Konfigurieren von Aktionen für nicht konforme Geräte in IntuneConfigure actions for noncompliant devices in Intune

Für Geräte, die nicht Ihren Konformitätsrichtlinien oder -regeln entsprechen, können Sie Aktionen bei Inkompatibilität hinzufügen.For devices that don't meet your compliance policies or rules, you can add Actions for noncompliance. Dieses Feature konfiguriert eine zeitlich angeordnete Sequenz an Aktionen wie z. B. E-Mails an den Endbenutzer.This feature configures a time-ordered sequence of actions, such as emailing the end user, and more.

ÜbersichtOverview

Standardmäßig enthält jede Konformitätsrichtlinie die Aktion bei Nichtkonformität von Gerät als nicht konform markieren mit einem Zeitplan von null Tagen (0).By default, each compliance policy includes the action for noncompliance of Mark device noncompliant with a schedule of zero days (0). Wenn Intune feststellt, dass ein Gerät nicht konform ist, markiert Intune das Gerät sofort als „nicht konform“.The result of this default is when Intune detects a device isn't compliant, Intune immediately marks the device as noncompliant. Nachdem ein Gerät als nicht konform gekennzeichnet wurde, kann das Gerät durch den bedingten Zugriff von Azure Active Directory (AD) blockiert werden.After a device is marked as noncompliance, Azure Active Directory (AD) Conditional Access can block the device.

Durch die Konfiguration von Aktionen bei Nichtkonformität gewinnen Sie die Flexibilität, zu entscheiden, wie und wann mit nicht konformen Geräten zu verfahren ist.By configuring Actions for noncompliance you gain flexibility to decide what to do about noncompliant devices, and when to do it. Sie können beispielsweise auswählen, dass das Gerät nicht sofort blockiert werden soll, und dem Benutzer eine Toleranzperiode einräumen, in der er dafür sorgen kann, dass das Gerät konform wird.For example, you might choose to not block the device immediately, and give the user a grace period to become compliant.

Für jede Aktion, die Sie festlegen, können Sie einen Zeitplan konfigurieren, der bestimmt, wann eine Aktion wirksam wird.For each action you set, you can configure a schedule that determines when that action takes effect. Dieser Zeitplan entspricht einer Anzahl von Tagen, nachdem das Gerät als nicht konform markiert wurde.The schedule is a number of days after the device is marked as noncompliant. Sie können auch mehrere Instanzen einer Aktion konfigurieren.You can also configure multiple instances of an action. Wenn Sie mehrere Instanzen einer Aktion in einer Richtlinie festlegen, wird die Aktion zu dieser später geplanten Zeit erneut ausgeführt, wenn das Gerät weiterhin nicht konform ist.When you set multiple instances of an action in a policy, the action runs again at that later scheduled time if the device remains non-compliant.

Nicht alle Aktionen sind für alle Plattformen verfügbar.Not all actions are available for all platforms.

Verfügbare Aktionen bei NichtkonformitätAvailable actions for noncompliance

Im folgenden finden Sie die verfügbaren Aktionen für die Nichtkonformität.Following are the available actions for noncompliance. Sofern nicht anders angegeben, ist jede Aktion für alle Plattformen verfügbar, die von Intune unterstützt werden:Unless stated otherwise, each action is available for all platforms supported by Intune:

  • Mark device non-compliant (Markieren des Geräts als nicht konform): Standardmäßig wird diese Aktion für jede Konformitätsrichtlinie festgelegt und hat einen Zeitplan von null (0) Tagen, wobei Geräte sofort als nicht konform markiert werden.Mark device non-compliant: By default, this action is set for each compliance policy and has a schedule of zero (0) days, marking devices as noncompliant immediately.

    Wenn Sie den Standardzeitplan ändern, geben Sie eine Toleranzperiode an, innerhalb derer ein Benutzer Probleme beheben oder die Konformität herstellen kann, ohne als nicht konform markiert zu werden.When you change the default schedule, you provide a grace period in which a user can remediate issues or become compliant without being marked as non-compliant.

