Gerätekompatibilitätseinstellungen für Windows 10/11 in Intune

In diesem Artikel werden die verschiedenen Complianceeinstellungen aufgeführt und beschrieben, die Sie auf Windows Geräten in Intune konfigurieren können. Verwenden Sie im Rahmen Ihrer MdM-Lösung (Mobile Device Management) diese Einstellungen, um BitLocker zu erfordern, ein minimales und maximales Betriebssystem festzulegen, eine Risikostufe mithilfe von Microsoft Defender für Endpunkt festzulegen und vieles mehr.

Diese Funktion gilt für:

• Windows 10/11
• Windows Holographic for Business
• Surface Hub

Verwenden Sie als Intune Administrator diese Complianceeinstellungen, um Ihre Organisationsressourcen zu schützen. Weitere Informationen zu Compliancerichtlinien und deren Funktionsweise finden Sie in den ersten Schritte mit der Gerätecompliance.

Bevor Sie beginnen

Erstellen sie eine Compliancerichtlinie. Wählen Sie unter Plattform die Option Windows 10 und höher aus.

Geräteintegrität

Windows Auswertungsregeln für den Integritätsnachweisdienst

• BitLocker erforderlich:
  Windows BitLocker-Laufwerkverschlüsselung verschlüsselt alle Daten, die auf dem Windows Betriebssystemvolume gespeichert sind. BitLocker verwendet das Trusted Platform Module (TPM), um die Windows Betriebssystem- und Benutzerdaten zu schützen. Es hilft auch zu bestätigen, dass ein Computer nicht manipuliert wird, auch wenn er unbeaufsichtigt bleibt, verloren geht oder gestohlen wird. Wenn der Computer mit einem kompatiblen TPM ausgestattet ist, verwendet BitLocker das TPM, um die Verschlüsselungsschlüssel zu sperren, die die Daten schützen. Daher kann erst auf die Schlüssel zugegriffen werden, nachdem das TPM den Zustand des Computers überprüft hat.

  • Nicht konfiguriert (Standard) – Diese Einstellung wird nicht auf Compliance oder Nichtkonformität ausgewertet.
  • Erforderlich – Das Gerät kann Daten, die auf dem Laufwerk gespeichert sind, vor unbefugtem Zugriff schützen, wenn das System ausgeschaltet ist oder in den Ruhezustand versetzt wird.

  Device HealthAttestation CSP – BitLockerStatus

  Hinweis

  Beachten Sie bei Verwendung einer Gerätekompatibilitätsrichtlinie in Intune, dass der Status dieser Einstellung nur zum Startzeitpunkt gemessen wird. Daher ist, auch wenn die BitLocker-Verschlüsselung möglicherweise abgeschlossen ist, ein Neustart erforderlich, damit das Gerät dies erkennt und konform wird. Weitere Informationen finden Sie im folgenden Microsoft-Supportblog zum Geräteintegritätsnachweis.

• Sicheres Starten muss auf dem Gerät aktiviert sein:

  • Nicht konfiguriert (Standard) – Diese Einstellung wird nicht auf Compliance oder Nichtkonformität ausgewertet.
  • Erforderlich – Das System ist gezwungen, in einen vertrauenswürdigen Werkszustand zu starten. Die Kernkomponenten, die zum Starten des Computers verwendet werden, müssen über korrekte kryptografische Signaturen verfügen, die von der Organisation, die das Gerät hergestellt hat, vertrauenswürdig sind. Die UEFI-Firmware überprüft die Signatur, bevor der Computer gestartet werden kann. Wenn Dateien manipuliert werden, wodurch ihre Signatur unterbrochen wird, wird das System nicht gestartet.

  Hinweis

  Auf einigen TPM 1.2- und 2.0-Geräten wird die Option "Sicherer Start erforderlich" für die Geräteeinstellung unterstützt. Für Geräte, die TPM 2.0 oder höher nicht unterstützen, wird der Richtlinienstatus in Intune als nicht konform angezeigt. Weitere Informationen zu unterstützten Versionen finden Sie unter Device Health Attestation.

• Codeintegrität erforderlich:
  Die Codeintegrität ist ein Feature, das die Integrität eines Treibers oder einer Systemdatei bei jedem Laden in den Arbeitsspeicher überprüft.

