Erstellen einer Gerätekonformitätsrichtlinie für iOS-Geräte in IntuneHow to create a device compliance policy for iOS devices in Intune

Gilt für: Intune im Azure-PortalApplies to: Intune in the Azure portal
Suchen Sie nach der Dokumentation zu Intune im klassischen Portal?Looking for documentation about Intune in the classic portal? Klicken Sie hier.Go here.

Konformitätsrichtlinien werden für jede Plattform erstellt.Compliance policies are created for each platform. Sie können eine Konformitätsrichtlinie im Azure-Portal erstellen.You can create a compliance policy in the Azure portal. Weitere Informationen dazu, was eine Konformitätsrichtlinie ist, finden Sie unter dem Thema Was ist Gerätekonformität.To learn more about what compliance policy is see what is a device compliance topic. Weitere Informationen zu den Voraussetzungen für das Erstellen einer Konformitätsrichtlinie finden Sie unter dem Thema Erste Schritte mit der Gerätekonformität.To learn about the prerequisites that you need to address before creating a compliance policy see Get started with device compliance topic.

In der Tabelle unten wird beschrieben, wie nicht konforme Einstellungen verwaltet werden, wenn eine Konformitätsrichtlinie mit einer Richtlinie für bedingten Zugriff verwendet wird.The table below describes how noncompliant settings are managed when a compliance policy is used with a conditional access policy.


RichtlinieneinstellungPolicy setting iOS 8.0 und höheriOS 8.0 and later
PIN- oder KennwortkonfigurationPIN or password configuration WiederhergestelltRemediated
GeräteverschlüsselungDevice encryption Wiederhergestellt (durch Festlegen der PIN)Remediated (by setting PIN)
Per Jailbreak oder Rootzugriff manipuliertes GerätJailbroken or rooted device Unter Quarantäne gestellt (keine Einstellung)Quarantined (not a setting)
E-Mail-ProfilEmail profile IsoliertQuarantined
Minimale Version des BetriebssystemsMinimum OS version IsoliertQuarantined
Maximale Version des BetriebssystemsMaximum OS version IsoliertQuarantined
Windows-IntegritätsnachweisWindows health attestation Nicht verfügbarNot applicable

Wiederhergestellt = Das Betriebssystem des Geräts erzwingt die Kompatibilität.Remediated = The device operating system enforces compliance. (Beispiel: Der Benutzer ist gezwungen, eine PIN festzulegen.)(For example, the user is forced to set a PIN.)

Isoliert = Das Betriebssystem des Geräts erzwingt keine Kompatibilität.Quarantined = The device operating system does not enforce compliance. (Beispiel: Android-Geräte zwingen den Benutzer nicht, das Gerät zu verschlüsseln.) Wenn die Geräte nicht kompatibel sind, erfolgen die folgenden Aktionen:(For example, Android devices do not force the user to encrypt the device.) When the devices is not compliant, the following actions take place:

  • Das Gerät wird blockiert, wenn eine Richtlinie für bedingten Zugriff für den Benutzer gilt.The device is blocked if a conditional access policy applies to the user.
  • Das Unternehmensportal benachrichtigt den Benutzer über Kompatibilitätsprobleme.The company portal notifies the user about any compliance problems.

Erstellen einer Konformitätsrichtlinie im Azure-PortalCreate a compliance policy in the Azure portal

  1. Wählen Sie auf dem Blatt Intune die Option Gerätekompatibilität festlegen aus.From the Intune blade, choose Set Device compliance. Wählen Sie unter Verwalten die Option Alle Gerätekonformitätsrichtlinien und dann Erstellen aus.Under Manage, choose All device compliance policies and choose Create.
  2. Geben Sie einen Namen und eine Beschreibung ein, und wählen Sie die Plattform aus, auf die Sie diese Richtlinie anwenden möchten.Type a name, description and choose the platform that you want this policy to apply to.
  3. Wählen Kompatibilitätsanforderungen aus, um hier die Einstellungen Sicherheit, Geräteintegrität und Geräteeigenschaft anzugeben. Wählen Sie abschließend OK aus.Choose Compliance requirements to specify the Security, Device health, and Device property settings here, When you are done, choose Ok.

Zuweisen von BenutzergruppenAssign user groups

Wählen Sie zum Zuweisen einer Konformitätsrichtlinie zu Benutzern eine Richtlinie aus, die Sie konfiguriert haben.To assign a compliance policy to users, choose a policy that you have configured. Vorhandene Richtlinien finden Sie auf dem Blatt Kompatibilitätsrichtlinien.Existing policies can be found in the Compliance –policies blade.

