Erstellen einer Gerätekonformitätsrichtlinie für Android for Work-Geräte in IntuneHow to create a device compliance policy for Android for Work devices in Intune

Gilt für: Intune in AzureApplies to: Intune on Azure
Suchen Sie nach der Dokumentation zu Intune in der klassischen Konsole?Looking for documentation about Intune in the classic console? Diese finden Sie hier.Go to here.

Konformitätsrichtlinien werden für jede Plattform erstellt.Compliance policies are created for each platform. Sie können eine Konformitätsrichtlinie im Azure-Portal erstellen.You can create a compliance policy in the Azure portal. Weitere Informationen dazu, was eine Konformitätsrichtlinie ist, finden Sie unter dem Thema Was ist Gerätekonformität.To learn more about what compliance policy is see What is device compliance topic. Weitere Informationen zu den Voraussetzungen für das Erstellen einer Konformitätsrichtlinie finden Sie unter dem Thema Erste Schritte mit der Gerätekonformität.To learn about the prerequisites that you need to address before creating a compliance policy see Get started with device compliance topic.

In der Tabelle unten wird beschrieben, wie nicht konforme Einstellungen verwaltet werden, wenn eine Konformitätsrichtlinie mit einer Richtlinie für bedingten Zugriff verwendet wird.The table below describes how noncompliant settings are managed when a compliance policy is used with a conditional access policy.


Richtlinieneinstellungpolicy setting Android for WorkAndroid for Work
PIN- oder KennwortkonfigurationPIN or password configuration IsoliertQuarantined
GeräteverschlüsselungDevice encryption IsoliertQuarantined
Per Jailbreak oder Rootzugriff manipuliertes GerätJailbroken or rooted device Unter Quarantäne gestellt (keine Einstellung)Quarantined (not a setting)
E-Mail-Profilemail profile Nicht verfügbarNot applicable
Minimale Version des BetriebssystemsMinimum OS version IsoliertQuarantined
Maximale Version des BetriebssystemsMaximum OS version IsoliertQuarantined
Windows-IntegritätsnachweisWindows health attestation Nicht verfügbarNot applicable

Wiederhergestellt = Das Betriebssystem des Geräts erzwingt die Kompatibilität.Remediated = The device operating system enforces compliance. (Beispiel: Der Benutzer ist gezwungen, eine PIN festzulegen.)+(For example, the user is forced to set a PIN.)+

Isoliert = Das Betriebssystem des Geräts erzwingt keine Kompatibilität.Quarantined = The device operating system does not enforce compliance. (Beispiel: Android-Geräte zwingen den Benutzer nicht, das Gerät zu verschlüsseln.) Wenn die Geräte nicht kompatibel sind, erfolgen die folgenden Aktionen:(For example, Android devices do not force the user to encrypt the device.) When the devices is not compliant, the following actions take place:

  • Das Gerät wird blockiert, wenn eine Richtlinie für bedingten Zugriff für den Benutzer gilt.The device is blocked if a conditional access policy applies to the user.
  • Das Unternehmensportal benachrichtigt den Benutzer über Kompatibilitätsprobleme.The company portal notifies the user about any compliance problems.

Erstellen einer Konformitätsrichtlinie im Azure-PortalCreate a compliance policy in the Azure portal

  1. Wählen Sie auf dem Blatt Intune die Option Gerätekompatibilität festlegen aus.From the Intune blade, choose Set Device compliance. Wählen Sie unter Verwalten die Option Alle Gerätekonformitätsrichtlinien und dann Erstellen aus.Under Manage, choose All device compliance policies and choose Create.
  2. Geben Sie einen Namen und eine Beschreibung ein, und wählen Sie die Plattform aus, auf die Sie diese Richtlinie anwenden möchten.Type a name, description and choose the platform that you want this policy to apply to.
  3. Wählen Kompatibilitätsanforderungen aus, um hier die Einstellungen Sicherheit, Geräteintegrität und Geräteeigenschaft anzugeben. Wählen Sie abschließend OK aus.Choose Compliance requirements to specify the Security, Device health, and Device property settings here, When you are done, choose Ok.

Zuweisen von BenutzergruppenAssign user groups

Wählen Sie zum Zuweisen einer Konformitätsrichtlinie zu Benutzern eine Richtlinie aus, die Sie konfiguriert haben.To assign a compliance policy to users, choose a policy that you have configured. Vorhandene Richtlinien finden Sie auf dem Blatt Kompatibilitätsrichtlinien.Existing policies can be found in the Compliance –policy blade.