  • Nicht konfiguriert (Standard) – Diese Einstellung wird nicht auf Compliance oder Nichtkonformität ausgewertet.
  • Require – Erfordert Codeintegrität, die erkennt, ob ein nicht signierter Treiber oder eine Systemdatei in den Kernel geladen wird. Außerdem wird erkannt, ob eine Systemdatei durch Schadsoftware geändert oder von einem Benutzerkonto mit Administratorrechten ausgeführt wird.

Weitere Ressourcen:

• Ausführliche Informationen zur Funktionsweise des Integritätsnachweisdiensts finden Sie unter Health Attestation CSP.
• Supporttipp: Verwenden des Geräteintegritätsnachweises Einstellungen als Teil Ihrer Intune Compliancerichtlinie.

Geräteeigenschaften

Betriebssystemversion

Informationen zum Ermitteln von Buildversionen für alle Windows 10/11-Featureupdates und kumulativen Updates (die in einigen der folgenden Felder verwendet werden sollen), finden Sie unter Windows Versionsinformationen. Achten Sie darauf, das entsprechende Versionspräfix vor den Buildnummern anzugeben, z. B. 10.0 für Windows 10 wie in den folgenden Beispielen veranschaulicht.

• Mindestversion des Betriebssystems:
  Geben Sie die mindestens zulässige Version im Zahlenformat "major.minor.build.revision " ein. Um den richtigen Wert abzurufen, öffnen Sie eine Eingabeaufforderung, und geben Sie verein. Der ver Befehl gibt die Version im folgenden Format zurück:

  Microsoft Windows [Version 10.0.17134.1]

  Wenn ein Gerät über eine frühere Version als die eingegebene Betriebssystemversion verfügt, wird es als nicht konform gemeldet. Es wird ein Link mit Informationen zum Upgrade angezeigt. Der Endbenutzer kann sich entscheiden, sein Gerät zu aktualisieren. Nach dem Upgrade können sie auf Unternehmensressourcen zugreifen.

• Maximale Betriebssystemversion:
  Geben Sie die maximal zulässige Version im Zahlenformat "major.minor.build.revision " ein. Um den richtigen Wert abzurufen, öffnen Sie eine Eingabeaufforderung, und geben Sie verein. Der ver Befehl gibt die Version im folgenden Format zurück:

  Microsoft Windows [Version 10.0.17134.1]

  Wenn ein Gerät eine Betriebssystemversion verwendet, die höher als die eingegebene Version ist, wird der Zugriff auf Organisationsressourcen blockiert. Der Endbenutzer wird aufgefordert, sich an den IT-Administrator zu wenden. Das Gerät kann erst auf Organisationsressourcen zugreifen, nachdem die Regel geändert wurde, um die Betriebssystemversion zuzulassen.

• Mindestbetriebssystem für mobile Geräte erforderlich:
  Geben Sie die mindestens zulässige Version im Zahlenformat "major.minor.build" ein.

  Wenn ein Gerät über eine frühere Version verfügt, die Von Ihnen eingegebene Betriebssystemversion, wird es als nicht konform gemeldet. Es wird ein Link mit Informationen zum Upgrade angezeigt. Der Endbenutzer kann sich entscheiden, sein Gerät zu aktualisieren. Nach dem Upgrade können sie auf Unternehmensressourcen zugreifen.

• Maximales Betriebssystem, das für mobile Geräte erforderlich ist:
  Geben Sie die maximal zulässige Version in die Nummer "major.minor.build" ein.

  Wenn ein Gerät eine Betriebssystemversion verwendet, die höher als die eingegebene Version ist, wird der Zugriff auf Organisationsressourcen blockiert. Der Endbenutzer wird aufgefordert, sich an den IT-Administrator zu wenden. Das Gerät kann erst auf Organisationsressourcen zugreifen, nachdem die Regel geändert wurde, um die Betriebssystemversion zuzulassen.

