Erstellen einer Gerätekonformitätsrichtlinie für Windows-Geräte in IntuneHow to create a device compliance policy for Windows devices in Intune

Gilt für: Intune im Azure-PortalApplies to: Intune in the Azure portal
Suchen Sie nach der Dokumentation zu Intune im klassischen Portal?Looking for documentation about Intune in the classic portal? Klicken Sie hier.Go here.

Konformitätsrichtlinien werden für jede Plattform erstellt.Compliance policies are created for each platform. Sie können eine Konformitätsrichtlinie im Azure-Portal erstellen.You can create a compliance policy in the Azure portal. Weitere Informationen dazu, was eine Konformitätsrichtlinie ist, finden Sie unter dem Thema Was ist Gerätekonformität.To learn more about what compliance policy is see What is a device compliance topic. Weitere Informationen zu den Voraussetzungen für das Erstellen einer Konformitätsrichtlinie finden Sie unter dem Thema Erste Schritte mit der Gerätekonformität.To learn about the prerequisites that you need to address before creating a compliance policy see Get started with device compliance topic.

In der Tabelle unten wird beschrieben, wie nicht konforme Einstellungen verwaltet werden, wenn eine Konformitätsrichtlinie mit einer Richtlinie für bedingten Zugriff verwendet wird.The table below describes how noncompliant settings are managed when a compliance policy is used with a conditional access policy.


RichtlinieneinstellungPolicy setting Windows 8.1 und höherWindows 8.1 and later Windows Phone 8.1 und höherWindows Phone 8.1 and later
PIN- oder KennwortkonfigurationPIN or password configuration WiederhergestelltRemediated WiederhergestelltRemediated
GeräteverschlüsselungDevice encryption Nicht verfügbarNot applicable WiederhergestelltRemediated
Per Jailbreak oder Rootzugriff manipuliertes GerätJailbroken or rooted device Nicht verfügbarNot applicable Nicht verfügbarNot applicable
E-Mail-ProfilEmail profile Nicht verfügbarNot applicable Nicht verfügbarNot applicable
Minimale Version des BetriebssystemsMinimum OS version IsoliertQuarantined IsoliertQuarantined
Maximale Version des BetriebssystemsMaximum OS version IsoliertQuarantined IsoliertQuarantined
Windows-IntegritätsnachweisWindows health attestation Isoliert: Windows 10 und Windows 10 MobileQuarantined: Windows 10 and Windows 10 Mobile Nicht verfügbar: Windows 8.1Not applicable: Windows 8.1

Wiederhergestellt = Das Betriebssystem des Geräts erzwingt die Kompatibilität.Remediated = The device operating system enforces compliance. (Beispiel: Der Benutzer ist gezwungen, eine PIN festzulegen.)+(For example, the user is forced to set a PIN.)+

Isoliert = Das Betriebssystem des Geräts erzwingt keine Kompatibilität.Quarantined = The device operating system does not enforce compliance. (Beispiel: Android-Geräte zwingen den Benutzer nicht, das Gerät zu verschlüsseln.) Wenn die Geräte nicht konform sind, erfolgen die folgenden Aktionen:+(For example, Android devices do not force the user to encrypt the device.) When the devices is not compliant, the following actions take place:+

  • Das Gerät wird blockiert, wenn eine Richtlinie für bedingten Zugriff für den Benutzer gilt.The device is blocked if a conditional access policy applies to the user.
  • Das Unternehmensportal benachrichtigt den Benutzer über Kompatibilitätsprobleme.The company portal notifies the user about any compliance problems.

Erstellen einer Konformitätsrichtlinie im Azure-PortalCreate a compliance policy in the Azure portal

  1. Wählen Sie auf dem Blatt Intune die Option Gerätekompatibilität festlegen aus.From the Intune blade, choose Set Device compliance. Wählen Sie unter Verwalten die Option Alle Gerätekonformitätsrichtlinien und dann Erstellen aus.Under Manage, choose All device compliance policies and choose Create.
  2. Geben Sie einen Namen und eine Beschreibung ein, und wählen Sie die Plattform aus, auf die Sie diese Richtlinie anwenden möchten.Type a name, description and choose the platform that you want this policy to apply to.
  3. Wählen Sie Kompatibilitätsanforderungen aus, um das Blatt „Kompatibilitätsanforderungen“ zu öffnen.Choose Compliance requirements to open the compliance requirements blade. Sie können die Einstellungen Sicherheit, Geräteintegrität und Geräteeigenschaft angeben. Wählen Sie abschließend OK aus.You can specify the Security, Device health, and Device property settings here, When you are done, choose Ok.