  1. Wählen Sie die Richtlinie, die Sie Benutzern zuweisen möchten, und abschließend Zuweisungen aus.Choose the policy you want to assign to users and choose Assignments. Damit öffnen Sie das Blatt, auf dem Sie Azure Active Directory-Sicherheitsgruppen auswählen und der Richtlinie zuweisen können.This opens the blade where you can select Azure Active Directory security groups and assign them to the policy.
  2. Wählen Sie Gruppen auswählen aus, um das Blatt mit den Azure AD-Sicherheitsgruppen zu öffnen.Choose Select groups to open the blade that displays the Azure AD security groups. Die Auswahl von Auswählen bewirkt die Bereitstellung der Richtlinie für Benutzer.Choosing Select deploys the policy to users.

Sie haben die Richtlinie auf Benutzer angewendet.You have applied the policy to users. Die von den Benutzern, denen die Richtlinie zugewiesen wurde, verwendeten Geräte werden auf Konformität überprüft.The devices used by the users who are targeted by the policy will be evaluated for compliance.

Einstellungen für die SystemsicherheitSystem security settings

KennwortPassword

  • Kennwort zum Entsperren mobiler Geräte erforderlich: Legen Sie für diese Einstellung Ja fest, damit Benutzer ein Kennwort eingeben müssen, um auf ihre Geräte zugreifen zu können.Require a password to unlock mobile devices: Set this to Yes to require users to enter a password before they can access their device.
  • Minimale Kennwortlänge: Geben Sie die Mindestanzahl an Ziffern oder Zeichen an, die das Kennwort enthalten muss.Minimum password length: Specify the minimum number of digits or characters that the password must contain.
  • Kennwortstärke: Mit dieser Einstellung wird erkannt, ob die angegebenen Kennwortanforderungen auf dem Gerät konfiguriert wurden.Password quality: This setting detects if the password requirements you specify is configured on the device. Aktivieren Sie diese Einstellung, um festzulegen, dass Benutzer für Android-Geräte bestimmte Kennwortanforderungen konfigurieren müssen.Enable this setting to require that users configure certain password requirements for Android devices. Wählen Sie aus:Choose from:
    • Biometrie auf niedriger SicherheitsstufeLow security biometric
    • ErforderlichRequired
    • Mindestens numerischAt least numeric
    • Mindestens alphabetischAt least alphabetic
    • Mindestens alphanumerischAt least alphanumeric
    • Alphanumerisch mit SymbolenAlphanumeric with symbols
  • Minuten der Inaktivität, bevor ein Kennwort erforderlich ist: Gibt die Leerlaufzeit an, nach der ein Benutzer sein Kennwort erneut eingeben muss.Minutes of inactivity before password is required: Specifies the idle time before the user must re-enter their password.
  • Kennwortablauf (Tage): Wählen Sie die Anzahl von Tagen aus, bevor das Kennwort des Benutzers abläuft und er ein neues erstellen muss.Password expiration (days): Select the number of days before the user's password expires and they must create a new one.
  • Kennwortverlauf speichern: Verwenden Sie diese Einstellung in Verbindung mit Wiederverwendung vorheriger Kennwörter verhindern, um zu verhindern, dass der Benutzer zuvor bereits verwendete Kennwörter erstellt.Remember password history: Use this setting in conjunction with Prevent reuse of previous passwords to restrict the user from creating previously used passwords.
  • Wiederverwendung vorheriger Kennwörter verhindern: Wenn Kennwortverlauf speichern aktiviert ist, geben Sie die Anzahl der zuvor verwendeten Kennwörter ein, die nicht erneut verwendet werden dürfen.Prevent reuse of previous passwords: If Remember password history is selected, specify the number of previously used passwords that cannot be re-used.
  • Kennworteingabe verlangen, wenn das Gerät aus dem Leerlauf zurückkehrt: Diese Einstellung sollte zusammen mit der Einstellung Minuten Inaktivität vor erneuter Anforderung des Kennworts verwendet werden.Require a password when the device returns from an idle state: This setting should be used together with the in the Minutes of inactivity before password is required setting. Die Endbenutzer werden zur Eingabe eines Kennworts aufgefordert, um auf ein Gerät zugreifen zu können, das für die in der Einstellung Minuten Inaktivität vor erneuter Anforderung des Kennworts angegebene Zeit inaktiv war.The end-users are prompted to enter a password to access a device that has been inactive for the time specified in the Minutes of inactivity before password is required setting.

VerschlüsselungEncryption

  • Verschlüsselung auf mobilen Geräten erforderlich: Diese Einstellung muss nicht konfiguriert werden, da Android for Work-Geräte eine Verschlüsselung erzwingen.Require encryption on mobile device: You don't have to configure this setting since Android for Work devices enforce encryption.