• Gültige Betriebssystembuilds:
  Geben Sie eine Liste der minimalen und maximalen Betriebssystembuilds an. Gültige Betriebssystembuilds bieten zusätzliche Flexibilität im Vergleich zu minimalen und maximalen Betriebssystemversionen. Stellen Sie sich ein Szenario vor, in dem die mindeste Betriebssystemversion auf 10.0.18362.xxx (Windows 10 1903) und die maximale Betriebssystemversion auf 10.0.18363.xxx (Windows 10 1909) festgelegt ist. Mit dieser Konfiguration kann ein Windows 10 1903-Gerät, auf dem keine kürzlich installierten kumulativen Updates installiert sind, als konform identifiziert werden. Mindest- und Höchstversionen des Betriebssystems sind möglicherweise geeignet, wenn Sie auf eine einzelne Windows 10 Version standardisiert haben, aber möglicherweise nicht Ihre Anforderungen erfüllen, wenn Sie mehrere Builds mit jeweils bestimmten Patchebenen verwenden müssen. Erwägen Sie in einem solchen Fall stattdessen die Nutzung gültiger Betriebssystembuilds, wodurch mehrere Builds gemäß dem folgenden Beispiel angegeben werden können.

  Beispiel:
  Die folgende Tabelle ist ein Beispiel für einen Bereich für die akzeptablen Betriebssystemversionen für verschiedene Windows 10 Versionen. In diesem Beispiel wurden drei verschiedene Featureupdates zugelassen (1809, 1909 und 2004). Insbesondere gelten nur die Versionen von Windows, die kumulative Updates von Juni bis September 2020 angewendet haben, als konform. Dies sind nur Beispieldaten. Die Tabelle enthält eine erste Spalte, die jeden Text enthält, den Sie beschreiben möchten, gefolgt von der minimalen und maximalen Betriebssystemversion für diesen Eintrag. Die zweite und dritte Spalte müssen den gültigen Betriebssystembuildversionen im Zahlenformat "major.minor.build.revision " entsprechen. Nachdem Sie einen oder mehrere Einträge definiert haben, können Sie die Liste als CSV-Datei (Comma-Separated Values) exportieren .

  Beschreibung	Minimale Version des Betriebssystems	Maximale Version des Betriebssystems
  Win 10 2004 (Jun-Sept 2020)	10.0.19041.329	10.0.19041.508
  Win 10 1909 (Jun-Sept 2020)	10.0.18363.900	10.0.18363.1110
  Win 10 1809 (Jun-Sept 2020)	10.0.17763.1282	10.0.17763.1490

Configuration Manager Compliance

Gilt nur für gemeinsam verwaltete Geräte, auf denen Windows 10/11 ausgeführt wird. Intune Nur-Geräte geben einen nicht verfügbaren Status zurück.

• Gerätekompatibilität von Configuration Manager anfordern:
  • Nicht konfiguriert (Standard) – Intune überprüft keine der Configuration Manager-Einstellungen auf Compliance.
  • Require – Erfordert, dass alle Einstellungen (Konfigurationselemente) in Configuration Manager konform sind.

Systemsicherheit

Kennwort

• Anfordern eines Kennworts zum Entsperren mobiler Geräte:

  • Nicht konfiguriert (Standard) – Diese Einstellung wird nicht auf Compliance oder Nichtkonformität ausgewertet.
  • Erforderlich – Benutzer müssen ein Kennwort eingeben, bevor sie auf ihr Gerät zugreifen können.

• Einfache Kennwörter:

  • Nicht konfiguriert (Standard) – Benutzer können einfache Kennwörter wie 1234 oder 1111 erstellen.
  • Block – Benutzer können keine einfachen Kennwörter wie 1234 oder 1111 erstellen.

• Kennworttyp:
  Wählen Sie den erforderlichen Kennwort- oder PIN-Typ aus. Folgende Optionen sind verfügbar:

  • Gerätestandard (Standard) – Erfordern eines Kennworts, einer numerischen PIN oder einer alphanumerischen PIN
  • Numerisch – Kennwort oder numerische PIN erforderlich
  • Alphanumerisch – Erfordert ein Kennwort oder eine alphanumerische PIN.