Zuweisen von BenutzergruppenAssign user groups

Wählen Sie zum Zuweisen einer Konformitätsrichtlinie zu Benutzern eine Richtlinie aus, die Sie konfiguriert haben.To assign a compliance policy to users, choose a policy that you have configured. Vorhandene Richtlinien finden Sie auf dem Blatt Kompatibilitätsrichtlinien.Existing policies can be found in the Compliance –policies blade.

  1. Wählen Sie die Richtlinie, die Sie Benutzern zuweisen möchten, und abschließend Zuweisungen aus.Choose the policy you want to assign to users and choose Assignments. Damit öffnen Sie das Blatt, auf dem Sie Azure Active Directory-Sicherheitsgruppen auswählen und der Richtlinie zuweisen können.This opens the blade where you can select Azure Active Directory security groups and assign them to the policy.
  2. Wählen Sie Gruppen auswählen aus, um das Blatt mit den Azure AD-Sicherheitsgruppen zu öffnen.Choose Select groups to open the blade that displays the Azure AD security groups. Die Auswahl von Auswählen bewirkt die Bereitstellung der Richtlinie für Benutzer.Choosing Select deploys the policy to users.

Sie haben die Richtlinie auf Benutzer angewendet.You have applied the policy to users. Die von den Benutzern, denen die Richtlinie zugewiesen wurde, verwendeten Geräte werden auf Konformität überprüft.The devices used by the users who are targeted by the policy will be evaluated for compliance.

Einstellungen für die SystemsicherheitSystem security settings

KennwortPassword

  • Kennwort zum Entsperren mobiler Geräte erforderlich: Legen Sie für diese Einstellung Ja fest, damit Benutzer ein Kennwort eingeben müssen, um auf ihre Geräte zugreifen zu können.Require a password to unlock mobile devices: Set this to Yes to require users to enter a password before they can access their device.
  • Einfache Kennwörter zulassen: Legen Sie Ja fest, damit Benutzer einfache Kennwörter wie 1234 oder 1111 erstellen können.Allow simple passwords: Set this to Yes to let users create simple passwords such as ' '1234'; or ' 1111'.
  • Minimale Kennwortlänge: Geben Sie die Mindestanzahl an Ziffern oder Zeichen an, die das Benutzerkennwort enthalten muss.Minimum password length: Specify the minimum number of digits or characters that the user's password must contain.
  • Erforderlicher Kennworttyp: Geben Sie an, ob Benutzer ein alphanumerisches oder ein numerisches Kennwort erstellen müssen.Required password type: Specify whether users must create an Alphanumeric , or a Numeric password.

Für Geräte unter Windows, auf die mit einem Microsoft-Konto zugegriffen wird, wird die Konformitätsrichtlinie nicht richtig ausgewertet, wenn die minimale Kennwortlänge größer als acht Zeichen oder die minimale Anzahl von Zeichensätzen größer als zwei ist.For devices that run Windows and accessed with a Microsoft account, the compliance policy will fail to evaluate correctly if minimum password length is greater than eight characters or if minimum number of character sets is more than two.

  • Minimale Anzahl von Zeichensätzen: Wenn Erforderlicher Kennworttyp auf Alphanumerisch festgelegt ist, gibt diese Einstellung die Mindestanzahl von Zeichensätzen an, die das Kennwort enthalten muss.Minimum number of character sets: If Required password type is set to Alphanumeric , this setting specifies the minimum number of character sets that the password must contain. Es gibt vier Zeichensätze:The four character sets are:
    • KleinbuchstabenLowercase letters
    • GroßbuchstabenUppercase letters
    • SymboleSymbols
    • ZahlenNumbers

Wenn Sie eine höhere Zahl für diese Einstellung festlegen, müssen Benutzer komplexere Kennwörter erstellen.Setting a higher number for this setting will require users to create passwords that are more complex. Für Geräte unter Windows, auf die mit einem Microsoft-Konto zugegriffen wird, wird die Konformitätsrichtlinie nicht richtig ausgewertet, wenn die minimale Kennwortlänge größer als acht Zeichen oder die minimale Anzahl von Zeichensätzen größer als zwei ist.For devices that run Windows and accessed with a Microsoft account, the compliance policy will fail to evaluate correctly if minimum password length is greater than eight characters or if minimum number of character sets is more than two.

