Hinzufügen einer Gerätekonformitätsrichtlinie für iOS-Geräte in IntuneAdd a device compliance policy for iOS devices in Intune

Gilt für: Intune im Azure-PortalApplies to: Intune in the Azure portal
Suchen Sie nach der Dokumentation zu Intune im klassischen Portal?Looking for documentation about Intune in the classic portal? Lesen Sie die Einführung in Intune.Read the introduction to Intune.

Eine Intune-Konformitätsrichtlinie für iOS-Geräte gibt die Regeln und Einstellungen an, die iOS-Geräte erfüllen müssen, um konform zu sein.An Intune iOS device compliance policy determines the rules and settings that iOS devices must meet to be compliant. Wenn Sie Richtlinien für den bedingten Zugriff verwenden, können Sie den Zugriff auf Unternehmensressourcen zulassen oder blockieren.When you use device compliance policies with conditional access, you can allow or block access to company resources. Außerdem können Sie Geräteberichte abrufen und bei Nichtkonformität Aktionen durchführen.You can also get device reports and take actions for non-compliance. Gerätekonformitätsrichtlinien können für sämtliche Plattformen im Intune Azure-Portal erstellt werden.Device compliance policies for each platform can be created in the Intune Azure portal. Weitere Informationen über Konformitätsrichtlinien und alle Voraussetzungen finden Sie unter Erste Schritte bei der Gerätekonformität.To learn more about compliance policies, and any prerequisites, see Get started with device compliance.

In der folgenden Tabelle wird beschrieben, wie nicht konforme Einstellungen verwaltet werden, wenn eine Konformitätsrichtlinie mit einer Richtlinie für bedingten Zugriff verwendet wird.The following table describes how noncompliant settings are managed when a compliance policy is used with a conditional access policy.


RichtlinieneinstellungPolicy setting iOS 8.0 und höheriOS 8.0 and later
PIN- oder KennwortkonfigurationPIN or password configuration WiederhergestelltRemediated
GeräteverschlüsselungDevice encryption Wiederhergestellt (durch Festlegen der PIN)Remediated (by setting PIN)
Per Jailbreak oder Rootzugriff manipuliertes GerätJailbroken or rooted device Unter Quarantäne gestellt (keine Einstellung)Quarantined (not a setting)
E-Mail-ProfilEmail profile IsoliertQuarantined
Minimale Version des BetriebssystemsMinimum OS version IsoliertQuarantined
Maximale Version des BetriebssystemsMaximum OS version IsoliertQuarantined
Windows-IntegritätsnachweisWindows health attestation Nicht verfügbarNot applicable

Wiederhergestellt = Das Betriebssystem des Geräts erzwingt die Kompatibilität.Remediated = The device operating system enforces compliance. (Beispiel: Der Benutzer ist gezwungen, eine PIN festzulegen.)(For example, the user is forced to set a PIN.)

Isoliert = Das Betriebssystem des Geräts erzwingt keine Kompatibilität.Quarantined = The device operating system does not enforce compliance. (Beispiel: Android-Geräte zwingen den Benutzer nicht, das Gerät zu verschlüsseln.) Wenn das Gerät nicht kompatibel ist, erfolgen die folgenden Aktionen:(For example, Android devices do not force the user to encrypt the device.) When the device is not compliant, the following actions take place:

  • Das Gerät wird blockiert, wenn eine Richtlinie für bedingten Zugriff für den Benutzer gilt.The device is blocked if a conditional access policy applies to the user.
  • Das Unternehmensportal benachrichtigt den Benutzer über Kompatibilitätsprobleme.The company portal notifies the user about any compliance problems.