  Wenn sie auf Alphanumeric festgelegt ist, sind die folgenden Einstellungen verfügbar:

  • Kennwortkomplexität:
    Folgende Optionen sind verfügbar:

    • Ziffern und Kleinbuchstaben erforderlich (Standard)
    • Ziffern, Kleinbuchstaben und Großbuchstaben erforderlich
    • Ziffern, Kleinbuchstaben, Großbuchstaben und Sonderzeichen erforderlich

    Tipp

    Die alphanumerischen Kennwortrichtlinien können komplex sein. Wir empfehlen Administratoren, die CSPs für weitere Informationen zu lesen:

    • DeviceLock/AlphanumericDevicePasswordRequired CSP
    • DeviceLock/MinDevicePasswordComplexCharacters CSP

• Minimale Kennwortlänge:
  Geben Sie die Mindestanzahl von Ziffern oder Zeichen ein, die das Kennwort aufweisen muss.

• Maximale Anzahl von Inaktivitätsminuten, bevor ein Kennwort erforderlich ist:
  Geben Sie die Leerlaufzeit ein, bevor der Benutzer sein Kennwort erneut eingeben muss.

• Kennwortablauf (Tage):
  Geben Sie die Anzahl der Tage ein, bevor das Kennwort abläuft, und sie müssen ein neues zwischen 1 und 730 erstellen.

• Anzahl der vorherigen Kennwörter, um die Wiederverwendung zu verhindern:
  Geben Sie die Anzahl der zuvor verwendeten Kennwörter ein, die nicht verwendet werden können.

• Kennwort erforderlich, wenn das Gerät aus dem Leerlaufzustand zurückkehrt (Mobile und Holographic):

  • Nicht konfiguriert (Standard)
  • Erforderlich – Gerätebenutzer müssen das Kennwort jedes Mal eingeben, wenn das Gerät aus einem Leerlaufzustand zurückkehrt.

  Wichtig

  Wenn die Kennwortanforderung auf einem Windows Desktop geändert wird, sind Die Benutzer bei der nächsten Anmeldung betroffen, da das Gerät dann vom Leerlauf zum aktiven Gerät wechselt. Benutzer mit Kennwörtern, die die Anforderung erfüllen, werden weiterhin aufgefordert, ihre Kennwörter zu ändern.

Verschlüsselung

• Verschlüsselung von Datenspeicher auf einem Gerät:
  Diese Einstellung gilt für alle Laufwerke auf einem Gerät.

  • Nicht konfiguriert (Standard)
  • Erforderlich – Verwenden Sie "Erforderlich" , um den Datenspeicher auf Ihren Geräten zu verschlüsseln.

  DeviceStatus CSP – DeviceStatus/Compliance/EncryptionCompliance

  Hinweis

  Die Verschlüsselung des Datenspeichers auf einer Geräteeinstellung überprüft allgemein auf das Vorhandensein von Verschlüsselung auf dem Gerät, genauer gesagt auf Betriebssystemlaufwerkebene. Derzeit unterstützt Intune nur die Verschlüsselungsprüfung mit BitLocker. Für eine robustere Verschlüsselungseinstellung sollten Sie BitLocker erforderlich machen, der Windows Device Health Attestation nutzt, um den Bitlocker-Status auf TPM-Ebene zu überprüfen. Beachten Sie bei der Nutzung dieser Einstellung jedoch, dass möglicherweise ein Neustart erforderlich ist, bevor das Gerät als konform dargestellt wird.

Gerätesicherheit

• Firewall:

  • Nicht konfiguriert (Standard) – Intune steuert nicht die Microsoft Defender Firewall und ändert keine vorhandenen Einstellungen.
  • Erforderlich – Aktivieren Sie die Microsoft Defender Firewall, und verhindern Sie, dass Benutzer sie deaktivieren.

  Firewall-CSP

  Hinweis

  • Wenn das Gerät nach einem Neustart sofort synchronisiert wird oder sofort aus dem Standbymodus synchronisiert wird, wird diese Einstellung möglicherweise als Fehler gemeldet. Dieses Szenario wirkt sich möglicherweise nicht auf den Allgemeinen Gerätekompatibilitätsstatus aus. Um den Compliancestatus erneut auszuwerten, synchronisieren Sie das Gerät manuell.

