugriff für den Benutzer gilt.The device is blocked if a conditional access policy applies to the user.
  • Das Unternehmensportal benachrichtigt den Benutzer über Kompatibilitätsprobleme.The company portal notifies the user about any compliance problems.

Erstellen einer GerätekonformitätsrichtlinieCreate a device compliance policy

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.
  2. Klicken Sie auf Alle Dienste, filtern Sie nach Intune, und klicken Sie dann auf Microsoft Intune.Select All services, filter on Intune, and select Microsoft Intune.
  3. Klicken Sie auf Gerätekonformität > Richtlinien > Richtlinie erstellen.Select Device compliance > Policies > Create Policy.
  4. Geben Sie einen Namen und eine Beschreibung ein.Enter a Name and Description.
  1. Wählen Sie als Plattform die Option Android aus.For Platform, select Android. Wählen Sie Einstellungen konfigurieren, um die Einstellungen zu Geräteintegrität, Geräteeigenschaften und Systemsicherheit anzugeben.Choose Settings Configure, and enter the Device Health, Device Properties, and System Security settings. Wenn Sie fertig sind, wählen Sie OK und dann Erstellen.When done, select OK, and Create.

Device healthDevice health

  • Geräte mit entfernten Nutzungsbeschränkungen: Wenn Sie diese Einstellung aktivieren, werden Geräte mit Jailbreak als nicht konform bewertet.Rooted devices: If you enable this setting, jailbroken devices are evaluated as noncompliant.

  • Anfordern, dass das Gerät höchstens der angegebenen Gerätebedrohungsstufe entspricht: Verwenden Sie diese Einstellung, um die Risikobewertung mit der Lookout MTP-Lösung als Konformitätsvoraussetzung zu fordern.Require the device to be at or under the Device Threat Level: Use this setting to take the risk assessment from the Lookout MTP solution as a condition for compliance. Wählen Sie die maximal zulässige Bedrohungsstufe:Choose the maximum allowed threat level:

    • Gesichert: Diese Option ist die sicherste, da auf dem Gerät keine Bedrohungen vorhanden sein können.Secured: This option is the most secure, as the device can't have any threats. Wenn auf dem Gerät Bedrohungen jeglicher Stufen erkannt werden, wird es als nicht konform bewertet.If the device is detected as having any level of threats, it is evaluated as noncompliant.
    • Niedrig: Das Gerät wird als kompatibel bewertet, wenn nur Bedrohungen niedriger Stufen vorliegen.Low: The device is evaluated as compliant if only low-level threats are present. Durch Bedrohungen höherer Stufen wird das Gerät in einen nicht kompatiblen Status versetzt.Anything higher puts the device in a noncompliant status.
    • Mittel: Das Gerät wird als kompatibel bewertet, wenn die auf dem Gerät vorhandenen Bedrohungen niedriger oder mittlerer Stufe sind.Medium: The device is evaluated as compliant if existing threats on the device are low or medium level. Wenn auf dem Gerät Bedrohungen hoher Stufen erkannt werden, wird es als nicht kompatibel bewertet.If the device is detected to have high-level threats, it is determined to be noncompliant.
    • Hoch: Dies ist die am wenigsten sichere Option, die alle Bedrohungsebenen zulässt.High: This option is the least secure, and allows all threat levels. Es ist möglicherweise hilfreich, diese Lösung nur zu Berichtszwecken zu verwenden.It may be useful if you're using this solution only for reporting purposes.
  • Google Play Services ist konfiguriert: Erfordert, dass die Google Play Services-App installiert und aktiviert ist.Google Play Services is configured: Require that the Google Play services app is installed and enabled. Google Play Services ermöglicht Sicherheitsupdates und stellt eine grundlegende Abhängigkeit für viele Sicherheitsfunktionen auf zertifizierten Google-Geräten dar.Google Play services allows security updates, and is a base-level dependency for many security features on certified-Google devices.

  • Aktueller Sicherheitsanbieter: Erfordert, dass ein aktueller Sicherheitsanbieter ein Gerät vor bekannten Sicherheitslücken schützen kann.Up-to-date security provider: Require that an up-to-date security provider can protect a device from known vulnerabilities.