  • Minuten der Inaktivität, bevor ein Kennwort erforderlich ist: Gibt die Leerlaufzeit an, nach der ein Benutzer sein Kennwort erneut eingeben muss.Minutes of inactivity before password is required: Specifies the idle time before the user must re-enter their password.
  • Kennwortablauf (Tage): Wählen Sie die Anzahl von Tagen aus, bevor das Kennwort des Benutzers abläuft und er ein neues erstellen muss.Password expiration (days): Select the number of days before the user's password expires and they must create a new one.
  • Kennwortverlauf speichern: Verwenden Sie diese Einstellung in Verbindung mit Wiederverwendung vorheriger Kennwörter verhindern, um zu verhindern, dass der Benutzer zuvor bereits verwendete Kennwörter erstellt.Remember password history: Use this setting in conjunction with Prevent reuse of previous passwords to restrict the user from creating previously used passwords.
  • Wiederverwendung vorheriger Kennwörter verhindern: Wenn Kennwortverlauf speichern aktiviert ist, geben Sie die Anzahl der zuvor verwendeten Kennwörter ein, die nicht erneut verwendet werden dürfen.Prevent reuse of previous passwords: If Remember password history is selected, specify the number of previously used passwords that cannot be re-used.
  • Kennworteingabe verlangen, wenn das Gerät aus dem Leerlauf zurückkehrt: Diese Einstellung sollte zusammen mit der Einstellung Minuten Inaktivität vor erneuter Anforderung des Kennworts verwendet werden.Require a password when the device returns from an idle state: This setting should be used together with the Minutes of inactivity before password is required setting. Die Endbenutzer werden zur Eingabe eines Kennworts aufgefordert, um auf ein Gerät zugreifen zu können, das für die in der Einstellung Minuten Inaktivität vor erneuter Anforderung des Kennworts angegebene Zeit inaktiv war.The end users are prompted to enter a password to access a device that has been inactive for the time specified in the Minutes of inactivity before password is required setting.

Diese Einstellung gilt nur für Windows 10 Mobile-Geräte.This setting only applies to Windows 10 Mobile devices.

VerschlüsselungEncryption

  • Verschlüsselung auf mobilen Geräten vorschreiben: Legen Sie diese Einstellung auf Ja fest, damit das Gerät verschlüsselt werden muss, um eine Verbindung mit Ressourcen herzustellen.Require encryption on mobile device: Set this to Yes to require the device to be encrypted in order to connect to resources.

