Endpoint Protection-Einstellungen für Windows 10 und höher in Microsoft IntuneEndpoint protection settings for Windows 10 and later in Microsoft Intune

Gilt für: Intune im Azure-PortalApplies to: Intune in the Azure portal
Suchen Sie nach der Dokumentation zu Intune im klassischen Portal?Looking for documentation about Intune in the classic portal? Klicken Sie hier.Go here.

Mit dem Endpoint Protection-Profil können Sie Sicherheitsfunktionen auf Windows 10-Geräten steuern, wie z.B. BitLocker und Windows Defender.The endpoint protection profile let you control security features on Windows 10 devices, like BitLocker, and Windows Defender.

In diesem Thema erfahren Sie, wie Sie Endpoint Protection-Profile erstelle können.Use the information in this topic to learn how to create endpoint protection profiles.

Hinweis

Diese Einstellungen werden nicht auf der Home Edition und auf der Professional Edition von Windows 10 unterstützt.These settings are not supported on the Home and Professional editions of Windows 10.

Erstellen eines Endpoint Protection-ProfilsCreate an endpoint protection profile

  1. Melden Sie sich beim Azure-Portal an.Sign into the Azure portal.
  2. Wählen Sie Weitere Dienste > Überwachung und Verwaltung > Intune aus.Choose More Services > Monitoring + Management > Intune.
  3. Wählen Sie auf dem Blatt Intune die Option Gerätekonfiguration aus.On the Intune blade, choose Device configuration.
  4. Wählen Sie auf dem Blatt Gerätekonfiguration die Option Verwalten > Profile aus.On the Device Configuration blade, choose Manage > Profiles.
  5. Wählen Sie auf dem Blatt „Profile“ die Option Profil erstellen aus.On the profiles blade, choose Create Profile.
  6. Geben Sie auf dem Blatt Profil erstellen einen Namen und eine Beschreibung für das Gerätefunktionsprofil ein.On the Create Profile blade, enter a Name and Description for the device features profile.
  7. Wählen Sie in der Dropdownliste Plattform die Option Windows 10 und höher aus.From the Platform drop-down list, select Windows 10 and later.
  8. Wählen Sie in der Dropdownliste Profiltyp die Option Endpoint Protection aus.From the Profile type drop-down list, choose Endpoint protection.
  9. Nehmen Sie auf dem Blatt Windows-Verschlüsselung die gewünschten Einstellungen vor.On the Windows encryption blade, configure the settings you want. Die Angaben in diesem Thema helfen Ihnen dabei zu verstehen, was die Auswirkungen jeder Einstellung sind.Use the details in this topic to help you understand what each setting does. Wenn Sie fertig sind, wählen Sie OK aus.When you are finished, choose OK.
  10. Gehen Sie zurück zum Blatt Profil erstellen, und klicken Sie auf Erstellen.Go back to the Create Profile blade, and choose Create.

Das Profil wird erstellt und auf dem Blatt mit der Profilliste angezeigt.The profile is created and appears on the profiles list blade.

Einstellungen für Windows Defender SmartScreenWindows Defender SmartScreen settings

  • SmartScreen für Apps und Dateien: Hiermit wird Windows SmartScreen für die Datei- und App-Ausführung aktiviert.SmartScreen for apps and files - Enable Windows SmartScreen for file execution, and running apps.
  • Ausführung nicht überprüfter Dateien: Hiermit wird die Ausführung von Dateien durch den Benutzer gesperrt, die nicht durch Windows SmartScreen überprüft wurden.Unverified files execution - Block the end user from running files that have not been verified by Windows SmartScreen.

Windows-VerschlüsselungseinstellungenWindows encryption settings

Windows-EinstellungenWindows Settings

  • Geräte müssen verschlüsselt sein (nur Desktop): Wenn diese Einstellung aktiv ist, werden Benutzer aufgefordert, die Geräteverschlüsselung zu aktivieren.Require devices to be encrypted (Desktop only) - If enabled, users are prompted to enable device encryption. Zusätzlich werden Sie gebeten zu bestätigen, dass keine Verschlüsselung eines anderen Anbieters aktiviert ist.Additionally, they are asked to confirm that encryption from another provider has not been enabled. Wenn die Windows-Verschlüsselung eingeschaltet wird, während eine andere Verschlüsselungsmethode aktiv ist, wird das Gerät möglicherweise instabil.If Windows encryption is turned on while another encryption method is active, the device might become unstable.
  • Speicherkarte muss verschlüsselt sein (nur mobil): Wenn diese Einstellung aktiv ist, werden alle vom Gerät verwendeten Wechselspeicherkarten verschlüsselt.Require Storage Card to be encrypted (mobile only) - Enable this setting to encrypt any removable storage cards used by the device.

