Verwenden von Konformitätsrichtlinien zum Festlegen von Regeln für Geräte, die Sie mit Intune verwalten

MDM-Lösungen (Mobile Device Management) wie Intune tragen zum Schutz von Unternehmensdaten bei, da Benutzer und Geräte bestimmte Anforderungen erfüllen müssen. In Intune wird dieses Feature Konformitätsrichtlinien genannt.

Konformitätsrichtlinien in Intune:

  • Konformitätsrichtlinien definieren Regeln und Einstellungen, die Benutzer und Geräte erfüllen müssen, um als „konform“ zu gelten.
  • Schließen Sie Aktionen ein, die auf nicht konforme Geräte angewendet werden. Diese Aktionen bei Nichtkonformität können Benutzer an die Gründe der Nichtkonformität warnen und Daten auf nicht konformen Geräten schützen.
  • Sie können in Kombination mit dem bedingten Zugriff verwendet werden, wodurch Benutzer und Geräte blockiert werden, die nicht den Regeln entsprechen.
  • Kann die Konfiguration von Einstellungen überschreiben, die Sie auch über Gerätekonfigurationsrichtlinien verwalten. Weitere Informationen zur Konfliktlösung für Richtlinien finden Sie unter Konformitäts- und Gerätekonfigurationsrichtlinien, die Konflikte verursachen.

Die Konformitätsrichtlinien in Intune haben zwei Teile:

  • Einstellungen für Konformitätsrichtlinien – Mandantenweite Einstellungen, die einer integrierten Konformitätsrichtlinie entsprechen, die jedes Gerät erhält. Die Einstellungen für Konformitätsrichtlinien legen eine Baseline für die Funktionsweise von Konformitätsrichtlinien in ihrer Intune-Umgebung fest. Dazu zählt, ob Geräte, die keine Gerätekonformitätsrichtlinien erhalten haben, als konform oder nicht konform gelten.

  • Gerätekonformitätsrichtlinie – Plattformspezifische Regeln, die Sie konfigurieren und für Gruppen von Benutzern oder Geräten bereitstellen. Diese Regeln definieren die Anforderungen für Geräte, z. B. die minimalen Betriebssysteme oder die Verwendung der Datenträgerverschlüsselung. Geräte müssen diese Regeln erfüllen, um als konform eingestuft zu werden.

Wie bei anderen Intune-Richtlinien sind die Auswertungen der Konformitätsrichtlinie für ein Gerät davon abhängig, wann das Gerät bei Intune eingecheckt wird, und von den Richtlinien- und Profilaktualisierungszyklen.

Einstellungen der Compliancerichtlinie

Die Einstellungen für Konformitätsrichtlinien sind mandantenweite Einstellungen, die bestimmen, wie der Intune-Konformitätsdienst mit Ihren Geräten interagiert. Diese Einstellungen unterscheiden sich von den Einstellungen, die Sie in einer Gerätekonformitätsrichtlinie konfigurieren.

Um die Konformitätsrichtlinieneinstellungen zu verwalten, melden Sie sich bei Microsoft Intune Admin Center an, und wechseln Sie zu Endpunktsicherheit>Gerätekonformitätsrichtlinieneinstellungen>.

Die Einstellungen für Konformitätsrichtlinien umfassen die folgenden Einstellungen:

  • Geräte ohne zugewiesene Konformitätsrichtlinie kennzeichnen als

    Mit dieser Einstellung wird festgelegt, wie Intune Geräte behandelt, denen keine Gerätekonformitätsrichtlinie zugewiesen wurde. Diese Einstellung verfügt über zwei Optionen:

    • Kompatibel (Standard): Dieses Sicherheitsfeature ist deaktiviert. Geräte, denen keine Gerätekonformitätsrichtlinie gesendet wurde, werden als konform betrachtet.
    • Nicht kompatibel: Dieses Sicherheitsfeature ist aktiviert. Geräte, die keine Gerätekonformitätsrichtlinie erhalten haben, werden als nicht konform betrachtet.

    Wenn Sie den bedingten Zugriff mit Ihren Gerätekonformitätsrichtlinien verwenden, ändern Sie diese Einstellung in Nicht konform , um sicherzustellen, dass nur Geräte, die als konform bestätigt wurden, auf Ihre Ressourcen zugreifen können.

