Erste Schritte mit den Gerätekonformitätsrichtlinien in IntuneGet started with device compliance policies in Intune

Konformitätsanforderungen gehören zu den wesentlichen Regeln, wie die Notwendigkeit eines Geräte-PINs oder die Verschlüsselung.Compliance requirements are essentially rules, such as requiring a device PIN, or requiring encryption. Gerätekonformitätsrichtlinien definieren diese Regeln und Einstellungen, die ein Gerät erfüllen muss, damit es als konform eingestuft wird.Device compliance policies define these rules and settings that a device must follow to be considered compliant. Diese Regeln beinhalten:These rules include:

  • Verwendung eines Kennworts für den GerätezugriffUse a password to access devices

  • VerschlüsselungEncryption

  • Ermittlung, ob das Gerät mit Jailbreak oder Rooting manipuliert wurdeWhether the device is jail-broken or rooted

  • Mindestens erforderliche BetriebssystemversionMinimum OS version required

  • Maximal zulässige BetriebssystemversionMaximum OS version allowed

  • Vorgabe, dass das Gerät höchstens die Mobile Threat Defense-Stufe aufweisen darfRequire the device to be at, or under the Mobile Threat Defense level

Mithilfe von Kompatibilitätsrichtlinien können Sie den Kompatibilitätsstatus auf Ihren Geräten überwachen.You can also use device compliance policies to monitor the compliance status in your devices.

VoraussetzungenPrerequisites

Folgendes ist erforderlich, um die Gerätekonformitätsrichtlinien zu verwenden:To use device compliance policies, the following are required:

  • Verwenden Sie folgende Abonnements:Use the following subscriptions:

    • IntuneIntune
    • Azure Active Directory (AD) PremiumAzure Active Directory (AD) Premium
  • Verwenden Sie eine unterstützte Plattform:Use a supported platform:

    • AndroidAndroid
    • iOSiOS
    • macOS (Vorschau)macOS (preview)
    • Windows 8.1Windows 8.1
    • Windows Phone 8.1Windows Phone 8.1
    • Windows 10Windows 10
  • Geräte müssen in Intune registriert werden, um deren Konformitätsstatus melden zu können.To report their compliance status, devices must be enrolled in Intune

  • Geräte, die für einen Benutzer oder ein Gerät ohne primären Benutzer registriert sind, werden unterstützt.Devices enrolled to one user or devices with no primary user are supported. Mehrere Benutzerkontexte werden nicht unterstützt.Multiple user contexts are not supported.

So funktionieren Intune-Gerätekonformitätsrichtlinien mit Azure ADHow Intune device compliance policies work with Azure AD

Wenn ein Gerät in Intune registriert wird, beginnt der Azure AD-Registrierungsprozess, wodurch die Geräteattribute in Azure AD aktualisiert werden.When a device is enrolled in Intune, the Azure AD registration process starts, and updates the device attributes into Azure AD. Ein wichtiger Teil der Information ist der Gerätekonformitätsstatus.One key piece of information is the device compliance status. Dieser Gerätekonformitätsstatus wird von bedingten Zugriffsrichtlinien zum Blockieren oder Zulassen des Zugriffs auf E-Mails und andere Unternehmensressourcen verwendet.This compliance status is used by conditional access policies to block or allow access to e-mail and other corporate resources.

Der Azure AD-Registrierungsprozess bietet mehr Informationen.Azure AD registration process provides more information.

Zuweisen eines resultierenden Profilstatus für die GerätekonfigurationAssign a resulting device configuration profile status

Wenn ein Gerät mehrere Konfigurationsprofile hat und es über verschiedene Konformitätsstatus für mindestens zwei zugeordnete Konfigurationsprofile verfügt, wird genau ein resultierender Konformitätsstaus zugewiesen.If a device has multiple configuration profiles, and the device has different compliance statuses for two or more of the assigned configuration profiles, then a single resulting compliance status is assigned. Diese Zuweisung basiert auf einem konzeptuellen Schweregrad, der den einzelnen Konformitätsstatus zugewiesen ist.This assignment is based on a conceptual severity level assigned to each compliance status. Jeder Konformitätsstatus verfügt über den folgenden Schweregrad:Each compliance status has the following severity level:

StatusStatus SchweregradSeverity
PendingPending 11
SucceededSucceeded 22
FailedFailed 33
FehlerError 44

Hat ein Gerät mehrere Konfigurationsprofile, so wird dem Gerät der höchste Schweregrad aller Profile zugewiesen.When a device has multiple configuration profiles, then the highest severity level of all the profiles is assigned to that device.