  • Wenn eine Gruppenrichtlinie auf ein Gerät angewendet wird, das Defender Firewall so konfiguriert, dass der gesamte eingehende Datenverkehr zugelassen wird, oder die Firewall deaktiviert, gibt das Festlegen von Firewall auf "Erforderlich**" "Nicht konform**" zurück, auch wenn Intune Gerätekonfigurationsrichtlinie die Firewall aktiviert. Dies liegt daran, dass das Gruppenrichtlinienobjekt die Intune Richtlinie überschreibt. Um dieses Problem zu beheben, empfehlen wir, alle in Konflikt stehenden Gruppenrichtlinieneinstellungen zu entfernen oder Ihre Firewall-bezogenen Gruppenrichtlinieneinstellungen zu Intune Gerätekonfigurationsrichtlinie zu migrieren. Im Allgemeinen wird empfohlen, die Standardeinstellungen beizubehalten, einschließlich des Blockierens eingehender Verbindungen. Weitere Informationen finden Sie unter Bewährte Methoden zum Konfigurieren von Windows Defender Firewall.

• Trusted Platform Module (TPM):

  • Nicht konfiguriert (Standard) – Intune überprüft das Gerät nicht auf eine TPM-Chipversion.
  • Erforderlich – Intune überprüft die TPM-Chipversion auf Compliance. Das Gerät ist kompatibel, wenn die TPM-Chipversion größer als 0 (Null) ist. Das Gerät ist nicht kompatibel, wenn auf dem Gerät keine TPM-Version vorhanden ist.

  DeviceStatus CSP – DeviceStatus/TPM/SpecificationVersion

• Antivirus:

  • Nicht konfiguriert (Standard) – Intune sucht nicht nach Antivirenlösungen, die auf dem Gerät installiert sind.
  • Erforderlich – Überprüfen Sie die Compliance mithilfe von Antivirenlösungen, die bei Windows-Sicherheit Center registriert sind, z. B. Symantec und Microsoft Defender.

  DeviceStatus CSP – DeviceStatus/Antivirus/Status

• Antispyware:

  • Nicht konfiguriert (Standard) – Intune sucht nicht nach Antispyware-Lösungen, die auf dem Gerät installiert sind.
  • Erforderlich – Überprüfen Sie die Compliance mit antispyware-Lösungen, die bei Windows-Sicherheit Center registriert sind, z. B. Symantec und Microsoft Defender.

  DeviceStatus CSP – DeviceStatus/Antispyware/Status

Defender

Die folgenden Complianceeinstellungen werden mit Windows 10/11 Desktop unterstützt.

• Microsoft Defender Antischadsoftware:

  • Nicht konfiguriert (Standard) – Intune steuert den Dienst nicht und ändert keine vorhandenen Einstellungen.
  • Erforderlich – Aktivieren Sie den Microsoft Defender-Antischadsoftwaredienst, und verhindern Sie, dass Benutzer ihn deaktivieren.

• Mindestversion von Microsoft Defender Antischadsoftware:
  Geben Sie die mindestens zulässige Version des Microsoft Defender-Antischadsoftwarediensts ein. Geben Sie beispielsweise 4.11.0.0 ein. Wenn sie leer gelassen wird, kann jede Version des Microsoft Defender-Antischadsoftwarediensts verwendet werden.

  Standardmäßig ist keine Version konfiguriert.

• Sicherheitsintelligenz von Microsoft Defender Anmalware auf dem neuesten Stand:
  Steuert die Windows-Sicherheit Viren- und Bedrohungsschutzupdates auf den Geräten.

  • Nicht konfiguriert (Standard) – Intune erzwingt keine Anforderungen.
  • Erforderlich – Erzwingen Sie, dass die Microsoft Defender-Sicherheitsintelligenz auf dem neuesten Stand ist.

  Defender CSP – Defender/Health/SignatureOutOfDate-CSP

  Weitere Informationen finden Sie unter Sicherheitsintelligenzupdates für Microsoft Defender Antivirus und andere Microsoft-Antischadsoftware.

• Echtzeitschutz:

  • Nicht konfiguriert (Standard) – Intune steuert dieses Feature nicht und ändert keine vorhandenen Einstellungen.
  • Erforderlich – Aktivieren Sie den Echtzeitschutz, der nach Schadsoftware, Spyware und anderer unerwünschter Software sucht.