    Wenn ein Endbenutzer nicht konform ist, weil ihm keine Richtlinie zugewiesen ist, wird in der Unternehmensportal-App angezeigt, dass keine Konformitätsrichtlinien zugewiesen wurden.

  • Gültigkeitszeitraum des Konformitätsstatus (Tage)

    Geben Sie einen Zeitraum an, in dem Geräte erfolgreich Berichte zu allen empfangenen Konformitätsrichtlinien melden müssen. Wenn ein Gerät vor Ablauf der Gültigkeitsdauer keinen Konformitätsstatus für eine Richtlinie meldet, wird das Gerät als nicht konform behandelt.

    Der Zeitraum ist standardmäßig auf 30 Tage festgelegt. Sie können einen Zeitraum zwischen 1 und 120 Tagen konfigurieren.

    Sie können Details zur Konformität eines Geräts mit der Gültigkeitsdauer-Einstellung anzeigen. Melden Sie sich bei Microsoft Intune Admin Center an, und wechseln Sie zu Kompatibilität derGerätemonitoreinstellung>>. Diese Einstellung hat den Namen Ist aktiv in der Spalte Einstellung. Weitere Informationen zu diesen und zugehörigen Konformitätsstatusansichten finden Sie unter Überwachen der Gerätekonformtät.

Gerätekompatibilitätsrichtlinien

Intune-Gerätekonformitätsrichtlinien:

  • Definieren Regeln und Einstellungen, die Benutzer und verwaltete Geräte erfüllen müssen, um als „konform“ zu gelten. Beispiele für Regeln sind u. a. die Notwendigkeit, dass Geräte eine minimale Betriebssystemversion ausführen, nicht durch Jailbreak oder Rooting manipuliert wurden und maximal die Bedrohungsstufe aufweisen, die von der Bedrohungsmanagementsoftware festgelegt wurde, die Sie in Intune integriert haben.
  • Unterstützen Aktionen, die für Geräte gelten, die Ihre Konformitätsrichtlinie nicht erfüllen. Beispiele für Aktionen sind das Fernsperren oder das Senden einer E-Mail-Nachricht an den Gerätebenutzer zum Gerätestatus, damit dieser die Probleme beheben kann.
  • Werden für Benutzer in Benutzergruppen oder Geräten in Gerätegruppen bereitgestellt. Wenn eine Konformitätsrichtlinie für einen Benutzer bereitgestellt wird, werden alle Geräte des Benutzers auf Konformität überprüft. Die Verwendung von Gerätegruppen in diesem Szenario hilft beim Erstellen von Konformitätsberichten.

Wenn Sie den bedingten Zugriff verwenden, können Ihre Richtlinien für den bedingten Zugriff Ihre Gerätekonformitätsergebnisse verwenden, um den Zugriff auf Ressourcen von nicht konformen Geräten zu blockieren.

Welche Einstellungen verfügbar sind, die Sie in einer Gerätekonformitätsrichtlinie festlegen können, hängt vom Plattformtyp ab, den Sie beim Erstellen einer Richtlinie auswählen. Verschiedene Geräteplattformen unterstützen verschiedene Einstellungen, und jeder Plattformtyp erfordert eine separate Richtlinie.

Die folgenden Themen sind mit dedizierten Artikeln für verschiedene Aspekte der Gerätekonfigurationsrichtlinie verknüpft.

  • Aktionen bei Nichtkonformität – Jede Gerätekonformitätsrichtlinie umfasst mindestens eine Aktion bei Nichtkonformität. Diese Aktionen sind Regeln, die auf Geräte angewendet werden, die die Bedingungen nicht erfüllen, die Sie in der Richtlinie festgelegt haben.

    Standardmäßig umfasst jede Gerätekonformitätsrichtlinie die Aktion, um ein Gerät als nicht konform zu kennzeichnen, wenn eine Richtlinienregel nicht erfüllt wird. Die Richtlinie wendet dann auf das Gerät alle zusätzlichen Aktionen bei Nichtkonformität an, die Sie konfiguriert haben, basierend auf den Zeitplänen, die Sie für diese Aktionen festgelegt haben.