Angenommen, ein Gerät verfügt z.B. über drei ihm zugewiesene Profile: einen Status „Ausstehend“ (Schweregrad = 1), einen Status „Erfolgreich“ (Schweregrad = 2) und einen Status „Fehler“ (Schweregrad = 4).For example, say a device has three profiles assigned to it: one Pending status (severity = 1), one Succeeded status (severity = 2), and one Error status (severity = 4). Der Status „Fehler“ hat den höchsten Schweregrad, sodass alle drei Profile über den Konformitätsstatus „Fehler“ verfügen.The Error status has the highest severity level, so all three profiles have the Error compliance status.

Zuweisung eines InGracePeriod-StatusAssign an InGracePeriod status

Der InGracePeriod-Status für eine Konformitätsrichtlinie ist ein Wert.The InGracePeriod status for a compliance policy is a value. Der Wert wird durch die Kombination der Toleranzzeit eines Geräts und dem tatsächlichen Status eines Geräts für diese Konformitätsrichtlinie ermittelt.This value is determined by the combination of a device’s grace period, and a device’s actual status for that compliance policy.

Im Detail bedeutet das: Wenn ein Gerät den Status „NonCompliant“ für eine zugewiesene Richtlinie aufweist und:Specifically, if a device has a NonCompliant status for an assigned compliance policy, and:

  • dem Gerät keine Toleranzperiode zugewiesen ist, lautet der zugewiesene Wert für die Konformitätsrichtlinie „NonCompliant“.the device has no grace period assigned to it, then the assigned value for the compliance policy is NonCompliant
  • die Toleranzperiode des Geräts abgelaufen ist, lautet der zugewiesene Wert für die Konformitätsrichtlinie „NonCompliant“.the device has a grace period that is expired, then the assigned value for the compliance policy is NonCompliant
  • die Toleranzperiode des Geräts erst in der Zukunft abläuft, lautet der zugewiesene Wert für die Konformitätsrichtlinie „InGracePeriod“.the device has a grace period that is in the future, then the assigned value for the compliance policy is InGracePeriod

In der folgenden Tabelle werden diese Punkte zusammengefasst:The following table summarizes these points:

Tatsächlicher KonformitätsstatusActual compliance status Wert der zugewiesenen ToleranzperiodeValue of assigned grace period Effektiver KonformitätsstatusEffective compliance status
NonCompliantNonCompliant Keine Toleranzperiode zugewiesenNo grace period assigned NonCompliantNonCompliant
NonCompliantNonCompliant Datum vom VortagYesterday’s date NonCompliantNonCompliant
NonCompliantNonCompliant Datum des folgenden TagesTomorrow’s date InGracePeriodInGracePeriod

Weitere Informationen zum Überwachen der Richtlinien zur Gerätekonformität finden Sie unter Überwachen von Intune-Richtlinien zur Gerätekonformität.For more information about monitoring device compliance policies, see Monitor Intune Device compliance policies.

Zuweisen eines resultierenden KonformitätsrichtlinienstatusAssign a resulting compliance policy status

Wenn ein Gerät mehrere Konfigurationsprofile hat und es über verschiedene Konformitätsstatus für mindestens zwei zugeordnete Konformitätsprofile verfügt, wird genau ein resultierender Konformitätsstaus zugewiesen.If a device has multiple compliance policies, and the device has different compliance statuses for two or more of the assigned compliance policies, then a single resulting compliance status is assigned. Diese Zuweisung basiert auf einem konzeptuellen Schweregrad, der den einzelnen Konformitätsstatus zugewiesen ist.This assignment is based on a conceptual severity level assigned to each compliance status. Jeder Konformitätsstatus verfügt über den folgenden Schweregrad:Each compliance status has the following severity level:

StatusStatus SchweregradSeverity
UnbekanntUnknown 11
NotApplicableNotApplicable 22
KompatibelCompliant 33
InGracePeriodInGracePeriod 44
NonCompliantNonCompliant 55
FehlerError 66

Hat ein Gerät mehrere Konformitätsrichtlinien, so wird dem Gerät der höchste Schweregrad aller Richtlinien zugewiesen.When a device has multiple compliance policies, then the highest severity level of all the policies is assigned to that device.