  • E-Mail an Endbenutzer senden: Diese Aktion sendet eine E-Mail-Benachrichtigung an den Benutzer.Send email to end user: This action sends an email notification to the user. Wenn Sie diese Aktion aktivieren:When you enable this action:

    • Wählen Sie eine Benachrichtigungsvorlage aus, die mit dieser Aktion gesendet wird.Select a Notification message template that this action sends. Sie erstellen eine Benachrichtigungsvorlage, bevor Sie dieser Aktion einen solchen zuweisen können.You Create a notification message template before you can assign one to this action. Wenn Sie die benutzerdefinierte Benachrichtigung erstellen, passen Sie den Betreff und den Nachrichtentext an und können das Firmenlogo, den Firmennamen und zusätzliche Kontaktinformationen einbeziehen.When you create the custom notification, you customize the subject, message body, and can include the company logo, company name, and additional contact information.
    • Wählen Sie aus, die Nachricht an weitere Empfänger zu senden, indem Sie mindestens eine Ihrer Azure AD-Gruppen auswählen.Choose to send the message to additional recipients by selecting one or more of your Azure AD Groups.

Wenn die E-Mail gesendet wurde, bezieht Intune Einzelheiten zu dem nicht konformen Gerät in die E-Mail-Benachrichtigung ein.When the email is sent, Intune includes details about the noncompliant device in the email notification.

  • Nicht konformes Gerät remote sperren: Verwenden Sie diese Aktion, um eine Remotesperre für ein Gerät auszugeben.Remotely lock the noncompliant device: Use this action to issue a remote lock of a device. Zum Entsperren des Geräts wird der Benutzer dann zur Eingabe einer PIN oder eines Kennworts aufgefordert.The user is then prompted for a PIN or password to unlock the device. Weitere Informationen zur Funktion Remotesperre.More on the Remote Lock feature.

    Folgende Plattformen unterstützen diese Aktion:The following platforms support this action:

    • Android:Android:
      • Android-GeräteadministratorAndroid device administrator
      • Android: vollständig verwaltet, dediziert und unternehmenseigen mit einem ArbeitsprofilAndroid Fully Managed, Dedicated, and Corporate-Owned Work Profile
      • Android Enterprise: ArbeitsprofilAndroid Enterprise Work Profile
      • Android Enterprise-KioskgeräteAndroid Enterprise kiosk devices
    • iOS/iPadOSiOS/iPadOS
    • macOSmacOS
  • Retire the noncompliant device (Nicht konformes Gerät deaktivieren): Diese Aktion entfernt alle Unternehmensdaten vom Gerät und dann das Gerät aus der Intune-Verwaltung.Retire the noncompliant device: This action removes all company data off the device and removes the device from Intune management. Damit ein Gerät nicht versehentlich gelöscht wird, unterstützt diese Aktion einen minimalen Zeitplan von 30 Tagen.To prevent accidental wipe of a device, this action supports a minimum schedule of 30 days.

    Folgende Plattformen unterstützen diese Aktion:The following platforms support this action:

    • Android:Android:
      • Android-GeräteadministratorAndroid device administrator
      • Android Enterprise-GerätebesitzerAndroid Enterprise Device Owner
      • Android Enterprise: ArbeitsprofilAndroid Enterprise Work Profile
    • iOS/iPadOSiOS/iPadOS
    • macOSmacOS

    Weitere Informationen zum Außerbetriebnehmen von Geräten.Learn more about retiring devices.

  • Pushbenachrichtigung an Endbenutzer senden: Konfigurieren Sie diese Aktion so, dass eine Pushbenachrichtigung über die Nichtkonformität an ein Gerät über die Unternehmensportal-App oder die Intune-App auf dem Gerät gesendet wird.Send push notification to end user: Configure this action to send a push notification about non-compliance to a device through the Company Portal app or Intune App on the device.