  1. Wählen Sie die Richtlinie, die Sie Benutzern zuweisen möchten, und abschließend Zuweisungen aus.Choose the policy you want to assign to users and choose Assignments. Damit öffnen Sie das Blatt, auf dem Sie Azure Active Directory-Sicherheitsgruppen auswählen und der Richtlinie zuweisen können.This opens the blade where you can select Azure Active Directory security groups and assign them to the policy.
  2. Wählen Sie Gruppen auswählen aus, um das Blatt mit den Azure AD-Sicherheitsgruppen zu öffnen.Choose Select groups to open the blade that displays the Azure AD security groups. Die Auswahl von Auswählen bewirkt die Bereitstellung der Richtlinie für Benutzer.Choosing Select deploys the policy to users.

Sie haben die Richtlinie auf Benutzer angewendet.You have applied the policy to users. Die von den Benutzern, denen die Richtlinie zugewiesen wurde, verwendeten Geräte werden auf Konformität überprüft.The devices used by the users who are targeted by the policy will be evaluated for compliance.

Einstellungen für die SystemsicherheitSystem security settings

KennwortPassword

  • Kennwort zum Entsperren mobiler Geräte erforderlich: Legen Sie Ja fest, damit Benutzer ein Kennwort eingeben müssen, um auf ihre Geräte zugreifen zu können.Require a password to unlock mobile devices : Set this to Yes to require the user to enter a password before they can access their device. iOS-Geräte mit Kennwort sind verschlüsselt.iOS devices that use a password are encrypted.
  • Einfache Kennwörter zulassen: Legen Sie Ja fest, damit Benutzer einfache Kennwörter wie 1234 oder 1111 erstellen können.Allow simple passwords : Set this to Yes to let the user create a simple password like 1234 or 1111.
  • Minimale Kennwortlänge: Geben Sie die Mindestanzahl an Ziffern oder Zeichen an, die das Kennwort enthalten muss.Minimum password length : Specify the minimum number of digits or characters that the password must have.
  • Erforderlicher Kennworttyp: Geben Sie an, ob der Benutzer ein alphanumerisches oder ein numerisches Kennwort erstellen muss.Required password type : Specify whether the user must create an Alphanumeric password or a Numeric password.
  • Minimale Anzahl von Zeichensätzen: Wenn Sie Erforderlicher Kennworttyp auf Alphanumerisch festlegen, gibt diese Einstellung die Mindestanzahl von Zeichensätzen an, die das Kennwort enthalten muss.Minimum number of character sets : If you set Required password type to Alphanumeric , use this setting to specify the minimum number of character sets that the password must have. Es gibt vier Zeichensätze:The four character sets are:
    • KleinbuchstabenLowercase letters
    • GroßbuchstabenUppercase letters
    • SymboleSymbols
    • ZahlenNumbers

Wenn Sie eine höhere Anzahl festlegen, muss der Benutzer ein komplexeres Kennwort erstellen.Setting a higher number will require the user to create a password that is more complex.

Bei iOS-Geräten bezieht sich diese Einstellung auf die Anzahl von Sonderzeichen (z.B. !For iOS devices, this setting refers to the number of special characters (for example, ! , #, &), die im Kennwort enthalten sein müssen., # , & ) that must be included in the password.

  • Minuten Inaktivität vor erneuter Anforderung des Kennworts: Geben Sie die Leerlaufzeit an, nach der ein Benutzer sein Kennwort erneut eingeben muss.Minutes of inactivity before password is required : Specify the idle time before the user must reenter their password.
  • Kennwortablauf (Tage): Wählen Sie die Anzahl von Tagen aus, bevor das Kennwort abläuft und ein neues erstellt werden muss.Password expiration (days): Select the number of days before the password expires and they must create a new one.
  • Kennwortverlauf speichern: Verwenden Sie diese Einstellung in Verbindung mit Wiederverwendung vorheriger Kennwörter verhindern, um zu verhindern, dass der Benutzer zuvor bereits verwendete Kennwörter erstellt.Remember password history : Use this setting in conjunction with Prevent reuse of previous passwords to restrict the user from creating previously used passwords.
  • Wiederverwendung vorheriger Kennwörter verhindern: Wenn Sie Kennwortverlauf speichern aktiviert haben, geben Sie die Anzahl der zuvor verwendeten Kennwörter ein, die nicht erneut verwendet werden dürfen.Prevent reuse of previous passwords : If you selected Remember password history , specify the number of previously used passwords that cannot be reused.
  • Kennworteingabe verlangen, wenn das Gerät aus dem Leerlauf zurückkehrt: Verwenden Sie diese Einstellung zusammen mit der Einstellung Minuten Inaktivität vor erneuter Anforderung des Kennworts.Require a password when the device returns from an idle state : Use this setting together with the in the Minutes of inactivity before password is required setting. Der Benutzer wird zur Eingabe eines Kennworts aufgefordert, um auf ein Gerät zugreifen zu können, das für die in der Einstellung Minuten Inaktivität vor erneuter Anforderung des Kennworts angegebene Zeit inaktiv war.The user is prompted to enter a password to access a device that has been inactive for the time specified in the Minutes of inactivity before password is required setting.