Einstellungen für Geräteintegrität und SicherheitDevice health and security settings

  • Gerät darf nicht gehackt und kein Quellgerät sein: Wenn Sie diese Einstellung aktivieren, werden gehackte Geräte als nicht kompatibel eingestuft.Device must not be jailbroken or rooted: If you enable this setting, jailbroken devices will be evaluated as noncompliant.
  • Installation von Apps aus unbekannten Quellen muss auf Geräten gesperrt sein: Diese Einstellung muss nicht konfiguriert werden, da Android for Work-Geräte die Installation von unbekannten Quellen immer einschränken.Require that devices prevent installation of apps from unknown sources: You do not have to configure this setting as Android for Work devices always restrict installation from unknown sources. ..
  • USB-Debuggen muss deaktiviert sein: Diese Einstellung muss nicht konfiguriert werden, da USB-Debuggen auf Android for Work-Geräten bereits deaktiviert ist.Require that USB debugging is disabled : You do not have to configure this settings as USB debugging is already disabled on Android for Work devices.
  • Niedrigste zulässige Android-Sicherheitspatchebene: Verwenden Sie diese Einstellung, um eine niedrigste zulässige Android-Patchebene festzulegen.Minimum Android security patch level: Use this setting to specify the minimum Android patch level. Geräte, die nicht mindestens diese Patchebene aufweisen, sind nicht kompatibel.Devices that are not at least at this patch level will be noncompliant. Das Datum muss im folgenden Format angegeben werden: JJJJ-MM-TT.The date must be specified the format: YYYY-MM-DD.
  • Schutz vor Gerätebedrohungen muss aktiviert sein: Verwenden Sie diese Einstellung, um die Risikobewertung mit der Lookout MTP-Lösung als Konformitätsvoraussetzung zu fordern.Require device threat protection to be enabled : Use this setting to take the risk assessment from the Lookout MTP solution as a condition for compliance. Wählen Sie aus den folgenden Optionen die maximal zulässige Bedrohungsstufe aus:Select the maximum allowed threat level, which is one of the following:
    • Keine (geschützt): Dies ist die sicherste Einstellung.None (secured) This is the most secure. Dies bedeutet, dass das Gerät keinerlei Bedrohungen unterliegen darf.This means that the device cannot have any threats. Wenn auf dem Gerät Bedrohungen jeglicher Stufe erkannt werden, wird es als nicht kompatibel bewertet.If the device is detected as having any level of threats, it will be evaluated as non-compliant.
    • Niedrig: Das Gerät wird als kompatibel bewertet, wenn nur Bedrohungen niedriger Stufen vorliegen.Low: Device is evaluated as compliant if only low level threats are present. Durch Bedrohungen höherer Stufen wird das Gerät in einen nicht kompatiblen Status versetzt.Anything higher puts the device in a non-compliant status.
    • Mittel: Das Gerät wird als kompatibel bewertet, wenn die auf dem Gerät gefundenen Bedrohungen niedriger oder mittlerer Stufe sind.Medium: Device is evaluated as compliant if the threats that are present on the device are low or medium level. Wenn auf dem Gerät Bedrohungen hoher Stufen erkannt werden, wird es als nicht kompatibel bewertet.If the device is detected to have high level threats, it is determined as non-compliant.
    • Hoch: Dies ist die unsicherste Einstellung.High: This is the least secure. Mit dieser Einstellung werden grundsätzlich alle Bedrohungsstufen zugelassen. Sie ist daher wahrscheinlich nur für Berichtszwecke sinnvoll.Essentially, this allows all threat levels, and perhaps only useful if you using this solution only for reporting purposes.

Weitere Informationen finden Sie unter Aktivieren der Regel zum Schutz vor Bedrohungen auf dem Gerät in der Kompatibilitätsrichtlinie.For more details, see Enable device threat protection rule in the compliance policy.

Einstellungen für GeräteeigenschaftenDevice property settings

  • Minimal erforderliches Betriebssystem: Wenn ein Gerät die Anforderungen für die minimal erforderliche Betriebssystemversion nicht erfüllt, wird es als nicht kompatibel gemeldet.Minimum OS required: When a device does not meet the minimum OS version requirement, it is reported as noncompliant. Ein Link zur Vorgehensweise zum Upgrade wird angezeigt.A link with information on how to upgrade is displayed. Die Endbenutzer können ein Upgrade des Geräts durchführen und anschließend auf die Unternehmensressourcen zugreifen.The end-user can choose to upgrade their device after which they can access company resources.
  • Maximal zulässige Betriebssystemversion: Wenn auf einem Gerät eine neuere Betriebssystemversion verwendet wird, als die Regel erlaubt, wird der Zugriff auf Unternehmensressourcen gesperrt, und der Benutzer wird gebeten, sich an den IT-Administrator zu wenden.Maximum OS version allowed: When a device is using an OS version later than the one specified in the rule, access to company resources is blocked and the user is asked to contact their IT admin. Mit diesem Gerät kann solange nicht auf Unternehmensressourcen zugegriffen werden, bis die Regel geändert und die betreffende Betriebssystemversion zugelassen wird.Until there is a change in rule to allow the OS version, this device cannot be used to access company resources.
Um Feedback zu einem Produkt zu geben, besuchen Sie folgende Seite Intune Feedback