    Folgende Plattformen unterstützen diese Aktion:The following platforms support this action:

    • Android:Android:
      • Android-GeräteadministratorAndroid device administrator
      • Android Enterprise-GerätebesitzerAndroid Enterprise Device Owner
      • Android Enterprise: ArbeitsprofilAndroid Enterprise Work Profile
    • iOS/iPadOSiOS/iPadOS

    Die Pushbenachrichtigung wird gesendet, wenn ein Gerät zum ersten Mal bei Intune eingecheckt wird und als nicht konform zur Konformitätsrichtlinie eingestuft wird.The push notification is sent the first time a device checks in with Intune and is found to be non-compliant to the compliance policy. Wenn ein Benutzer die Benachrichtigung auswählt, wird die Unternehmensportal-App oder Intune-App geöffnet, und es werden Informationen darüber angezeigt, warum sie nicht konform sind.When a user selects the notification, the Company Portal app or Intune app opens and displays information about why they're non-compliant. Der Benutzer kann dann Maßnahmen ergreifen, um das Problem zu beheben.The user can then take action to resolve the issue. Die Nachrichtendetails über die Nichtkonformität werden von Intune generiert und können nicht angepasst werden.The message details about non-compliance are generated by Intune and can't be customized.

    Wichtig

    Weder Intune noch die Unternehmensportal-App oder die Microsoft Intune-App kann die Zustellung von Pushbenachrichtigungen garantieren.Intune, the Company Portal app, and the Microsoft Intune app, can't guarantee delivery of a push notification. Benachrichtigungen können, wenn überhaupt, erst mit mehrstündiger Verspätung eintreffen.Notifications might show up after several hours of delay, if at all. Dies gilt auch, wenn Benutzer Pushbenachrichtigungen deaktiviert haben.This includes when users have turned off push notifications.

    Verlassen Sie sich bei dringenden Nachrichten nicht auf diese Benachrichtigungsmethode.Do not rely on this notification method for urgent messages.

    Jede Instanz der Aktion sendet ein einziges Mal eine Benachrichtigung.Each instance of the action sends a notification a single time. Um dieselbe Benachrichtigung erneut von einer Richtlinie aus zu senden, konfigurieren Sie zusätzliche Instanzen der Aktion in dieser Richtlinie, jede mit einem anderen Zeitplan.To send the same notification again from a policy, configure additional instances of the action in that policy, each with a different schedule.

    Sie können z. B. die erste Aktion für null Tage planen und dann eine zweite Instanz der Aktion hinzufügen, die für drei Tage geplant ist.For example, you might schedule the first action for zero days and then add a second instance of the action set to three days. Diese Verzögerung vor der zweiten Benachrichtigung gibt dem Benutzer einige Tage Zeit, um das Problem zu beheben und die zweite Benachrichtigung zu vermeiden.This delay before the second notification gives the user a few days to resolve the issue, and avoid the second notification.

    Überprüfen und optimieren Sie, welche Konformitätsrichtlinien bei Nichtkonformität eine Pushbenachrichtigung enthalten, um zu vermeiden, dass Benutzer mit zu vielen doppelten Nachrichten belästigt werden. Überprüfen Sie auch die Zeitpläne, um zu vermeiden, dass wiederholte Benachrichtigungen für dasselbe Problem zu oft gesendet werden.To avoid spamming users with too many duplicate messages, review and streamline which compliance policies include a push notification for non-compliance, and review the schedules to avoid repeat notifications for the same too often.

    Zu berücksichtigen:Consider:

    • Bei einer einzelnen Richtlinie, die mehrere Instanzen einer für denselben Tag festgelegten Pushbenachrichtigung enthält, wird für diesen Tag nur eine einzige Benachrichtigung gesendet.For a single policy that includes multiple instances of a push notification set for the same day, only a single notification is sent for that day.

    • Wenn mehrere Konformitätsrichtlinien die gleichen Konformitätsbedingungen und die Pushbenachrichtigungsaktion mit demselben Zeitplan enthalten, sendet Intune mehrere Benachrichtigungen am selben Tag an dasselbe Gerät.When multiple compliance policies include the same compliance conditions, and include the push notification action with the same schedule, Intune sends multiple notifications to the same device on the same day.

