Hinzufügen einer Gerätekonformitätsrichtlinie für Android-Arbeitsprofilgeräte in IntuneAdd a device compliance policy for Android work profile devices in Intune

Eine Intune-Konformitätsrichtlinie für Android-Arbeitsprofilgeräte gibt die Regeln und Einstellungen an, die diese Geräte erfüllen müssen, um als konform angesehen zu werden.An Intune device compliance policy for Android work profile devices specifies the rules and settings that these devices must meet to be considered compliant. Sie können diese Richtlinien mit bedingtem Zugriff verwenden, um den Zugriff auf Unternehmensressourcen zuzulassen oder zu blockieren.You can use these policies with conditional access to allow or block access to company resources. Außerdem können Sie Geräteberichte abrufen und bei Nichtkonformität Aktionen durchführen.You can also get device reports, and take actions for non-compliance. Erstellen Sie Gerätekonformitätsrichtlinien für unterschiedliche Plattformen im Intune Azure-Portal.You create device compliance policies for different platforms in the Intune Azure portal. Weitere Informationen über Konformitätsrichtlinien und alle Voraussetzungen finden Sie unter Erste Schritte bei der Gerätekonformität.To learn more about compliance policies, and any prerequisites, see get started with device compliance.

In der folgenden Tabelle wird beschrieben, wie nicht konforme Einstellungen verwaltet werden, wenn eine Konformitätsrichtlinie mit einer Richtlinie für bedingten Zugriff verwendet wird.The following table describes how noncompliant settings are managed when a compliance policy is used with a conditional access policy.


Richtlinieneinstellungpolicy setting Android-ArbeitsprofilAndroid work profile
PIN- oder KennwortkonfigurationPIN or password configuration IsoliertQuarantined
GeräteverschlüsselungDevice encryption IsoliertQuarantined
Per Jailbreak oder Rootzugriff manipuliertes GerätJailbroken or rooted device Unter Quarantäne gestellt (keine Einstellung)Quarantined (not a setting)
E-Mail-Profilemail profile Nicht verfügbarNot applicable
Minimale Version des BetriebssystemsMinimum OS version IsoliertQuarantined
Maximale Version des BetriebssystemsMaximum OS version IsoliertQuarantined
Windows-IntegritätsnachweisWindows health attestation Nicht verfügbarNot applicable

Wiederhergestellt = Das Betriebssystem des Geräts erzwingt die Kompatibilität.Remediated = The device operating system enforces compliance. (Beispiel: Der Benutzer ist gezwungen, eine PIN festzulegen.)+(For example, the user is forced to set a PIN.)+

Isoliert = Das Betriebssystem des Geräts erzwingt keine Kompatibilität.Quarantined = The device operating system does not enforce compliance. (Beispiel: Android-Geräte zwingen den Benutzer nicht, das Gerät zu verschlüsseln.) Wenn das Gerät nicht kompatibel ist, erfolgen die folgenden Aktionen:(For example, Android devices do not force the user to encrypt the device.) When the device is not compliant, the following actions take place:

  • Wenn eine Richtlinie für bedingten Zugriff für den Benutzer gilt, wird das Gerät blockiert.If a conditional access policy applies to the user, the device is blocked.
  • Das Unternehmensportal benachrichtigt den Benutzer über Kompatibilitätsprobleme.The company portal notifies the user about any compliance problems.

Erstellen einer GerätekonformitätsrichtlinieCreate a device compliance policy

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.
  2. Klicken Sie auf Alle Dienste, filtern Sie nach Intune, und klicken Sie dann auf Microsoft Intune.Select All services, filter on Intune, and select Microsoft Intune.
  3. Klicken Sie auf Gerätekonformität > Richtlinien > Richtlinie erstellen.Select Device compliance > Policies > Create Policy.
  4. Geben Sie einen Namen und eine Beschreibung ein.Enter a Name and Description.
  1. Wählen Sie Android Enterprise als Plattform aus.For Platform, select Android enterprise. Wählen Sie Einstellungen konfigurieren, um die Einstellungen zu Geräteintegrität, Geräteeigenschaften und Systemsicherheit anzugeben.Choose Settings Configure, and enter the Device Health, Device Properties, and System Security settings. Wenn Sie fertig sind, wählen Sie OK und dann Erstellen.When done, select OK, and Create.