Erstellen einer GerätekonformitätsrichtlinieCreate a device compliance policy

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.
  2. Klicken Sie auf Alle Dienste, filtern Sie nach Intune, und klicken Sie dann auf Microsoft Intune.Select All services, filter on Intune, and select Microsoft Intune.
  3. Klicken Sie auf Gerätekonformität > Richtlinien > Richtlinie erstellen.Select Device compliance > Policies > Create Policy.
  4. Geben Sie einen Namen und eine Beschreibung ein.Enter a Name and Description.
  1. Wählen Sie als Plattform die Option iOS aus.For Platform, select iOS. Wählen Sie Einstellungen konfigurieren, um die Einstellungen zu E-Mail, Geräteintegrität, Geräteeigenschaften und Systemsicherheit anzugeben.Choose Settings Configure, and enter the Email, Device Health, Device Properties, and System Security settings. Wenn Sie fertig sind, wählen Sie OK und dann Erstellen.When you're done, select OK, and Create.

E-MailEmail

  • Verwaltetes E-Mail-Profil für Mobilgeräte erforderlich: Wenn Sie diese Option auf „Erforderlich“ festlegen, werden Geräte, die nicht über ein von Intune verwaltetes E-Mail-Profil verfügen, als nicht konform betrachtet.Require mobile devices to have a managed email profile: If you set this to Require, then devices that don't have an email profile managed by Intune are considered not-compliant. Ein Gerät verfügt möglicherweise nicht über ein verwaltetes E-Mail-Profil, wenn es nicht korrekt ausgerichtet ist oder wenn der Benutzer das E-Mail-Konto auf dem Gerät manuell einrichtet.A device may not have a managed email profile when it's not correctly targeted, or if the user manually setup the email account on the device.

    Das Gerät wird in den folgenden Situationen als nicht kompatibel betrachtet:The device is considered noncompliant in the following situations:

    • Das E-Mail-Profil wird für eine andere Benutzergruppe bereitgestellt als die Benutzergruppe, auf die die Kompatibilitätsrichtlinie ausgerichtet ist.The email profile is deployed to a user group other than the user group that the compliance policy targets.
    • Der Benutzer hat bereits ein E-Mail-Konto auf dem Gerät eingerichtet, das dem Intune-E-Mail-Profil entspricht, das auf dem Gerät bereitgestellt wurde.The user has already set up an email account on the device that matches the Intune email profile deployed to the device. Intune kann das vom Benutzer bereitgestellte Profil nicht überschreiben und daher nicht verwalten.Intune cannot overwrite the user-provisioned profile, and therefore cannot manage it. Zum Sicherstellen der Kompatibilität muss der Benutzer die vorhandenen E-Mail-Einstellungen entfernen.To ensure compliance, the user must remove the existing email settings. Anschließend kann Intune das verwaltete E-Mail-Profil installieren.Then, Intune can install the managed email profile.
  • Wählen Sie das E-Mail-Profil aus, das von Intune verwaltet werden muss: Wenn die Einstellung E-Mail-Konto muss von Intune verwaltet werden aktiviert ist, wählen Sie Auswählen aus, um das Intune-E-Mail-Profil anzugeben.Select the email profile that must be managed by Intune: If the Email account must be managed by Intune setting is selected, choose Select to specify the Intune email profile. Das E-Mail-Profil muss auf dem Gerät vorhanden sein.The email profile must be present on the device.

Weitere Informationen zu E-Mail-Profilen finden Sie unter Konfigurieren des Zugriffs auf Unternehmens-E-Mail mithilfe von E-Mail-Profilen in Microsoft Intune.For details about email profile, see Configure access to corporate email using email profiles with Microsoft Intune.