VorbereitungBefore you begin

Sie können Aktionen für die Nichtkonformität hinzufügen, wenn Sie die Richtlinie für die Gerätekonformität konfigurieren, oder Sie fügen sie später durch Bearbeiten der Richtlinie hinzu.You can add actions for noncompliance when you configure device compliance policy, or later by editing the policy. Sie können zu jeder Richtlinie zusätzliche Aktionen hinzufügen, um Ihren Anforderungen zu entsprechen.You can add additional actions to each policy to meet your needs. Denken Sie daran, dass jede Konformitätsrichtlinie automatisch die Standardaktion für die Nichtkonformität enthält, die Geräte als nicht konform markiert, wobei der Zeitplan auf null Tage festgelegt ist.Keep in mind that each compliance policy automatically includes the default action for noncompliance that marks devices as noncompliant, with a schedule set to zero days.

Wenn Sie Gerätekonformitätsrichtlinien verwenden, um den Zugriff auf Unternehmensressourcen durch Geräte zu blockieren, muss der bedingte Zugriff von Azure AD eingerichtet sein.To use device compliance policies to block devices from corporate resources, Azure AD Conditional Access must be set up. Anleitungen dazu finden Sie unter Bedingter Zugriff in Azure Active Directory oder Gängige Möglichkeiten für die Verwendung des bedingten Zugriffs mit Intune.See Conditional Access in Azure Active Directory or common ways to use Conditional Access with Intune for guidance.

Plattformspezifische Informationen zum Erstellen einer Gerätekonformitätsrichtlinie finden Sie hier:To create a device compliance policy, see the following platform-specific guidance:

Erstellen einer BenachrichtigungsvorlageCreate a notification message template

Zum Senden einer E-Mail an Ihre Benutzer müssen Sie eine Benachrichtigungsvorlage erstellen.To send email to your users, create a notification message template. Wenn ein Gerät nicht konform ist, werden die Einzelheiten, die Sie in die Vorlage eingeben, in den von Ihnen an die Benutzer gesendeten E-Mails angezeigt.When a device is noncompliant, the details you enter in the template is shown in the email sent to your users.

  1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.Sign in to the Microsoft Endpoint Manager admin center.

  2. Klicken Sie auf Endpunktsicherheit > Gerätekonformität > Benachrichtigungen > Benachrichtigung erstellen.Select Endpoint security > Device compliance > Notifications > Create notification.

  3. Geben Sie dann unter Grundlagen die folgenden Informationen an:Under Basics, specify the following information:

    • NameName
    • AntragstellerSubject
    • MessageMessage
  4. Konfigurieren Sie ebenfalls unter Grundlagen die folgenden Optionen für die Benachrichtigung:Also under Basics, configure the following options for the notification:

    • E-Mail-Kopfzeile: Unternehmenslogo einschließen (Standardeinstellung: Aktivieren): Das Logo, das Sie für das Branding des Unternehmensportals hochladen, wird für E-Mail-Vorlagen verwendet.Email header – Include company logo (default = Enable) - The logo you upload as part of the Company Portal branding is used for email templates. Weitere Informationen zum Branding des Unternehmensportals finden Sie unter Anpassen des Unternehmensbrandings.For more information about Company Portal branding, see Company identity branding customization.
    • E-Mail-Fußzeile: Unternehmensnamen einschließen (Standardeinstellung: Aktivieren)Email footer – Include company name (default = Enable)
    • E-Mail-Fußzeile: Kontaktinformationen einschließen (Standardeinstellung: Aktivieren)Email footer – Include contact information (default = Enable)
    • Company Portal Website Link (Link zur Unternehmensportal-Website) (Standardeinstellung: Deaktivieren): Wenn diese Einstellung auf Aktivieren festgelegt ist, enthält die E-Mail einen Link zur Unternehmensportal-Website.Company Portal Website Link (default = Disable) - When set to Enable, the email includes a link to the Company Portal website.

    Beispiel einer Benachrichtigung zur Konformität in IntuneExample of a compliant notification message in Intune

    Wählen Sie Weiter aus, um den Vorgang fortzusetzen.Select Next to continue.