Einstellungen für die GeräteintegritätDevice health settings

  • Geräte müssen als fehlerfrei gemeldet werden: Sie können eine Regel festlegen, die erfordert, dass Windows 10 Mobile-Geräte in neuen oder vorhandenen Kompatibilitätsrichtlinien als fehlerfrei gemeldet werden.Require devices to be reported as healthy: You can set a rule to require that Windows 10 Mobile devices must be reported as healthy in new or existing Compliance Policies. Wenn diese Einstellung aktiviert ist, werden Windows 10-Geräte über den Integritätsnachweisdienst (Health Attestation Service, HAS) für die folgenden Datenpunkte ausgewertet:If this setting is enabled, Windows 10 devices are evaluated via the Health Attestation Service (HAS) for the following data points:
    • BitLocker ist aktiviert: Wenn BitLocker aktiviert ist, kann das Gerät auf dem Laufwerk gespeicherte Daten vor unbefugtem Zugriff schützen, wenn das System ausgeschaltet wird oder in den Ruhezustand wechselt.BitLocker is enabled: When BitLocker is on, the device is able to protect data that is stored on the drive from unauthorized access, when the system is turned off or goes to hibernation. Die Windows BitLocker-Laufwerksverschlüsselung verschlüsselt alle auf einem Volume mit Windows-Betriebssystem gespeicherten Daten.Windows BitLocker Drive Encryption encrypts all data stored on the Windows operating system volume. BitLocker verwendet TPM zum Schutz des Windows-Betriebssystems und der Benutzerdaten und stellt damit sicher, dass ein Computer nicht manipuliert wird, selbst wenn dieser unbeaufsichtigt ist, verloren geht oder gestohlen wird.BitLocker uses the TPM to help protect the Windows operating system and user data and helps to ensure that a computer is not tampered with, even if it is left unattended, lost, or stolen. Wenn der Computer mit einem kompatiblen TPM ausgestattet ist, verwendet BitLocker das TPM zum Sperren der Verschlüsselungsschlüssel, die die Daten schützen.If the computer is equipped with a compatible TPM, BitLocker uses the TPM to lock the encryption keys that protect the data. Daher kann auf die Schlüssel nicht zugegriffen werden, bis das TPM den Zustand des Computers überprüft hat.As a result, the keys cannot be accessed until the TPM has verified the state of the computer
    • Codeintegrität ist aktiviert: Die Codeintegrität ist ein Feature, das die Integrität eines Treibers oder einer Systemdatei jedes Mal überprüft, wenn diese(r) in den Speicher geladen wird.Code integrity is enabled: Code integrity is a feature that validates the integrity of a driver or system file each time it is loaded into memory. Die Codeintegrität erkennt, ob ein nicht signierter Treiber oder eine Systemdatei in den Kernel geladen wird, oder ob eine Systemdatei durch böswillige Software manipuliert wurde, die von einem Benutzerkonto mit Administratorrechten ausgeführt wird.Code integrity detects whether an unsigned driver or system file is being loaded into the kernel, or whether a system file has been modified by malicious software that is being run by a user account with administrator privileges.
    • Sicherer Start ist aktiviert: Wenn der sichere Start aktiviert ist, wird das System gezwungen, in einem vertrauenswürdigen Zustand zu starten.Secure Boot is enabled: When Secure Boot is enabled, the system is forced to boot to a factory trusted state. Wenn der sichere Start aktiviert ist, müssen die zum Starten des Computers verwendeten Kernkomponenten zudem über die richtigen kryptografischen Signaturen verfügen, denen das Unternehmen vertraut, das das Gerät hergestellt hat.Also, when Secure Boot is enabled, the core components used to boot the machine must have correct cryptographic signatures that are trusted by the organization that manufactured the device. Dies wird von der UEFI-Firmware überprüft, bevor der Computer gestartet werden kann.The UEFI firmware verifies this before it lets the machine start. Wenn Dateien manipuliert wurden und dadurch die Signatur ungültig ist, wird das System nicht gestartet.If any files have been tampered with, breaking their signature, the system will not boot.

Informationen zur Funktionsweise des HAS-Diensts finden Sie unter Integritätsnachweis-CSP.For information on how the HAS service works, see Health Attestation CSP.

Einstellungen für GeräteeigenschaftenDevice property settings

  • Minimal erforderliches Betriebssystem: Wenn ein Gerät die Anforderungen für die minimal erforderliche Betriebssystemversion nicht erfüllt, wird es als nicht kompatibel gemeldet.Minimum OS required: When a device does not meet the minimum OS version requirement, it is reported as noncompliant. Ein Link zur Vorgehensweise zum Upgrade wird angezeigt.A link with information on how to upgrade is displayed. Die Endbenutzer können ein Upgrade des Geräts durchführen und anschließend auf die Unternehmensressourcen zugreifen.The end user can choose to upgrade their device after which they can access company resources.
  • Maximal zulässige Betriebssystemversion: Wenn auf einem Gerät eine neuere Betriebssystemversion verwendet wird, als die Regel erlaubt, wird der Zugriff auf Unternehmensressourcen gesperrt, und der Benutzer wird gebeten, sich an den IT-Administrator zu wenden. Mit diesem Gerät kann solange nicht auf Unternehmensressourcen zugegriffen werden, bis die Regel geändert und die betreffende Betriebssystemversion zugelassen wird.Maximum OS version allowed: When a device is using an OS version later than the one specified in the rule, access to company resources is blocked and the user is asked to contact their IT admin. Until there is a change in rule to allow the OS version, this device cannot be used to access company resources.