    Aktionen bei Nichtkonformität können Benutzer warnen, wenn ihr Gerät nicht konform ist, oder Daten schützen, die möglicherweise auf einem Gerät vorliegen. Beispiele für Aktionen:

    • Senden von E-Mail-Benachrichtigungen an Benutzer und Gruppen mit Details zum nicht konformen Gerät. Sie können die Richtlinie so konfigurieren, dass sie sofort eine E-Mail sendet, wenn das Gerät als nicht konform gekennzeichnet wird, und danach regelmäßig, bis das Gerät wieder konform ist.
    • Fernsperren von Geräten, die seit einiger Zeit nicht konform sind.
    • Außerbetriebnahme von Geräten, nachdem sie einige Zeit nicht konform waren. Diese Aktion kennzeichnet ein sich qualifizierendes Gerät, das ausgemustert werden kann. Ein Administrator kann dann eine Liste der Geräte anzeigen, die für die Deaktivierung markiert sind, und muss eine explizite Aktion ausführen, um ein oder mehrere Geräte ausmustern zu können. Diese Aktion entfernt das Gerät aus der Intune-Verwaltung und entfernt alle Unternehmensdaten von dem Gerät. Weitere Informationen zu dieser Aktion finden Sie unter Verfügbare Aktionen für nicht konforme Aktionen.
  • Erstellen einer Richtlinie – Mit den Informationen in diesem Artikel können Sie die Voraussetzungen überprüfen, die Optionen zum Konfigurieren von Regeln erkunden, Aktionen bei Nichtkonformität festlegen und die Richtlinie Gruppen zuweisen. Dieser Artikel enthält auch Informationen zu den Aktualisierungszeiten für Richtlinien.

    In den Konformitätseinstellungen für die unterschiedlichen Geräteplattformen finden Sie weitere Informationen:

  • Benutzerdefinierte Konformitätseinstellungen : Mit benutzerdefinierten Konformitätseinstellungen können Sie die integrierten Gerätekonformitätsoptionen von Intune erweitern. Benutzerdefinierte Einstellungen bieten Flexibilität, die Konformität auf den Einstellungen zu basieren, die auf einem Gerät verfügbar sind, ohne warten zu müssen, bis Intune diese Einstellungen hinzugefügt hat.

    Sie können benutzerdefinierte Konformitätseinstellungen für die folgenden Plattformen verwenden:

    • Linux – Ubuntu Desktop, Version 20.04 LTS und 22.04 LTS
    • Windows 10/11

Überwachen des Konformitätsstatus

Intune enthält ein Dashboard für die Gerätekonformität, mit dem Sie den Konformitätsstatus von Geräten überwachen und einen Drilldown zu Richtlinien und Geräten durchführen können, um weitere Informationen zu erhalten. Weitere Informationen zu diesem Dashboard finden Sie unter Überwachen der Gerätekonformität.

Integration mit bedingtem Zugriff

Wenn Sie den bedingten Zugriff verwenden, können Sie Ihre Richtlinien für den bedingten Zugriff so konfigurieren, dass anhand der Ergebnisse Ihrer Gerätekonformitätsrichtlinien bestimmt wird, welche Geräte auf Ihre Unternehmensressourcen zugreifen können. Diese Zugriffssteuerung erfolgt zusätzlich zu und unabhängig von den Aktionen bei Nichtkonformität, die Sie in Ihre Gerätekonformitätsrichtlinien integrieren.

Wenn ein Gerät bei Intune registriert wird, wird es in Microsoft Entra-ID registriert. Die Konformitäts-status für Geräte wird an Microsoft Entra ID gemeldet. Wenn in Ihren Richtlinien für den bedingten Zugriff für die Zugriffsteuerung festgelegt ist, dass das Gerät als konform gekennzeichnet sein muss, verwendet der bedingte Zugriff diesen Konformitätsstatus, um zu bestimmen, ob der Zugriff auf E-Mails und andere Unternehmensressourcen gewährt oder blockiert wird.

Wenn Sie den Gerätekonformitätsstatus mit Richtlinien für den bedingten Zugriff verwenden, müssen Sie überprüfen, wie Ihr Mandant die Einstellung Geräte ohne zugewiesene Konformitätsrichtlinie kennzeichnen als konfiguriert hat, was Sie unter Einstellungen für Konformitätsrichtlinien verwalten können.

Weitere Informationen zur Verwendung des bedingten Zugriffs mit ihren Gerätekonformitätsrichtlinien finden Sie unter Gerätebasierter bedingter Zugriff.

Weitere Informationen zum bedingten Zugriff finden Sie in der Microsoft Entra-Dokumentation:

Verweis auf Nichtkonformität und bedingten Zugriff auf den unterschiedlichen Plattformen

In der folgenden Tabelle wird beschrieben, wie nicht konforme Einstellungen verwaltet werden, wenn eine Konformitätsrichtlinie mit einer Richtlinie für bedingten Zugriff verwendet wird.