Device healthDevice health

  • Geräte mit Jailbreak: Wenn Sie diese Einstellung aktivieren, sind Geräte mit Jailbreak nicht konform.Jailbroken devices: If you enable this setting, jailbroken devices are not compliant.
  • Anfordern, dass das Gerät höchstens der angegebenen Gerätebedrohungsstufe entspricht (iOS 8.0 und höher): Wählen Sie die maximale Bedrohungsstufe, ab der ein Gerät als nicht konform eingestuft wird.Require the device to be at or under the Device Threat Level (iOS 8.0 and newer): Choose the maximum threat level to mark devices as noncompliant. Geräte, die diese Bedrohungsstufe überschreiten, werden als nicht konform gekennzeichnet:Devices that exceed this threat level get marked as noncompliant:
    • Gesichert: Diese Option ist die sicherste, da auf dem Gerät keine Bedrohungen vorhanden sein können.Secured: This option is the most secure, as the device can't have any threats. Wenn auf dem Gerät Bedrohungen jeglicher Stufen erkannt werden, wird es als nicht konform bewertet.If the device is detected as having any level of threats, it is evaluated as noncompliant.
    • Niedrig: Das Gerät wird als kompatibel bewertet, wenn nur Bedrohungen niedriger Stufen vorliegen.Low: The device is evaluated as compliant if only low-level threats are present. Durch Bedrohungen höherer Stufen wird das Gerät in einen nicht kompatiblen Status versetzt.Anything higher puts the device in a noncompliant status.
    • Mittel: Das Gerät wird als kompatibel bewertet, wenn die auf dem Gerät vorhandenen Bedrohungen niedriger oder mittlerer Stufe sind.Medium: The device is evaluated as compliant if existing threats on the device are low or medium level. Wenn auf dem Gerät Bedrohungen hoher Stufen erkannt werden, wird es als nicht kompatibel bewertet.If the device is detected to have high-level threats, it is determined to be noncompliant.
    • Hoch: Dies ist die am wenigsten sichere Option, die alle Bedrohungsebenen zulässt.High: This option is the least secure, and allows all threat levels. Es ist möglicherweise hilfreich, diese Lösung nur zu Berichtszwecken zu verwenden.It may be useful if you're using this solution only for reporting purposes.

GeräteeigenschaftenDevice properties

  • Minimal erforderliches Betriebssystem: Wenn ein Gerät die Anforderungen an die erforderliche Mindestversion des Betriebssystems nicht erfüllt, wird es als nicht kompatibel gemeldet.Minimum OS required: When a device does not meet the minimum OS version requirement, it is reported as noncompliant. Ein Link zur Vorgehensweise zum Upgrade wird angezeigt.A link with information on how to upgrade is shown. Der Benutzer kann sein Gerät aktualisieren.The user can choose to upgrade their device. Danach kann er auf Unternehmensressourcen zugreifen.After that, they can access company resources.
  • Maximal zulässige Betriebssystemversion: Wenn auf einem Gerät eine neuere Betriebssystemversion verwendet wird, als die Regel erlaubt, wird der Zugriff auf Unternehmensressourcen gesperrt.Maximum OS version allowed: When a device uses an OS version later than the version specified in the rule, access to company resources is blocked. Der Benutzer wird dann dazu aufgefordert, sich an den zuständigen IT-Administrator zu wenden. Mit diesem Gerät kann solange nicht auf Unternehmensressourcen zugegriffen werden, bis die Regel geändert und die betreffende Betriebssystemversion zugelassen wird.The user is then asked to contact their IT admin. Until there is a change in rule to allow the OS version, this device cannot access company resources.

SystemsicherheitSystem security

KennwortPassword

Hinweis

Nachdem eine Konformitäts- oder Konfigurationsrichtlinie auf ein iOS-Gerät angewendet wurde, werden Benutzer alle 15 Minuten dazu aufgefordert, eine Kennung festzulegen.After a compliance or configuration policy is applied to an iOS device, users are prompted to set a passcode every 15 minutes. Benutzer erhalten kontinuierlich eine Aufforderung, bis sie eine Kennung festgelegt haben.Users are continually prompted until a passcode is set.

  • Kennwort zum Entsperren mobiler Geräte anfordern: Klicken Sie auf Erforderlich, damit Benutzer ein Kennwort eingeben müssen, um auf ihre Geräte zugreifen zu können.Require a password to unlock mobile devices: Require users to enter a password before they can access their device. iOS-Geräte mit Kennwort sind verschlüsselt.iOS devices that use a password are encrypted.