GeräteintegritätDevice health

  • Geräte mit entfernten Nutzungsbeschränkungen: Wenn Sie diese Einstellung aktivieren, werden Geräte mit Jailbreak als nicht konform bewertet.Rooted devices: If you enable this setting, jailbroken devices are evaluated as noncompliant.
  • Anfordern, dass das Gerät höchstens der angegebenen Gerätebedrohungsstufe entspricht: Verwenden Sie diese Einstellung, um die Risikobewertung mit der Lookout MTP-Lösung als Konformitätsvoraussetzung zu fordern.Require the device to be at or under the Device Threat Level: Use this setting to take the risk assessment from the Lookout MTP solution as a condition for compliance. Wählen Sie die maximal zulässige Bedrohungsstufe:Choose the maximum allowed threat level:
    • Gesichert: Diese Option ist die sicherste und bedeutet, dass auf dem Gerät keine Bedrohungen vorhanden sein können.Secured: This option is the most secure, and means that the device cannot have any threats. Wenn auf dem Gerät Bedrohungen jeglicher Stufen erkannt werden, wird es als nicht konform bewertet.If the device is detected as having any level of threats, it is evaluated as noncompliant.
    • Niedrig: Das Gerät wird als kompatibel bewertet, wenn nur Bedrohungen niedriger Stufen vorliegen.Low: The device is evaluated as compliant if only low-level threats are present. Durch Bedrohungen höherer Stufen wird das Gerät in einen nicht kompatiblen Status versetzt.Anything higher puts the device in a noncompliant status.
    • Mittel: Das Gerät wird als kompatibel bewertet, wenn die auf dem Gerät gefundenen Bedrohungen niedriger oder mittlerer Stufe sind.Medium: The device is evaluated as compliant if the threats that are present on the device are low or medium level. Wenn auf dem Gerät Bedrohungen hoher Stufen erkannt werden, wird es als nicht kompatibel bewertet.If the device is detected to have high-level threats, it is determined to be noncompliant.
    • Hoch: Dies ist die am wenigsten sichere Option, die alle Bedrohungsebenen zulässt.High: This option is the least secure, as it allows all threat levels. Es ist möglicherweise hilfreich, diese Lösung nur zu Berichtszwecken zu verwenden.It may be useful if you're using this solution only for reporting purposes.
  • Google Play Services ist konfiguriert: Erfordert, dass die Google Play Services-App installiert und aktiviert ist.Google Play Services is configured: Require that the Google Play services app is installed and enabled. Google Play Services ermöglicht Sicherheitsupdates und stellt eine grundlegende Abhängigkeit für viele Sicherheitsfunktionen auf zertifizierten Google-Geräten dar.Google Play services allows security updates, and is a base-level dependency for many security features on certified-Google devices.
  • Aktueller Sicherheitsanbieter: Erfordert, dass ein aktueller Sicherheitsanbieter ein Gerät vor bekannten Sicherheitslücken schützen kann.Up-to-date security provider: Require that an up-to-date security provider can protect a device from known vulnerabilities.
  • SafetyNet-Gerätenachweis: Legen Sie die Integritätsstufe des SafetyNet-Nachweises fest, die eingehalten werden muss.SafetyNet device attestation: Enter the level of SafetyNet attestation that must be met. Folgende Optionen sind verfügbar:Your options:
    • Nicht konfiguriertNot configured
    • Grundlegende Integrität prüfenCheck basic integrity
    • Grundlegende Integrität und zertifizierte Geräte prüfenCheck basic integrity & certified devices

Bedrohungsüberprüfung für AppsThreat scan on apps

Auf Geräten mit Android-Arbeitsprofilen ist die Einstellung Bedrohungsüberprüfung für Apps als Konfigurationsrichtlinieneinstellung zu finden.On devices with Android work profiles, the Threat scan on apps setting can be found as a configuration policy setting. Administratoren können die Einstellung für ein Gerät aktivieren.Administrators can enable the setting for a device.