BitLocker-GrundeinstellungenBitLocker base settings

  • Verschlüsselungsmethoden konfigurieren: Wenn diese Einstellung aktiv ist, können Sie Verschlüsselungsalgorithmen für Betriebssystem-, Daten- und Wechseldatenträger konfigurieren.Configure encryption methods - Enable this setting to configure encryption algorithms for operating system, data, and removable drives.
    • Verschlüsselung für Betriebssystemlaufwerke: Wählen Sie die Verschlüsselungsmethode für Betriebssystemlaufwerken.Encryption for operating system drives - Choose the encryption method for operating system drives. Es wird empfohlen, dass Sie den XTS-AES-Algorithmus verwenden.We recommend you use the XTS-AES algorithm.
    • Verschlüsselung für Festplattenlaufwerke: Wählen Sie die Verschlüsselungsmethode für Festplattenlaufwerke (integriert).Encryption for fixed data-drives - Choose the encryption method for fixed (built-in) data drives. Es wird empfohlen, dass Sie den XTS-AES-Algorithmus verwenden.We recommend you use the XTS-AES algorithm.
    • Verschlüsselung für Wechseldatenträger: Wählen Sie die Verschlüsselungsmethode für Wechseldatenträger.Encryption for removable data-drives - Choose the encryption method for removable data drives. Wenn der Wechseldatenträger mit Geräten verwendet wird, die nicht unter Windows 10 laufen, wird empfohlen, dass Sie den AES-CBC-Algorithmus verwenden.If the removable drive is used with devices that are not running Windows 10, we recommend you use the AES-CBC algorithm.