  • Bedrohungsüberprüfung für Apps: Erfordert, dass die Android-Funktion Apps überprüfen aktiviert wird.Threat scan on apps: Require that the Android Verify Apps feature is enabled.

    Hinweis

    Auf der älteren Android-Plattform ist diese Funktion eine Konformitätseinstellung.On the legacy Android platform, this feature is a compliance setting. Intune kann nur prüfen, ob diese Einstellung auf Geräteebene aktiviert ist.Intune can only check whether this setting is enabled at the device level. Auf Geräten mit Android-Arbeitsprofilen ist diese Einstellung als Konfigurationsrichtlinieneinstellung zu finden.On devices with Android work profiles, this setting can be found as a configuration policy setting. Dies ermöglicht Administratoren, die Einstellung für ein Gerät zu aktivieren.This allows administrators to enable the setting for a device.

    Wenn Ihr Unternehmen Android-Arbeitsprofile verwendet, können Sie Bedrohungsüberprüfung für Apps für Ihre registrierten Geräte aktivieren.If your enterprise uses Android work profiles, you can enable Threat scan on apps for your enrolled devices. Richten Sie ein Geräteprofil ein, und fordern Sie die Systemsicherheitseinstellung an.Establish a device profile and require the system security setting. Weitere Informationen finden Sie unter Einstellungen für Geräteeinschränkungen für Android-Arbeitsprofilgeräte in Intune.For more information, see Android work profile device restriction settings in Intune.

  • SafetyNet-Gerätenachweis: Legen Sie die Integritätsstufe des SafetyNet-Nachweises fest, die eingehalten werden muss.SafetyNet device attestation: Enter the level of SafetyNet attestation that must be met. Folgende Optionen sind verfügbar:Your options:

    • Nicht konfiguriertNot configured
    • Grundlegende Integrität prüfenCheck basic integrity
    • Grundlegende Integrität und zertifizierte Geräte prüfenCheck basic integrity & certified devices

Einstellungen für GeräteeigenschaftenDevice property settings

  • Minimale Betriebssystemversion: Wenn ein Gerät die Anforderungen an die erforderliche Mindestversion des Betriebssystems nicht erfüllt, wird es als nicht konform gemeldet.Minimum OS version: When a device doesn't meet the minimum OS version requirement, it's reported as noncompliant. Ein Link mit Informationen zum Durchführen von Upgrades wird gezeigt.A link with information about how to upgrade is shown. Der Endbenutzer kann ein Upgrade seines Geräts durchführen, und anschließend auf die Unternehmensressourcen zugreifen.The end user can choose to upgrade their device, and then get access to company resources.
  • Maximale Version des Betriebssystems: Wenn auf einem Gerät eine neuere Betriebssystemversion verwendet wird, als die Regel erlaubt, wird der Zugriff auf Unternehmensressourcen gesperrt.Maximum OS version: When a device is using an OS version later than the version specified in the rule, access to company resources is blocked. Der Benutzer wird dazu aufgefordert, sich an den zuständigen IT-Administrator zu wenden. Mit diesem Gerät kann solange nicht auf Unternehmensressourcen zugegriffen werden, bis die Regel geändert und die betreffende Betriebssystemversion zugelassen wird.The user is asked to contact their IT admin. Until there is a rule change to allow the OS version, this device can't access company resources.