  • Wiederhergestellt: Das Betriebssystem des Geräts erzwingt die Kompatibilität. Es ist z.B. erforderlich, dass der Benutzer eine PIN festlegt.

  • Isoliert: Das Betriebssystem des Geräts erzwingt keine Konformität. Android- und Android Enterprise-Geräte zwingen den Benutzer z. B. nicht dazu, das Gerät zu verschlüsseln. Wenn das Gerät nicht konform ist, erfolgen die folgenden Aktionen:

    • Wenn eine Richtlinie für bedingten Zugriff für den Benutzer gilt, wird das Gerät blockiert.
    • Die Unternehmensportal-App benachrichtigt den Benutzer über Konformitätsprobleme.

Richtlinieneinstellung Plattform
Zulässige Distributionen Linux(only) – Unter Quarantäne
Geräteverschlüsselung - Android 4.0 und höher: Isoliert
- Samsung Knox Standard 4.0 und höher:: Isoliert
- Android Enterprise: Isoliert

- iOS 8.0 und höher: Wiederhergestellt (durch Festlegen der PIN)
- macOS 10.11 und höher: Isoliert

- Linux: Unter Quarantäne

- Windows 10/11: Isoliert
E-Mail-Profil - Android 4.0 und höher: Nicht zutreffend
- Samsung Knox Standard 4.0 und höher: Nicht zutreffend
- Android Enterprise: Nicht zutreffend

- iOS 8.0 und höher: Isoliert
- macOS 10.11 und höher: Isoliert

- Linux: Nicht zutreffend

- Windows 10/11: Nicht zutreffend
Per Jailbreak oder Rootzugriff manipuliertes Gerät - Android 4.0 und höher: Isoliert (keine Einstellung)
- Samsung Knox Standard 4.0 und höher: Isoliert (keine Einstellung)
- Android Enterprise: Isoliert (keine Einstellung)

- iOS 8.0 und höher: Isoliert (keine Einstellung)
- macOS 10.11 und höher: Nicht zutreffend

- Linux: Nicht zutreffend

- Windows 10/11: Nicht zutreffend
Maximales Release des Betriebssystems - Android 4.0 und höher: Isoliert
- Samsung Knox Standard 4.0 und höher:: Isoliert
- Android Enterprise: Isoliert

- iOS 8.0 und höher: Isoliert
- macOS 10.11 und höher: Isoliert

- Linux: Siehe Zulässige Distributionen

- Windows 10/11: Isoliert
Minimales Release des Betriebssystems - Android 4.0 und höher: Isoliert
- Samsung Knox Standard 4.0 und höher:: Isoliert
- Android Enterprise: Isoliert

- iOS 8.0 und höher: Isoliert
- macOS 10.11 und höher: Isoliert

- Linux: Siehe Zulässige Distributionen

- Windows 10/11: Isoliert
PIN- oder Kennwortkonfiguration - Android 4.0 und höher: Isoliert
- Samsung Knox Standard 4.0 und höher:: Isoliert
- Android Enterprise: Isoliert

- iOS 8.0 und höher: Wiederhergestellt
- macOS 10.11 und höher: Wiederhergestellt

- Linux: Unter Quarantäne

- Windows 10/11: Behoben
Windows-Integritätsnachweis - Android 4.0 und höher: Nicht zutreffend
- Samsung Knox Standard 4.0 und höher: Nicht zutreffend
- Android Enterprise: Nicht zutreffend

- iOS 8.0 und höher: Nicht zutreffend
- macOS 10.11 und höher: Nicht zutreffend

- Linux: Nicht zutreffend

- Windows 10/11: Isoliert

Hinweis

Die Unternehmensportal-App wechselt in den Registrierungswartungsflow, wenn sich der Benutzer bei der App anmeldet und das Gerät 30 Tage oder länger nicht erfolgreich bei Intune eingecheckt hat (oder das Gerät aufgrund eines Compliance-Grunds für verlorene Kontakte nicht konform ist). In diesem Flow versuchen wir, ein weiteres Mal einen Check-In zu initiieren. Wenn dies immer noch nicht erfolgreich ist, geben wir einen Außerkraftsetzen-Befehl aus, damit der Benutzer das Gerät manuell erneut registrieren kann.


Nächste Schritte