Einstellung für BitLocker-OS-DatenträgerBitLocker OS drive settings

  • Zusätzliche Authentifizierung beim Start anfordern -Require additional authentication at startup -
    • BitLocker mit nicht kompatiblem TPM-Chip -BitLocker with non-compatible TPM chip -
    • TPM-Systemstart: Legen Sie fest, ob ein TPM-Chip verwendet werden darf oder muss.TPM startup - Configure whether the TPM chip is allowed, not allowed, or required.
    • TPM-Systemstart-PIN: Legen Sie fest, ob mit dem TPM-Chip ein Systemstart-PIN verwendet werden darf oder muss.TPM startup PIN - Configure whether using a startup PIN with the TPM chip is allowed, not allowed, or required.
    • TPM-Systemstartschlüssel: Legen Sie fest, ob mit dem TPM-Chip ein Systemstartschlüssel verwendet werden darf oder muss.TPM startup key - Configure whether using a startup key with the TPM chip is allowed, not allowed, or required.
    • TPM-Systemstartschlüssel und -Systemstart-PIN: Legen Sie fest, ob mit dem TPM-Chip ein Systemstartschlüssel und ein PIN verwendet werden darf oder muss.TPM startup key and PIN - Configure whether using a startup key and PIN with the TPM chip is allowed, not allowed, or required.
  • PIN-Mindestlänge: Wenn diese Einstellung aktiv ist, können Sie eine Mindestlänge für den TPM-Systemstart-PIN festlegen.Minimum PIN Length - Enable this setting to configure a minimum length for the TPM startup PIN.
    • Mindestanzahl von Zeichen: Geben Sie die Zahl an Zeichen an, die für den Systemstart-PIN erforderlich sind, zwischen 4-20.Minimum characters - Enter the number of characters required for the startup PIN from 4-20.
  • Betriebssystemwiederherstellung aktivieren: Wenn diese Einstellung aktiv ist, können Sie steuern, wie durch BitLocker geschützte Betriebssystemdatenträger wiederhergestellt werden, wenn die erforderlichen Systemstartinformationen nicht verfügbar sind.Enable OS drive recovery - Enable this setting to control how BitLocker-protected operating system drives are recovered when the required start-up information is not available.
    • Agent für zertifikatbasierte Datenwiederherstellung: Wenn diese Einstellung aktiv ist, können Datenwiederherstellungs-Agents mit durch BitLocker geschützten Betriebssystemdatenträgern verwendet werden.Certificate-based data recovery agent - Enable this setting if you want data recovery agents to be able to be used with BitLocker-protected operating system drives.
    • Erstellung des Wiederherstellungskennworts durch den Benutzer: Legen Sie fest, ob Benutzer ein 48-stelliges Wiederherstellungskennwort generieren dürfen oder müssen.User creation of recovery password - Configure whether users are allowed, required, or not allowed to generate a 48-digit recovery password.
    • Erstellung des Wiederherstellungsschlüssels durch den Benutzer: Legen Sie fest, ob Benutzer ein 256-Bit-Wiederherstellungskennwort generieren dürfen oder müssen.User creation of recovery key - Configure whether users are allowed, required, or not allowed to generate a 256-bit recovery key.
    • Wiederherstellungsoptionen im BitLocker-Setup-Assistenten ausblenden: Wenn Sie diese Einstellung festlegen, können Sie verhindern, dass Benutzer Wiederherstellungsoptionen sehen bzw. ändern können, wenn sie BitLocker aktivieren.Hide recovery options in the BitLocker setup wizard - Enable this setting to prevent users from seeing, or changing recovery options when they turn on BitLocker.
    • BitLocker-Wiederherstellungsinformationen in AD DS speichern: Aktiviert das Speichern von BitLocker-Wiederherstellungsinformationen in Active Directory.Save BitLocker recovery information to AD DS - Enables the storage of BitLocker recovery information in Active Directory.
    • Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS konfigurieren: Legen Sie fest, welche BitLocker-Wiederherstellungsinformationen in Active Directory gespeichert werden.Configure storage of BitLocker recovery Information to AD DS - Configure what parts of BitLocker recovery information are stored in Active Directory. Wählen Sie aus:Choose from:
      • Wiederherstellungskennwörter und Schlüsselpakete sichernBackup recovery passwords and key packages
      • Nur Wiederherstellungskennwörter sichernBackup recovery passwords only
    • Wiederherstellungsinformationen müssen vor dem Aktivieren von BitLocker in AD DS gespeichert werden: Wenn diese Einstellung aktiviert ist, verhindern Sie, dass Benutzer BitLocker aktivieren, es sei denn, das Gerät ist mit einer Domäne verbunden.Require recovery information to be stored in AD DS before enabling BitLocker - Enable this setting to stop users from turning on BitLocker unless the device is domain-joined, and BitLocker recovery information is successfully stored in Active Directory.
  • Pre-Boot-Wiederherstellungsmeldung und -URL aktivieren: Legen Sie diese Einstellung fest, um die Meldung und URL zu konfigurieren, die auf dem Pre-Boot-Schlüsselwiederherstellungsbildschirm angezeigt werden.Enable pre-boot recovery message and URL - Enable this setting to configure the message and URL that are displayed on the pre-boot key recovery screen.
    • Pre-Boot-Wiederherstellungsmeldung: Legen Sie fest, wie die Pre-Boot-Wiederherstellungsmeldung Benutzern angezeigt wird.Pre-boot recovery message - Configure how the pre-boot recovery message displays to users. Wählen Sie aus:Choose from:
      • Standardmäßige Wiederherstellungsmeldung und -URL verwendenUse default recovery message and URL
      • Leere Wiederherstellungsmeldung und -URL verwendenUse empty recovery message and URL
      • Benutzerdefinierte WiederherstellungsmeldungUse custom recovery message
      • Benutzerdefinierte Wiederherstellungs-URLUse custom recovery URL

Einstellungen für das BitLocker-FestplattenlaufwerkBitLocker fixed data-drive settings

  • Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch BitLocker geschützt sind: Wenn diese Einstellung festgelegt wurde, muss der BitLocker-Schutz auf allen Festplatten- und integrierten Laufwerken aktiviert sein, damit in sie geschrieben werden kann.Deny write access to fixed data-drive not protected by BitLocker - If enabled, BitLocker protection must be enabled on all fixed, or built-in data drives to be able to write to them.
  • Wiederherstellung von Festplattenlaufwerken aktivieren: Wenn diese Einstellung festgelegt wurde, können Sie steuern, wie durch BitLocker geschützte Festplattenlaufwerke wiederhergestellt, wenn die erforderlichen Systemstartinformationen nicht vorliegen.Enable fixed drive recovery - Enable this setting to control how BitLocker-protected fixed drives are recovered when the required start-up information is not available.
    • Datenwiederherstellungs-Agent: Wenn diese Einstellung aktiviert ist, können Datenwiederherstellungs-Agents mit durch BitLocker geschützten Festplattenlaufwerken verwendet werden.Data recovery agent - Enable this setting if you want data recovery agents to be used with BitLocker-protected fixed drives.
    • Erstellung des Wiederherstellungskennworts durch den Benutzer: Legen Sie fest, ob Benutzer ein 48-stelliges Wiederherstellungskennwort generieren dürfen oder müssen.User creation of recovery password - Configure whether users are allowed, required, or not allowed to generate a 48-digit recovery password.
    • Erstellung des Wiederherstellungsschlüssels durch den Benutzer: Legen Sie fest, ob Benutzer ein 256-Bit-Wiederherstellungskennwort generieren dürfen oder müssen.User creation of recovery key - Configure whether users are allowed, required, or not allowed to generate a 256-bit recovery key.
    • Wiederherstellungsoptionen im BitLocker-Setup-Assistenten ausblenden: Wenn Sie diese Einstellung festlegen, können Sie verhindern, dass Benutzer Wiederherstellungsoptionen sehen bzw. ändern können, wenn sie BitLocker aktivieren.Hide recovery options in the BitLocker setup wizard - Enable this setting to prevent users from seeing, or changing recovery options when they turn on BitLocker.
    • BitLocker-Wiederherstellungsinformationen in AD DS speichern: Aktiviert das Speichern von BitLocker-Wiederherstellungsinformationen in Active Directory.Save BitLocker recovery information to AD DS - Enables the storage of BitLocker recovery information in Active Directory.
    • Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS konfigurieren: Legen Sie fest, welche BitLocker-Wiederherstellungsinformationen in Active Directory gespeichert werden.Configure storage of BitLocker recovery Information to AD DS - Configure what parts of BitLocker recovery information are stored in Active Directory. Wählen Sie aus:Choose from:
      • Wiederherstellungskennwörter und Schlüsselpakete sichernBackup recovery passwords and key packages
      • Nur Wiederherstellungskennwörter sichernBackup recovery passwords only
    • Wiederherstellungsinformationen müssen vor dem Aktivieren von BitLocker in AD DS gespeichert werden: Aktivieren Sie diese Einstellung, um zu verhindern, dass Benutzer BitLocker aktivieren, es sei denn, das Gerät ist mit einer Domäne verbunden und BitLocker-Wiederherstellungsinformationen wurden erfolgreich in Active Directory gespeichert.Require recovery information to be stored in AD DS before enabling BitLocker - Enable this setting to stop users from turning on BitLocker unless the device is domain-joined, and BitLocker recovery information has been successfully stored in Active Directory.

Einstellungen für den BitLocker-WechseldatenträgerBitLocker removable data-drive settings

  • Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind: Legen Sie fest, ob die BitLocker-Verschlüsselung für Wechseldatenträger erforderlich ist.Deny write access to removable data-drive not protected by BitLocker - Specify whether BitLocker encryption is required for removable storage drives.
    • Schreibzugriff auf Geräte blockieren, die in einer anderen Organisation konfiguriert sind: Legen Sie fest, ob in Wechseldatenträger, die einer anderen Organisation angehören, geschrieben werden darf.Block write access to devices configured in another organization - Specify whether removable data drives that belong to another organization can be written to.

Nächste SchritteNext steps

Wenn Sie fortfahren und dieses Profil Gruppen zuweisen möchten, lesen Sie unter Zuweisen von Geräteprofilen nach.If you want to go ahead and assign this profile to groups, see How to assign device profiles.