Angenommen, einem Gerät sind z.B. drei Konformitätsrichtlinien zugewiesen: ein Status „Unbekannt“ (Schweregrad = 1), ein Status „Konform“ (Schweregrad = 3) und ein Status „InGracePeriod“ (Schweregrad = 4).For example, say a device has three compliance policies assigned to it: one Unknown status (severity = 1), one Compliant status (severity = 3), and one InGracePeriod status (severity = 4). Der Status „InGracePeriod“ hat den höchsten Schweregrad, sodass alle drei Richtlinien über den Konformitätsstatus „InGracePeriod“ verfügen.The InGracePeriod status has the highest severity level, so all three policies have the InGracePeriod compliance status.

Möglichkeiten, die Gerätekonformitätsrichtlinien zu verwaltenWays to use device compliance policies

Mit bedingten ZugriffWith conditional access

Geräten, welche die Richtlinienregeln einhalten, können Sie Zugriff auf E-Mail- und andere Unternehmensressourcen gewähren.For devices that comply to policy rules, you can give those devices access to email and other corporate resources. Wenn die Geräte die Richtlinienregeln nicht einhalten, erhalten sie keinen Zugriff auf Unternehmensressourcen.If the devices don't comply to policy rules, then they don't get access to corporate resources. Dies ist der bedingte Zugriff.This is conditional access.

Ohne bedingten ZugriffWithout conditional access

Gerätekonformitätsrichtlinien können auch ohne einen bedingten Zugriff verwendet werden.You can also use device compliance policies without any conditional access. Bei unabhängiger Nutzung von Kompatibilitätsrichtlinien werden die Zielgeräte ausgewertet und mit ihrem Kompatibilitätsstatus gemeldet.When you use compliance policies independently, the targeted devices are evaluated and reported with their compliance status. So können Sie beispielsweise einen Bericht dazu erstellen, wie viele Geräte nicht verschlüsselt sind oder mit Jailbreak oder Rootzugriff manipuliert wurden.For example, you can get a report on how many devices are not encrypted, or which devices are jail-broken or rooted. Wenn Sie Kompatibilitätsrichtlinien ohne bedingten Zugriff nutzen, gelten keine Zugriffsbeschränkungen für Unternehmensressourcen.When you use compliance policies without conditional access, there are no access restrictions to company resources.

Möglichkeiten, die Gerätekonformitätsrichtlinien bereitzustellenWays to deploy device compliance policies

Sie können Benutzern die Konformitätsrichtlinie in Benutzergruppen oder Geräten in Gerätegruppen bereitstellen.You can deploy compliance policy to users in user groups or devices in device groups. Wenn Sie eine Konformitätsrichtlinie für einen Benutzer bereitstellen, wird die Konformität aller Geräte des Benutzers überprüft.When a compliance policy is deployed to a user, all of the user's devices are checked for compliance.

Die Einstellungen zur Konformitätsrichtlinie (Azure-Portal > Gerätekonformität) enthalten Folgendes:The Compliance policy settings (Azure portal > Device compliance) include:

  • Kennzeichnen von Geräten, die keine Konformitätsrichtlinie zugewiesen haben, als: Diese Eigenschaft verfügt über zwei Werte:Mark devices with no compliance policy assigned as: This property has two values:

    • Konform: Sicherheitsfeature ist ausgeschaltetCompliant: security feature off
    • Nicht konform (Standard): Sicherheitsfeature ist eingeschaltetNot compliant (default): security feature on

    Ist einem Gerät keine Konformitätsrichtlinie zugewiesen, dann wird dieses Gerät als nicht konform erachtet.If a device doesn't have a compliance policy assigned, then this device is considered not compliant. Standardmäßig werden Geräte als Konform gekennzeichnet.By default, devices are marked as Compliant. Wenn Sie den bedingten Zugriff verwenden, sollten Sie die Einstellung auf Nicht konform festlegen.If you use conditional access, we recommended you change the setting to Not compliant. Falls ein Benutzer nicht konform ist, da keine Richtlinie zugewiesen ist, führt das Unternehmensportal No compliance policies have been assigned auf.If an end user is not compliant because a policy isn't assigned, then Company Portal lists No compliance policies have been assigned.

  • Verbesserte Erkennung von Jailbreaks: Ist diese Einstellung aktiviert, werden iOS-Geräte bei Intune regelmäßiger eingecheckt.Enhanced jailbreak detection: When enabled, this setting causes iOS devices to check-in with Intune more frequently. Durch die Aktivierung dieser Eigenschaft werden die Ortungsdienste des Gerätes verwendet und der Akkuverbrauch wird beeinflusst.Enabling this property uses the device’s location services, and impacts battery usage. Die Ortungsdaten des Benutzers werden nicht bei Intune gespeichert.The user location data is not stored by Intune.