  Richtlinien-CSP – Defender/AllowRealtimeMonitoring CSP

Microsoft Defender für Endpunkt

Microsoft Defender für Endpunkt Regeln

Weitere Informationen zur Microsoft Defender für Endpunkt Integration in Szenarien mit bedingtem Zugriff finden Sie unter Konfigurieren des bedingten Zugriffs in Microsoft Defender für Endpunkt.

• Festlegen, dass sich das Gerät auf oder unter der Risikobewertung des Computers beläuft:
  Verwenden Sie diese Einstellung, um die Risikobewertung Ihrer Verteidigungsbedrohungsdienste als Bedingung für die Compliance zu übernehmen. Wählen Sie die maximal zulässige Bedrohungsstufe aus:

  • Nicht konfiguriert (Standard)
  • Deaktivieren – Diese Option ist am sichersten, da das Gerät keine Bedrohungen haben kann. Wenn das Gerät als bedrohungssicher erkannt wird, wird es als nicht konform ausgewertet.
  • Niedrig – Das Gerät wird als konform ausgewertet, wenn nur Bedrohungen auf niedriger Ebene vorhanden sind. Alles, was höher ist, versetzt das Gerät in einen nicht konformen Status.
  • Mittel – Das Gerät wird als konform ausgewertet, wenn vorhandene Bedrohungen auf dem Gerät niedrig oder mittel sind. Wenn festgestellt wird, dass das Gerät bedrohungsintensiv ist, wird festgestellt, dass es nicht konform ist.
  • Hoch – Diese Option ist am wenigsten sicher und lässt alle Bedrohungsstufen zu. Es kann hilfreich sein, wenn Sie diese Lösung nur für Berichterstellungszwecke verwenden.

  Informationen zum Einrichten Microsoft Defender für Endpunkt als Schutzbedrohungsdienst finden Sie unter Aktivieren von Microsoft Defender für Endpunkt mit bedingtem Zugriff.

Windows Holographic for Business

Windows Holographic for Business verwendet die Windows 10 und höher. Windows Holographic for Business unterstützt die folgende Einstellung:

• Systemsicherheit > Verschlüsselung > Verschlüsselung des Datenspeichers auf dem Gerät.

Informationen zum Überprüfen der Geräteverschlüsselung auf der Microsoft HoloLens finden Sie unter Überprüfen der Geräteverschlüsselung.

Surface Hub

Surface Hub verwendet die plattform Windows 10 und höher. Surface Hubs werden sowohl für compliance- als auch für bedingten Zugriff unterstützt. Um diese Features auf Surface Hubs zu aktivieren, empfehlen wir, Windows automatische Registrierung in Intune zu aktivieren (erfordert Azure Active Directory (Azure AD)) und die Surface Hub Geräte als Gerätegruppen auszurichten. Surface Hubs müssen in Azure AD eingebunden sein, damit Compliance und bedingter Zugriff funktionieren.

Anleitungen finden Sie unter Einrichten der Registrierung für Windows Geräte.

Besondere Überlegungen für Surface Hubs, die Windows 10/11 Team OS ausgeführt werden:
Surface Hubs, die Windows 10/11 TeamBETRIEBssystem ausführen, unterstützen derzeit die Richtlinien für Microsoft Defender für Endpunkt und Kennwortkonformität nicht. Legen Sie daher für Surface Hubs, die Windows 10/11-Teambetriebssystem ausführen, die folgenden beiden Einstellungen auf die Standardeinstellung "Nicht konfiguriert" fest:

• In the category Password, set Require a password to unlock mobile devices to the default of Not configured.

• Legen Sie in der Kategorie Microsoft Defender für Endpunkt den Standardwert "Nicht konfiguriert" für das Gerät oder unter der Risikobewertung des Computers fest.

Nächste Schritte

• Fügen Sie Aktionen für nicht kompatible Geräte hinzu , und verwenden Sie Bereichstags zum Filtern von Richtlinien.
• Überwachen Sie Ihre Compliancerichtlinien.
• Weitere Informationen finden Sie in den Compliancerichtlinieneinstellungen für Windows 8.1 Geräte.