  • Einfache Kennwörter: Legen Sie Blockieren fest, damit Benutzer kein einfaches Kennwort wie 1234 oder 1111 erstellen können.Simple passwords: Set to Block so users can't create simple passwords, such as 1234 or 1111. Wenn Sie diese Option auf Nicht konfiguriert setzen, können Benutzer Kennwörter wie 1234 oder 1111 erstellen.Set to Not configured to let users create passwords like 1234 or 1111.

  • Minimale Kennwortlänge: Geben Sie die Mindestanzahl an Ziffern oder Zeichen an, die das Kennwort enthalten muss.Minimum password length: Enter the minimum number of digits or characters that the password must have.

  • Erforderlicher Kennworttyp: Wählen Sie diese Option, wenn ein Kennwort nur aus numerischen Zeichen bestehen soll, oder wenn eine Kombination aus Zahlen und anderen Zeichen verwendet werden soll (alphanumerisch).Required password type: Choose if a password should have only Numeric characters, or if there should be a mix of numbers and other characters (Alphanumeric).

  • Anzahl nicht alphanumerischer Zeichen im Kennwort: Geben Sie die Mindestanzahl von Sonderzeichen (&, #, %, !, usw.) an, die im Kennwort enthalten sein müssen.Number of non-alphanumeric characters in password: Enter the minimum number of special characters (&, #, %, !, and so on) that must included in the password.

    Wenn Sie eine höhere Anzahl festlegen, muss der Benutzer ein komplexeres Kennwort erstellen.Setting a higher number requires the user to create a password that is more complex.

  • Maximale Anzahl von Minuten der Inaktivität vor erneuter Anforderung des Kennworts: Geben Sie die Leerlaufzeit an, nach der ein Benutzer sein Kennwort erneut eingeben muss.Maximum minutes of inactivity before password is required: Enter the idle time before the user must reenter their password.

  • Kennwortablauf (Tage): Wählen Sie die Anzahl von Tagen aus, bevor das Kennwort abläuft und ein neues erstellt werden muss.Password expiration (days): Select the number of days before the password expires, and they must create a new one.

  • Anzahl der vorherigen Kennwörter zur Verhinderung von Wiederverwendung: Geben Sie die Anzahl von vorherigen Kennwörtern an, die nicht erneut verwendet werden dürfen.Number of previous passwords to prevent reuse: Enter the number of previously used passwords that cannot be used.

Zuweisen von BenutzergruppenAssign user groups

  1. Wählen Sie eine Richtlinie, die Sie konfiguriert haben.Choose a policy that you've configured. Vorhandene Richtlinien befinden sich unter Gerätekompatibilität > Richtlinien.Existing policies are in Device compliance > Policies.
  2. Wählen Sie die Richtlinie und dann Zuweisungen aus.Choose the policy, and choose Assignments. Sie können Azure Active Directory (AD)-Sicherheitsgruppen ein- oder ausschließen.You can include or exclude Azure Active Directory (AD) security groups.
  3. Wählen Sie Ausgewählte Gruppen, um Ihre Azure AD-Sicherheitsgruppen anzuzeigen.Choose Selected groups to see your Azure AD security groups. Wählen Sie die Benutzergruppen aus, auf die diese Richtlinie angewendet werden soll, und dann wählen Sie Speichern, um die Richtlinie für die Benutzer bereitzustellen.Select the user groups you want this policy to apply, and choose Save to deploy the policy to users.

Sie haben die Richtlinie auf Benutzer angewendet.You have applied the policy to users. Die von den Benutzern verwendeten Geräte, denen die Richtlinie zugewiesen wurde, werden auf Konformität überprüft.The devices used by the users who are targeted by the policy are evaluated for compliance.

Nächste SchritteNext steps

Automatisieren von E-Mails und Hinzufügen von Aktionen für nicht konforme GeräteAutomate email and add actions for noncompliant devices
Überwachen von Intune-Richtlinien zur GerätekompatibilitätMonitor Intune Device compliance policies