E-Mail-ProfilEmail profile

  • E-Mail-Konto muss von Intune verwaltet werden: Wenn diese Option auf Ja festgelegt ist, muss das Gerät das auf dem Gerät bereitgestellte E-Mail-Profil verwenden.Email account must be managed by Intune : When this option is set to Yes , the device must use the email profile deployed to the device. Das Gerät wird in den folgenden Situationen als nicht kompatibel betrachtet:The device is considered noncompliant in the following situations:
    • Das E-Mail-Profil wird für eine andere Benutzergruppe bereitgestellt als die Benutzergruppe, auf die die Kompatibilitätsrichtlinie ausgerichtet ist.The email profile is deployed to a user group other than the user group that the compliance policy targets.
    • Der Benutzer hat bereits ein E-Mail-Konto auf dem Gerät eingerichtet, das dem Intune-E-Mail-Profil entspricht, das auf dem Gerät bereitgestellt wurde.The user has already set up an email account on the device that matches the Intune email profile deployed to the device. Intune kann das vom Benutzer bereitgestellte Profil nicht überschreiben und daher nicht verwalten.Intune cannot overwrite the user-provisioned profile, and therefore cannot manage it. Zum Sicherstellen der Kompatibilität muss der Benutzer die vorhandenen E-Mail-Einstellungen entfernen.To ensure compliance, the user must remove the existing email settings. Anschließend kann Intune das verwaltete E-Mail-Profil installieren.Then, Intune can install the managed email profile.
  • Wählen Sie das E-Mail-Profil aus, das von Intune verwaltet werden muss: Wenn die Einstellung E-Mail-Konto muss von Intune verwaltet werden aktiviert ist, wählen Sie Auswählen aus, um das Intune-E-Mail-Profil anzugeben.Select the email profile that must be managed by Intune : If the Email account must be managed by Intune setting is selected, choose Select to specify the Intune email profile. Das E-Mail-Profil muss auf dem Gerät vorhanden sein.The email profile must be present on the device.

Weitere Informationen zu E-Mail-Profilen finden Sie unter Konfigurieren des Zugriffs auf Unternehmens-E-Mail mithilfe von E-Mail-Profilen in Microsoft Intune.For details about email profile, see Configure access to corporate email using email profiles with Microsoft Intune.

Einstellungen für die GeräteintegritätDevice health settings

  • Gerät darf keinen Jailbreak oder Rootzugriff verwenden: Wenn Sie diese Einstellung aktivieren, sind Geräte mit Jailbreak nicht konform.Device must not be jailbroken or rooted : If you enable this setting, jailbroken devices will not be compliant.

GeräteeigenschaftenDevice properties

  • Minimal erforderliches Betriebssystem: Wenn ein Gerät die Anforderungen an die erforderliche Mindestversion des Betriebssystems nicht erfüllt, wird es als nicht konform gemeldet.Minimum OS required : When a device does not meet the minimum OS version requirement, it is reported as noncompliant. Ein Link mit Informationen zum Upgradevorgang wird angezeigt.A link with information on how to upgrade appears. Der Benutzer kann sein Gerät aktualisieren.The user can choose to upgrade their device. Danach kann er auf Unternehmensressourcen zugreifen.After that, they can access company resources.
  • Maximal zulässige Betriebssystemversion: Wenn auf einem Gerät eine neuere Betriebssystemversion verwendet wird, als die Regel erlaubt, wird der Zugriff auf Unternehmensressourcen gesperrt, und der Benutzer wird gebeten, sich an den IT-Administrator zu wenden. Mit diesem Gerät kann solange nicht auf Unternehmensressourcen zugegriffen werden, bis die Regel geändert und die betreffende Betriebssystemversion zugelassen wird.Maximum OS version allowed : When a device is using an OS version later than the one specified in the rule, access to company resources is blocked and the user is asked to contact their IT admin. Until there is a change in rule to allow the OS version, this device cannot be used to access company resources.