Einstellungen für die SystemsicherheitSystem security settings

KennwortPassword

  • Minimale Kennwortlänge: Wird unter Windows 8.1 unterstützt.Minimum password length: - Supported on Windows 8.1.

Geben Sie die Mindestanzahl an Ziffern oder Zeichen an, die das Benutzerkennwort enthalten muss.Specify the minimum number of digits or characters that the user's password must contain.

Für Geräte, auf die mit einem Microsoft-Konto zugegriffen wird, wird die Konformitätsrichtlinie nicht richtig ausgewertet, wenn Minimale Kennwortlänge größer als 8 Zeichen oder Minimale Anzahl von Zeichensätzen größer als 2 Zeichensätze ist.For devices that are accessed with a Microsoft Account, the compliance policy will fail to evaluate correctly if Minimum password length is greater than 8 characters or if Minimum number of character sets is more than two characters.

  • Erforderlicher Kennworttyp: Wird unter Windows RT, Windows RT 8.1 und Windows 8.1 unterstützt.Required password type: - Supported on Windows RT, Windows RT 8.1, and Windows 8.1

Geben Sie an, ob Benutzer ein alphanumerisches oder ein numerisches Kennwort erstellen müssen.Specify whether users must create an Alphanumeric , or a Numeric password.

  • Minimale Anzahl von Zeichensätzen: Wird unter Windows RT, Windows RT 8.1 und Windows 8.1 unterstützt.Minimum number of character sets: - Supported on Windows RT, Windows RT 8.1, and Windows 8.1. Wenn Erforderlicher Kennworttyp auf Alphanumerisch festgelegt ist, gibt diese Einstellung die Mindestanzahl an Zeichensätzen an, die das Kennwort enthalten muss.If Required password type is set to Alphanumeric , this setting specifies the minimum number of character sets that the password must contain. Es gibt vier Zeichensätze:The four character sets are:
    • KleinbuchstabenLowercase letters
    • GroßbuchstabenUppercase letters
    • SymboleSymbols
    • Zahlen: Wenn Sie eine höhere Zahl für diese Einstellung festlegen, müssen Benutzer komplexere Kennwörter erstellen.Numbers: Setting a higher number for this setting will require users to create passwords that are more complex.

Für Geräte, auf die mit einem Microsoft-Konto zugegriffen wird, wird die Konformitätsrichtlinie nicht richtig ausgewertet, wenn Minimale Kennwortlänge größer als 8 Zeichen oder Minimale Anzahl von Zeichensätzen größer als 2 Zeichensätze ist.For devices that are accessed with a Microsoft Account, the compliance policy will fail to evaluate correctly if Minimum password length is greater than 8 characters or if Minimum number of character sets is more than 2 characters.

  • Minuten Inaktivität vor erneuter Anforderung des Kennworts: Wird unter Windows RT, Windows RT 8.1 und Windows 8.1 unterstützt.Minutes of inactivity before password is required: - Supported on Windows RT, Windows RT 8.1, and Windows 8.1

Geben Sie die Leerlaufzeit an, nach der ein Benutzer sein Kennwort erneut eingeben muss.Specify the idle time before the user must re-enter their password.

  • Kennwortablauf (Tage): Wird unter Windows RT, Windows RT 8.1 und Windows 8.1 unterstützt.Password expiration (days): -Supported on Windows RT, Windows RT 8.1, and Windows 8.1.

Wählen Sie die Anzahl von Tagen aus, bevor das Kennwort des Benutzers abläuft und er ein neues erstellen muss.Select the number of days before the user's password expires and they must create a new one.

  • Kennwortverlauf speichern: Wird unter Windows RT, Windows RT 8.1 und Windows 8.1 unterstützt.Remember password history: - Supported on Windows RT, Windows RT, and Windows 8.1.

Verwenden Sie diese Einstellung in Verbindung mit Wiederverwendung vorheriger Kennwörter verhindern, um zu verhindern, dass der Benutzer zuvor bereits verwendete Kennwörter erstellt.Use this setting in conjunction with Prevent reuse of previous passwords to restrict the user from creating previously used passwords.