Einstellungen für die SystemsicherheitSystem security settings

KennwortPassword

  • Kennwort zum Entsperren mobiler Geräte anfordern: Klicken Sie auf Erforderlich, damit Benutzer ein Kennwort eingeben müssen, um auf ihre Geräte zugreifen zu können.Require a password to unlock mobile devices: Require users to enter a password before they can access their device.
  • Minimale Kennwortlänge: Geben Sie die Mindestanzahl an Ziffern oder Zeichen an, die das Benutzerkennwort enthalten muss.Minimum password length: Enter the minimum number of digits or characters that the user's password must have.
  • Erforderlicher Kennworttyp: Wählen Sie, ob ein Kennwort nur aus numerischen Zeichen oder aus einer Kombination aus Zahlen und anderen Zeichen bestehen soll.Required password type: Select whether a password should have only numeric characters, or there should be a mix of numbers and other characters. Es stehen die folgenden Optionen zur Auswahl:Choose from:
    • GerätestandardDevice Default
    • Biometrie auf niedriger SicherheitsstufeLow security biometric
    • Mindestens numerischAt least numeric
    • Numerisch komplex: Sich wiederholende oder fortlaufende Ziffern wie „1111“ oder „1234“ sind nicht zulässig.Numeric complex: Repeated or consecutive numerals (such as "1111" or "1234") are not allowed.
    • Mindestens alphabetischAt least alphabetic
    • Mindestens alphanumerischAt least alphanumeric
    • Mindestens alphanumerisch mit SymbolenAt least alphanumeric with symbols
  • Maximale Anzahl von Minuten der Inaktivität vor erneuter Anforderung des Kennworts: Geben Sie die Leerlaufzeit an, nach der ein Benutzer sein Kennwort erneut eingeben muss.Maximum minutes of inactivity before password is required: Enter the idle time before the user must reenter their password.
  • Kennwortablauf (Tage): Wählen Sie die Anzahl von Tagen aus, bevor das Kennwort des Benutzers abläuft und ein neues erstellen werden muss.Password expiration (days): Select the number of days before the password expires and the user must create a new password.
  • Anzahl der vorherigen Kennwörter zur Verhinderung von Wiederverwendung: Geben Sie die Anzahl von zuletzt genutzten Kennwörtern an, die nicht erneut verwendet werden dürfen.Number of previous passwords to prevent reuse: Enter the number of recent passwords that can't be reused. Verwenden Sie diese Einstellung, um zu verhindern, dass der Benutzer zuvor verwendete Kennwörter erstellt.Use this setting to restrict the user from creating previously used passwords.

VerschlüsselungEncryption

  • Verschlüsselung des Datenspeichers auf einem Gerät: (Android 4.0 und höher, oder KNOX 4.0 und höher): Wählen Sie Erforderlich, um den Datenspeicher auf Ihren Geräten zu verschlüsseln.Encryption of data storage on a device (Android 4.0 and above, or KNOX 4.0 and above): Choose Require to encrypt data storage on your devices. Wenn Sie die Einstellung Kennwort zum Entsperren mobiler Geräte anfordern auswählen, werden Geräte verschlüsselt.Devices are encrypted when you choose the Require a password to unlock mobile devices setting.

GerätesicherheitDevice Security

  • Apps von unbekannten Quellen blockieren: Wählen Sie diese Option, um Geräte mit Quellen zu blockieren, für die „Sicherheit > Unbekannte Quellen“ aktiviert ist (Android 4.0 - Android 7.x.Block apps from unknown sources: Choose to block devices with "Security > Unknown Sources" enabled sources (Android 4.0 – Android 7.x. Nicht von Android 8.0 und höher unterstützt).Not supported by Android 8.0 and later). Für das Sideloading von Apps müssen unbekannte Quellen zugelassen werden.To side-load apps, unknown sources must be allowed. Wenn Sie kein Sideloading von Android-Apps durchführen, aktivieren Sie diese Konformitätsrichtlinie.If you're not side-loading Android apps, then enable this compliance policy.

    Wichtig

    Das Sideloading von Anwendungen erfordert, dass die Einstellung Apps von unbekannten Quellen blockieren aktiviert ist.Side-loading applications require that the Block apps from unknown sources setting is enabled. Erzwingen Sie diese Kompatibilitätsrichtlinie nur, wenn Sie kein Sideloading von Android-Apps auf Geräten durchführen.Enforce this compliance policy only if you are not side-loading Android apps on devices.

  • Laufzeitintegrität der Unternehmensportal-App: Überprüft, ob die Unternehmensportal-App die Standard-Laufzeitumgebung installiert hat, ordnungsgemäß signiert ist, sich nicht im Debug-Modus befindet und von einer bekannten Quelle installiert wurde.Company portal app runtime integrity: Checks if the Company Portal app has the default runtime environment installed, is properly signed, is not in debug-mode, and is installed from a known source.