    Für die Aktivierung dieser Einstellung müssen Geräte:Enabling this setting requires devices to:

    • Ortungsdienste auf OS-Ebene aktivierenEnable location services at the OS level
    • dem Unternehmensportal erlauben, die Ortungsdienste zu nutzenAllow the company portal to use location services
    • den Jailbreak-Status mindestens alle 72 Stunden bewerten und Intune melden.Evaluate and report its jailbreak status to Intune at least once every 72 hours. Andernfalls wird das Gerät als nicht konform gekennzeichnet.Otherwise, the device is marked not compliant.
  • Gültigkeitszeitraum des Kompatibilitätsstatus (in Tagen): Geben Sie den Zeitraum ein, in dem die Geräte den Status für alle empfangenen Konformitätsrichtlinien meldet.Compliance status validity period (days): Enter the time period that devices report the status for all received compliance policies. Geräte, die innerhalb dieses Zeitraums keine Statusmeldung abgeben, werden als nicht konform behandelt.Devices that don't return the status within this time period are treated as noncompliant. Der Standardwert ist 30 Tage.The default value is 30 days.

Alle Geräte verfügen über eine Standardrichtlinie für Gerätekonformität (Azure-Portal > Gerätekonformität > Richtlinienkonformität).All devices have a Default Device Compliance Policy (Azure portal > Device compliance > Policy compliance). Verwenden Sie diese Standardrichtlinie, um diese Einstellungen zu überwachen.Use this default policy to monitor these settings.

Informationen darüber, wie lange es dauert, bis eine Richtlinie für mobile Geräte nach der Bereitstellung der Richtlinie abgerufen wird, finden Sie unter Beheben von Problemen mit Profilen.To learn the time it takes for mobile devices to get a policy after the policy is deployed, see Troubleshooting device profiles.

Mit Konformitätsberichten können Sie den Status von Geräten überprüfen.Compliance reports are a great way to check the status of devices. Weitere Informationen finden Sie unter Überwachen von Intune-Richtlinien zur Gerätekompatibilität.See Monitor compliance policies for guidance.

Aktionen bei InkompatibilitätActions for noncompliance

Sie können eine zeitlich strukturierte Aktionsfolge für Geräte konfigurieren, die die Kriterien der Konformitätsrichtlinie nicht erfüllen.You can configure a time-ordered sequence of actions that apply to devices that don't meet the compliance policy criteria. Diese Aktionen für Nichtkonformität können wie unter Automatisieren von E-Mails und Hinzufügen von Aktionen für nicht konforme Geräte in Intune automatisiert werden.These actions for noncompliance can be automated, as described in Automate actions for noncompliance.

Klassisches Azure-Portal im Vergleich mit dem Azure-PortalAzure classic portal vs. Azure portal

Der Hauptunterschied bei der Verwendung von Gerätekonformitätsrichtlinien im Azure-Portal:The main difference when using device compliance policies in the Azure portal:

  • Im Azure-Portal werden die Konformitätsrichtlinien separat für jede unterstützte Plattform erstellt.In the Azure portal, the compliance policies are created separately for each supported platform
  • Im klassischen Azure-Portal wird eine Gerätekonformitätsrichtlinie für alle unterstützten Plattformen verwendet.In the Azure classic portal, one device compliance policy is common to all supported platforms

Gerätekonformitätsrichtlinien im klassischen Portal und im Azure-PortalDevice compliance policies in the classic portal and Azure portal

Gerätekonformitätsrichtlinien, die im klassischen Portal erstellt wurden, erscheinen nicht im Azure-Portal.Device compliance policies created in the classic portal don't appear in the Azure portal. Sie sind jedoch weiterhin für Benutzer bestimmt und können mithilfe des klassischen Portals verwaltet werden.However, they’re still targeted to users and manageable using the classic portal.

Sie müssen eine neue Gerätekonformitätsrichtlinien im Azure-Portal erstellen, um die Features für Gerätekonformität im Azure-Portal zu nutzen.To use the device compliance-related features in the Azure portal, you must create new device compliance policies in the Azure portal. Wenn Sie eine Gerätekonformitätsrichtlinie im Azure-Portal einem Benutzer zuweisen, dem auch eine Gerätekonformitätsrichtlinie aus dem klassischen Portal zugewiesen wurde, haben die Gerätekonformitätsrichtlinien aus dem Azure-Portal Vorrang vor denen, die im klassischen Portal erstellt wurden.If you assign a device compliance policy in the Azure portal to a user who is also assigned a device compliance policy from the classic portal, then the device compliance policies from the Azure portal take precedence over the policies created in the classic portal.

Nächste SchritteNext steps