  • Wiederverwendung vorheriger Kennwörter verhindern: Wird unter Windows RT, Windows RT 8.1 und Windows 8.1 unterstützt.Prevent reuse of previous passwords: - Supported on Windows RT, Windows RT 8.1, and Windows 8.1

Wenn Kennwortverlauf speichern aktiviert ist, geben Sie die Anzahl der zuvor verwendeten Kennwörter ein, die nicht erneut verwendet werden dürfen.If Remember password history: is selected, specify the number of previously used passwords that cannot be re-used.

Einstellungen für die GeräteintegritätDevice health settings

  • Geräte müssen als fehlerfrei gemeldet werden: Wird auf Windows 10-Geräten unterstützt.Require devices to be reported as healthy: - Supported on Windows 10 devices. Sie können eine Regel festlegen, die erfordert, dass Windows 10-Geräte in neuen oder vorhandenen Konformitätsrichtlinien als fehlerfrei gemeldet werden.You can set a rule to require that Windows 10 devices must be reported as healthy in new or existing Compliance Policies. Wenn diese Einstellung aktiviert ist, werden Windows 10-Geräte über den Integritätsnachweisdienst (Health Attestation Service, HAS) für die folgenden Datenpunkte ausgewertet:If this setting is enabled, Windows 10 devices are evaluated via the Health Attestation Service (HAS) for the following data points:
    • BitLocker ist aktiviert: Wenn BitLocker aktiviert ist, kann das Gerät auf dem Laufwerk gespeicherte Daten vor unbefugtem Zugriff schützen, wenn das System ausgeschaltet wird oder in den Ruhezustand wechselt.BitLocker is enabled: When BitLocker is on, the device is able to protect data that is stored on the drive from unauthorized access, when the system is turned off or goes to hibernation. Die Windows BitLocker-Laufwerksverschlüsselung verschlüsselt alle auf einem Volume mit Windows-Betriebssystem gespeicherten Daten.Windows BitLocker Drive Encryption encrypts all data stored on the Windows operating system volume. BitLocker verwendet TPM zum Schutz des Windows-Betriebssystems und der Benutzerdaten und stellt damit sicher, dass ein Computer nicht manipuliert wird, selbst wenn dieser unbeaufsichtigt ist, verloren geht oder gestohlen wird.BitLocker uses the TPM to help protect the Windows operating system and user data and helps to ensure that a computer is not tampered with, even if it is left unattended, lost, or stolen. Wenn der Computer mit einem kompatiblen TPM ausgestattet ist, verwendet BitLocker das TPM zum Sperren der Verschlüsselungsschlüssel, die die Daten schützen.If the computer is equipped with a compatible TPM, BitLocker uses the TPM to lock the encryption keys that protect the data. Daher kann auf die Schlüssel nicht zugegriffen werden, bis das TPM den Zustand des Computers überprüft hat.As a result, the keys cannot be accessed until the TPM has verified the state of the computer
    • Codeintegrität ist aktiviert: Die Codeintegrität ist ein Feature, das die Integrität eines Treibers oder einer Systemdatei jedes Mal überprüft, wenn diese(r) in den Speicher geladen wird.Code integrity is enabled: Code integrity is a feature that validates the integrity of a driver or system file each time it is loaded into memory. Die Codeintegrität erkennt, ob ein nicht signierter Treiber oder eine Systemdatei in den Kernel geladen wird, oder ob eine Systemdatei durch böswillige Software manipuliert wurde, die von einem Benutzerkonto mit Administratorrechten ausgeführt wird.Code integrity detects whether an unsigned driver or system file is being loaded into the kernel, or whether a system file has been modified by malicious software that is being run by a user account with administrator privileges.
    • Sicherer Start ist aktiviert: Wenn der sichere Start aktiviert ist, wird das System gezwungen, in einem vertrauenswürdigen Zustand zu starten.Secure Boot is enabled: When Secure Boot is enabled, the system is forced to boot to a factory trusted state. Wenn der sichere Start aktiviert ist, müssen die zum Starten des Computers verwendeten Kernkomponenten zudem über die richtigen kryptografischen Signaturen verfügen, denen das Unternehmen vertraut, das das Gerät hergestellt hat.Also, when Secure Boot is enabled, the core components used to boot the machine must have correct cryptographic signatures that are trusted by the organization that manufactured the device. Dies wird von der UEFI-Firmware überprüft, bevor der Computer gestartet werden kann.The UEFI firmware verifies this before it lets the machine start. Wenn Dateien manipuliert wurden und dadurch die Signatur ungültig ist, wird das System nicht gestartet.If any files have been tampered with, breaking their signature, the system will not boot.
    • Antischadsoftware-Frühstart ist aktiviert: Der Antischadsoftware-Frühstart (Early Launch Anti-Malware, ELAM) bietet für die Computer im Netzwerk den entsprechenden Schutz beim Start, bevor Treiber von Drittanbietern gestartet werden können.Early-launch antimalware is enabled: Early launch anti-malware (ELAM) provides protection for the computers in your network when they start up and before third party drivers initialize.