Wenn Ihr Unternehmen Android-Arbeitsprofile verwendet, können Sie Bedrohungsüberprüfung für Apps für Ihre registrierten Geräte aktivieren.If your enterprise uses Android work profiles, you can enable Threat scan on apps for your enrolled devices. Richten Sie ein Geräteprofil ein, und fordern Sie die Systemsicherheitseinstellung an.Establish a device profile and require the system security setting. Weitere Informationen finden Sie im Artikel zu den Einstellungen für Geräteeinschränkungen für Arbeitsgeräte in Intune.For more information, see Work device restriction settings in Intune.

Einstellungen für GeräteeigenschaftenDevice property settings

  • Minimale Betriebssystemversion: Wenn ein Gerät die Anforderungen an die erforderliche Mindestversion des Betriebssystems nicht erfüllt, wird es als nicht konform gemeldet.Minimum OS version: When a device doesn't meet the minimum OS version requirement, it's reported as noncompliant. Ein Link zur Vorgehensweise zum Upgrade wird angezeigt.A link with information on how to upgrade is displayed. Der Endbenutzer kann ein Upgrade des Geräts ausführen, und anschließend auf die Unternehmensressourcen zugreifen.The end user can choose to upgrade their device, and then access company resources.
  • Maximale Version des Betriebssystems: Wenn auf einem Gerät eine neuere Betriebssystemversion verwendet wird, als die Regel erlaubt, wird der Zugriff auf Unternehmensressourcen gesperrt.Maximum OS version: When a device is using an OS version later than the version in the rule, access to company resources is blocked. Zudem wird der Benutzer dazu aufgefordert, sich an den zuständigen IT-Administrator zu wenden. Mit diesem Gerät kann solange nicht auf Unternehmensressourcen zugegriffen werden, bis die Regel geändert und die betreffende Betriebssystemversion zugelassen wird.And, the user is asked to contact their IT admin. Until there is a rule change to allow the OS version, the device cannot access company resources.

Einstellungen für die SystemsicherheitSystem security settings

KennwortPassword

  • Kennwort zum Entsperren mobiler Geräte anfordern: Klicken Sie auf Erforderlich, damit Benutzer ein Kennwort eingeben müssen, um auf ihre Geräte zugreifen zu können.Require a password to unlock mobile devices: Require users to enter a password before they can access their device.
  • Minimale Kennwortlänge: Geben Sie die Mindestanzahl an Ziffern oder Zeichen an, die das Benutzerkennwort enthalten muss.Minimum password length: Enter the minimum number of digits or characters that the user's password must have.
  • Erforderlicher Kennworttyp: Wählen Sie, ob ein Kennwort nur aus numerischen Zeichen oder aus einer Kombination aus Zahlen und anderen Zeichen bestehen soll.Required password type: Choose whether a password should contain only numeric characters or a mix of numerals and other characters. Wählen Sie aus:Choose from:
    • GerätestandardDevice Default
    • Biometrie auf niedriger SicherheitsstufeLow security biometric
    • Mindestens numerischAt least numeric
    • Numerisch, komplexNumeric complex
    • Mindestens alphabetischAt least alphabetic
    • Mindestens alphanumerischAt least alphanumeric
    • Mindestens alphanumerisch mit SymbolenAt least alphanumeric with symbols
  • Maximale Anzahl von Minuten der Inaktivität vor erneuter Anforderung des Kennworts: Geben Sie die Leerlaufzeit an, nach der ein Benutzer sein Kennwort erneut eingeben muss.Maximum minutes of inactivity before password is required: Enter the idle time before the user must reenter their password.
  • Kennwortablauf (Tage): Wählen Sie die Anzahl von Tagen aus, bevor das Kennwort abläuft und ein neues erstellt werden muss.Password expiration (days): Select the number of days before the password expires, and they must create a new one.
  • Anzahl der vorherigen Kennwörter zur Verhinderung von Wiederverwendung: Geben Sie die Anzahl von zuletzt genutzten Kennwörtern an, die nicht erneut verwendet werden dürfen.Number of previous passwords to prevent reuse: Enter the number of recent passwords that can't be reused. Verwenden Sie diese Einstellung, um zu verhindern, dass der Benutzer zuvor verwendete Kennwörter erstellt.Use this setting to restrict the user from creating previously used passwords.