  • USB-Debugging auf Gerät blockieren (Android 4.2 oder höher): Wählen Sie diese Option, um zu verhindern, dass Geräte die USB-Debuggingfunktion verwenden.Block USB debugging on device (Android 4.2 or later): Choose to prevent deviceS from using the USB debugging feature.

  • Mindestens erforderliche Sicherheitspatchebene (Android 6.0 oder höher): Wählen Sie die älteste Sicherheitspatchebene, die ein Gerät haben kann.Minimum security patch level (Android 6.0 or later): Select the oldest security patch level a device can have. Geräte, die nicht mindestens diese Patchebene aufweisen, sind nicht kompatibel.Devices that are not at least at this patch level are noncompliant. Das Datum muss im Format „YYYY-MM-DD“ eingegeben werden.The date must be entered in the YYYY-MM-DD format.

PfadeLocations

Sie können in Ihrer Richtlinie vorhandene Standorte auswählen.In your policy, choose from existing locations. Haben Sie noch keine Standorte?Don't have a location yet? Unter Use Locations (network fence) in Intune (Verwenden von Standorten in Intune) erhalten Sie weitere Informationen.Use Locations (network fence) in Intune provides some guidance.

  1. Klicken Sie auf Select locations (Standorte auswählen).Choose Select locations.
  2. Wählen Sie aus Ihrer Liste Ihren Standort aus, und klicken Sie auf Select (Auswählen).From the list, check your location, and choose Select.
  3. Speichern Sie die Richtlinie.Save the policy.
  4. Klicken Sie auf Actions for noncompliance (Aktionen bei Nichtkonformität).Select Actions for noncompliance. Die Standardaktion markiert das Gerät umgehend als nicht konform.The default action marks the device as noncompliant immediately. Diese Aktion wird ausgeführt, wenn Sie mindestens einen Standort auswählen und wenn das Gerät nicht mit dem ausgewählten Standort verbunden ist.This action applies when you select at least one location, and if the device isn't connected to the selected locations.

Sie können diese Aktion anpassen, sodass der Zeitplan aktualisiert wird, wenn das Gerät als nicht konform markiert wird, z.B. nach einem Tag.You can change this action to update the schedule when the device is marked non-compliant, such as after one day. Sie können auch eine zweite Aktion konfigurieren, durch die E-Mails an Benutzer gesendet werden, wenn das Gerät nicht mehr mit dem Standort konform ist.You can also configure a second action that sends an email to the user when the device is no longer compliant with your locations.

Zuweisen von BenutzergruppenAssign user groups

  1. Wählen Sie eine Richtlinie, die Sie konfiguriert haben.Choose a policy that you've configured. Vorhandene Richtlinien befinden sich unter Gerätekompatibilität > Richtlinien.Existing policies are in Device compliance > Policies.
  2. Wählen Sie die Richtlinie und dann Zuweisungen aus.Choose the policy, and choose Assignments. Sie können Azure Active Directory (AD)-Sicherheitsgruppen ein- oder ausschließen.You can include or exclude Azure Active Directory (AD) security groups.
  3. Wählen Sie Ausgewählte Gruppen, um Ihre Azure AD-Sicherheitsgruppen anzuzeigen.Choose Selected groups to see your Azure AD security groups. Wählen Sie die Benutzergruppen aus, auf die diese Richtlinie angewendet werden soll, und dann wählen Sie Speichern, um die Richtlinie für die Benutzer bereitzustellen.Select the user groups you want this policy to apply, and choose Save to deploy the policy to users.

Sie haben die Richtlinie auf Benutzer angewendet.You have applied the policy to users. Die von den Benutzern verwendeten Geräte, denen die Richtlinie zugewiesen wurde, werden auf Konformität überprüft.The devices used by the users who are targeted by the policy are evaluated for compliance.

Nächste SchritteNext steps

Automatisieren von E-Mails und Hinzufügen von Aktionen für nicht konforme GeräteAutomate email and add actions for noncompliant devices
Überwachen von Intune-Richtlinien zur GerätekompatibilitätMonitor Intune Device compliance policies