Informationen zur Funktionsweise des HAS-Diensts finden Sie unter Integritätsnachweis-CSP.For information on how the HAS service works, see Health Attestation CSP.

Einstellungen für GeräteeigenschaftenDevice property settings

  • Minimal erforderliches Betriebssystem: Wird unter Windows 8.1 und Windows 10 unterstützt.Minimum OS required: - Supported on Windows 8.1, and Windows 10.

Geben Sie hier die Hauptversion.Nebenversion.Buildnummer an.Specify the major.minor.build number here. Die Versionsnummer muss derjenigen entsprechen, die durch den Befehl winver zurückgegeben wird.The version number must correspond to the version returned by the winver command.

Wenn ein Gerät eine frühere Version als die angegebene Betriebssystemversion aufweist, wird es als nicht konform gemeldet.When a device has a earlier version that the specified OS version, it is reported as noncompliant. Ein Link zur Vorgehensweise zum Upgrade wird angezeigt.A link with information on how to upgrade is displayed. Die Endbenutzer können ein Upgrade des Geräts durchführen und anschließend auf die Unternehmensressourcen zugreifen.The end user can choose to upgrade their device after which they can access company resources.

  • Maximal zulässige Betriebssystemversion: Wird unter Windows 8.1 und Windows 10 unterstützt.Maximum OS version allowed: - Supported on Windows 8.1, and Windows 10.

Wenn auf einem Gerät eine neuere Betriebssystemversion verwendet wird, als die Regel erlaubt, wird der Zugriff auf Unternehmensressourcen gesperrt, und der Benutzer wird gebeten, sich an den IT-Administrator zu wenden. Mit diesem Gerät kann solange nicht auf Unternehmensressourcen zugegriffen werden, bis die Regel geändert und die betreffende Betriebssystemversion zugelassen wird.When a device is using an OS version later than the one specified in the rule, access to company resources is blocked and the user is asked to contact their IT admin. Until there is a change in rule to allow the OS version, this device cannot be used to access company resources.

Um die Betriebssystemversion für die Einstellungen Minimal erforderliches Betriebssystem und Maximal zulässige Betriebssystemversion zu finden, führen Sie den Befehl winver an der Eingabeaufforderung aus.To find the OS version to use for the Minimum OS required , and Maximum OS version allowed settings, run the winver command from the command prompt. Der Befehl winver gibt die gemeldete Version des Betriebssystems zurück.+The winver command returns the reported version of the OS.+

  • Windows 8.1-PCs geben die Version 3 zurück.Windows 8.1 PCs return a version of 3. Wenn die Regel für die Betriebssystemversion für Windows auf Windows 8.1 festgelegt ist, wird das betreffende Gerät als nicht kompatibel gemeldet, selbst wenn auf ihm Windows 8.1 installiert ist.If the OS version rule is set to Windows 8.1 for Windows, then the device is reported as noncompliant even if the device has Windows 8.1.
  • Bei PCs unter Windows 10 muss die Version auf "10.0" plus Buildnummer des Betriebssystems festgelegt werden, die vom Befehl winver zurückgegeben wird.PCs running Windows 10, the version should be set as "10.0"+ the OS Build number returned by the winver command.