VerschlüsselungEncryption

  • Verschlüsselung auf mobilen Geräten erforderlich: Diese Einstellung muss nicht konfiguriert werden, da Android-Arbeitsprofilgeräte eine Verschlüsselung erzwingen.Require encryption on mobile device: You don't have to configure this setting because Android work profile devices enforce encryption.

GerätesicherheitDevice Security

  • Apps von unbekannten Quellen blockieren: Sie müssen diese Einstellung nicht konfigurieren, da Android-Arbeitsprofilgeräte die Installation aus unbekannten Quellen stets einschränken.Block apps from unknown sources: You don't have to configure this setting as Android work profile devices always restrict installation from unknown sources.
  • Laufzeitintegrität der Unternehmensportal-App: Überprüft, ob die Unternehmensportal-App die Standard-Laufzeitumgebung installiert hat, ordnungsgemäß signiert ist, sich nicht im Debug-Modus befindet und von einer bekannten Quelle installiert wurde.Company portal app runtime integrity: Checks if the Company Portal app has the default runtime environment installed, is properly signed, is not in debug-mode, and is installed from a known source.
  • USB-Debugging auf Gerät blockieren: Sie müssen diese Einstellungen nicht konfigurieren, da USB-Debuggen auf Android-Arbeitsprofilgeräten bereits deaktiviert ist.Block USB debugging on device: You don't have to configure this setting because USB debugging is already disabled on Android work profile devices.
  • Mindestens erforderliche Sicherheitspatchebene: Wählen Sie die älteste Sicherheitspatchebene, die ein Gerät haben kann.Minimum security patch level: Select the oldest security patch level a device can have. Geräte, die nicht mindestens diese Patchebene aufweisen, sind nicht kompatibel.Devices that are not at least at this patch level are noncompliant. Das Datum muss im Format „YYYY-MM-DD“ eingegeben werden.The date must be entered in the YYYY-MM-DD format.

Zuweisen von BenutzergruppenAssign user groups

  1. Wählen Sie eine Richtlinie, die Sie konfiguriert haben.Choose a policy that you've configured. Vorhandene Richtlinien befinden sich unter Gerätekompatibilität > Richtlinien.Existing policies are in Device compliance > Policies.
  2. Wählen Sie die Richtlinie und dann Zuweisungen aus.Choose the policy, and choose Assignments. Sie können Azure Active Directory (AD)-Sicherheitsgruppen ein- oder ausschließen.You can include or exclude Azure Active Directory (AD) security groups.
  3. Wählen Sie Ausgewählte Gruppen, um Ihre Azure AD-Sicherheitsgruppen anzuzeigen.Choose Selected groups to see your Azure AD security groups. Wählen Sie die Benutzergruppen aus, auf die diese Richtlinie angewendet werden soll, und dann wählen Sie Speichern, um die Richtlinie für die Benutzer bereitzustellen.Select the user groups you want this policy to apply, and choose Save to deploy the policy to users.

Sie haben die Richtlinie auf Benutzer angewendet.You have applied the policy to users. Die von den Benutzern verwendeten Geräte, denen die Richtlinie zugewiesen wurde, werden auf Konformität überprüft.The devices used by the users who are targeted by the policy are evaluated for compliance.

Nächste SchritteNext steps

Automatisieren von E-Mails und Hinzufügen von Aktionen für nicht konforme GeräteAutomate email and add actions for noncompliant devices
Überwachen von Intune-Richtlinien zur GerätekompatibilitätMonitor Intune Device compliance policies