  5. Überprüfen Sie Ihre Konfigurationen unter Überprüfen und Erstellen, um sicherzustellen, dass die Benachrichtigungsvorlage einsatzbereit ist.Under Review + create, review your configurations to ensure the notification message template is ready to use. Wählen Sie Erstellen aus, um die Erstellung der Benachrichtigung abzuschließen.Select Create to complete creation of the notification.

Anzeigen und Bearbeiten von BenachrichtigungenView and edit notifications

Erstellte Benachrichtigungen sind auf der Seite Compliancerichtlinien > Benachrichtigungen verfügbar.Notifications that have been created are available in the Compliance policies > Notifications page. Auf dieser Seite können Sie eine Benachrichtigung auswählen, um die Konfiguration anzuzeigen und folgende Aktionen auszuführen:From the page you can select a notification to view its configuration and:

  • Wählen Sie Vorschau-E-Mail senden, um eine Vorschau der Benachrichtigungs-E-Mail an das Konto zu senden, das Sie zum Anmelden bei Intune verwendet haben.Select Send preview email to send a preview of the notification email to the account you've used to sign in to Intune.
  • Wählen Sie unter Grundlagen oder Bereichstags die Option Bearbeiten aus, um eine Änderung vorzunehmen.Select Edit for Basics or Scope tags to make a change.

Hinzufügen von Aktionen bei NichtkonformitätAdd actions for noncompliance

Wenn Sie eine Konformitätsrichtlinie für Geräte erstellen, erstellt Intune automatisch eine Aktion für Nichtkonformität.When you create a device compliance policy, Intune automatically creates an action for noncompliance. Wenn ein Gerät Ihre Konformitätsrichtlinie nicht einhält, wird das Gerät von dieser Aktion als „nicht konform“ gekennzeichnet.If a device isn't meeting your compliance policy, this action marks the device as not compliant. Sie können anpassen, wie lange das Gerät als „nicht konform“ gekennzeichnet wird.You can customize how long the device is marked as not compliant. Diese Aktion kann nicht entfernt werden.This action can't be removed.

Sie können beim Erstellen einer Konformitätsrichtlinie oder Aktualisieren einer vorhandenen Konformitätsrichtlinie weitere optionale Aktionen hinzufügen.You can add optional actions when you create a compliance policy, or update an existing policy.

  1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.Sign in to the Microsoft Endpoint Manager admin center.

  2. Wählen Sie Geräte > Konformitätsrichtlinien > Richtlinien, anschließend eine Ihrer Richtlinien und dann Eigenschaften aus.Select Devices > Compliance policies > Policies, select one of your policies, and then select Properties.

    Haben Sie noch keine Richtlinie?Don't have a policy yet? Erstellen Sie eine Richtlinie für Android, iOS, Windows oder eine andere Plattform.Create an Android, iOS, Windows, or other platform policy.

    Hinweis

    JAMF-Geräte und Geräte als Teil von Gerätegruppen können zu diesem Zeitpunkt keine Konformitätsaktionen empfangen.JAMF devices and devices targeted with device groups cannot receive compliance actions at this time.

  3. Wählen Sie Aktionen für Nichtkonformität > Hinzufügen aus.Select Actions for noncompliance > Add.

  4. Wählen Sie Ihre Aktion aus:Select your Action:

    • E-Mail an Endbenutzer senden: Senden Sie dem Benutzer eine E-Mail, wenn das Gerät nicht konform ist.Send email to end users: When the device is noncompliant, choose to email the user. Ferner gilt Folgendes:Also:

      • Wählen Sie die zuvor erstellte Nachrichtenvorlage ausChoose the Message template you previously created
      • Geben Sie durch die Auswahl von Gruppen zusätzliche Empfänger einEnter any Additional recipients by selecting groups
    • Nicht konformes Gerät remote sperren: Sperren Sie das Gerät, wenn es nicht konform ist.Remotely lock the noncompliant device: When the device is noncompliant, lock the device. Durch diese Aktion wird der Benutzer zur Eingabe einer PIN oder eines Kennworts gezwungen, um das Gerät zu entsperrenThis action forces the user to enter a PIN or passcode to unlock the device.

    • Retire the noncompliant device (Nicht konformes Gerät deaktivieren): Wenn das Gerät nicht konform ist, entfernen Sie alle Unternehmensdaten vom Gerät, und entfernen Sie das Gerät aus der Intune-Verwaltung.Retire the noncompliant device: When the device is noncompliant, remove all company data off the device and remove the device from Intune management.

    • Pushbenachrichtigung an Endbenutzer senden: Konfigurieren Sie diese Aktion so, dass eine Pushbenachrichtigung über die Nichtkonformität an ein Gerät über die Unternehmensportal-App oder die Intune-App auf dem Gerät gesendet wird.Send push notification to end user: Configure this action to send a push notification about non-compliance to a device through the Company Portal app or Intune App on the device.

  5. Konfigurieren Sie einen Zeitplan: Geben Sie die Anzahl von Tagen (0 bis 365) nach der Nichtkonformität ein, nach der die Aktion auf Benutzergeräten ausgelöst werden soll.Configure a Schedule: Enter the number of days (0 to 365) after noncompliance to trigger the action on users' devices. (Nicht konformes Gerät zurückziehen unterstützt mindestens 30 Tage.) Nach Ablauf dieser Nachfrist können Sie eine Richtlinie für bedingten Zugriff erzwingen.(Retire the noncompliant device supports a minimum of 30 days.) After this grace period, you can enforce a conditional access policy. Wenn Sie als Anzahl von Tagen 0 (null) eingeben, wird der bedingte Zugriff sofort wirksam.If you enter 0 (zero) number of days, then conditional access takes effect immediately. Wenn beispielsweise ein Gerät nicht konform ist, können Sie mithilfe des bedingten Zugriffs sofort den Zugriff auf E-Mails, SharePoint und andere Organisationsressourcen blockieren.For example, if a device is noncompliant, use conditional access to block access to email, SharePoint, and other organization resources immediately.

    Wenn Sie eine Konformitätsrichtlinie erstellen, wird automatisch die Aktion Gerät als nicht konform markieren erstellt und auf 0 Tage (sofort) festgelegt.When you create a compliance policy, the Mark device noncompliant action is automatically created, and automatically set to 0 days (immediately). Durch diese Aktion wird das Gerät beim Einchecken sofort als nicht konform ausgewertet.With this action, when the device checks-in, the device is evaluated as non-compliant immediately. Wenn Sie auch den bedingten Zugriff verwenden, wird dieser umgehend wirksam.If also using conditional access, then conditional access kicks in immediately. Wenn Sie eine Nachfrist zulassen möchten, ändern Sie den Zeitplan für die Aktion Gerät als nicht konform markieren.If you want to allow a grace period, then change the Schedule on the Mark device noncompliant action.

    Sie möchten den Benutzer außerdem in Ihrer Konformitätsrichtlinie benachrichtigen.In your compliance policy, for example, you also want to notify the user. Fügen Sie die Aktion E-Mail an Endbenutzer senden hinzu.You can add the Send email to end user action. Legen Sie für diese Aktion E-Mail senden den Zeitplan auf zwei Tage fest.On this Send email action, you set the Schedule to two days. Wird das Gerät oder der Endbenutzer an Tag zwei weiterhin als nicht konform ausgewertet, wird Ihre E-Mail an Tag zwei gesendet.If the device or end user is still evaluated as non-compliant on day two, then your email is sent on day two. Wenn Sie dem Benutzer an Tag fünf der Nichtkonformität erneut eine E-Mail senden möchten, fügen Sie eine weitere Aktion hinzu, und legen Sie den Zeitplan auf fünf Tage fest.If you want to email the user again on day five of noncompliance, then add another action, and set the Schedule to five days.

    Weitere Informationen zur Konformität und den integrierten Aktionen finden Sie in der Konformitätsübersicht.For more information on compliance, and the built-in actions, see the compliance overview.

  6. Klicken Sie zum Speichern Ihrer Änderungen auf Hinzufügen > OK.When finished, select Add > OK to save your changes.

Nächste SchritteNext steps

Überwachen von Intune-Richtlinien zur Gerätekompatibilität.Monitor your policies.