Freigeben über


Verwenden von Konformitätsrichtlinien zum Festlegen von Regeln für Geräte, die Sie mit Intune verwalten

Microsoft Intune Konformitätsrichtlinien sind Sätze von Regeln und Bedingungen, die Sie zum Auswerten der Konfiguration Ihrer verwalteten Geräte verwenden. Diese Richtlinien können Ihnen helfen, Organisationsdaten und -ressourcen von Geräten zu schützen, die diese Konfigurationsanforderungen nicht erfüllen. Verwaltete Geräte müssen die Bedingungen erfüllen, die Sie in Ihren Richtlinien festlegen, damit sie von Intune als konform eingestuft werden.

Wenn Sie auch die Konformitätsergebnisse aus Ihren Richtlinien in Microsoft Entra bedingten Zugriff integrieren, können Sie von einer zusätzlichen Sicherheitsebene profitieren. Der bedingte Zugriff kann Microsoft Entra Zugriffssteuerungen erzwingen, die auf aktuellen Status eines Geräts basieren, um sicherzustellen, dass nur kompatible Geräte auf Unternehmensressourcen zugreifen dürfen.

Intune Konformitätsrichtlinien sind in zwei Bereiche unterteilt:

  • Konformitätsrichtlinieneinstellungen sind mandantenweite Konfigurationen, die wie eine integrierte Konformitätsrichtlinie fungieren, die jedes Gerät empfängt. Konformitätsrichtlinieneinstellungen legen fest, wie die Konformitätsrichtlinie in Ihrer Intune-Umgebung funktioniert, einschließlich der Behandlung von Geräten, denen keine explizite Gerätekonformitätsrichtlinie zugewiesen ist.

  • Gerätekonformitätsrichtlinien sind diskrete Sätze plattformspezifischer Regeln und Einstellungen, die Sie für Gruppen von Benutzern oder Geräten bereitstellen. Geräte werten die Regeln in der Richtlinie aus, um eine Gerätekonformität status zu melden. Ein nicht konformer status kann zu einer oder mehreren Aktionen bei Nichtkonformität führen. Microsoft Entra Richtlinien für bedingten Zugriff können diese status auch verwenden, um den Zugriff auf Organisationsressourcen von diesem Gerät aus zu blockieren.

Einstellungen der Compliancerichtlinie

Die Einstellungen für Konformitätsrichtlinien sind mandantenweite Einstellungen, die bestimmen, wie der Intune-Konformitätsdienst mit Ihren Geräten interagiert. Diese Einstellungen unterscheiden sich von den Einstellungen, die Sie in einer Gerätekonformitätsrichtlinie konfigurieren.

Um die Konformitätsrichtlinieneinstellungen zu verwalten, melden Sie sich bei Microsoft Intune Admin Center an, und wechseln Sie zu Endpunktsicherheit>Gerätekonformitätsrichtlinieneinstellungen>.

Die Einstellungen für Konformitätsrichtlinien umfassen die folgenden Einstellungen:

  • Geräte ohne zugewiesene Konformitätsrichtlinie kennzeichnen als

    Diese Einstellung bestimmt, wie Intune Geräte behandelt, denen keine Gerätekonformitätsrichtlinie zugewiesen ist. Diese Einstellung verfügt über zwei Optionen:

    • Kompatibel (Standard): Dieses Sicherheitsfeature ist deaktiviert. Geräte, denen keine Gerätekonformitätsrichtlinie gesendet wurde, werden als konform betrachtet.
    • Nicht kompatibel: Dieses Sicherheitsfeature ist aktiviert. Geräte ohne Gerätekonformitätsrichtlinie gelten als nicht konform.

    Wenn Sie den bedingten Zugriff mit Ihren Gerätekonformitätsrichtlinien verwenden, ändern Sie diese Einstellung in Nicht konform , um sicherzustellen, dass nur Geräte, die als konform bestätigt wurden, auf Ihre Ressourcen zugreifen können.

    Wenn ein Endbenutzer nicht konform ist, weil ihm keine Richtlinie zugewiesen ist, wird in der Unternehmensportal-App angezeigt, dass keine Konformitätsrichtlinien zugewiesen wurden.

  • Gültigkeitszeitraum des Konformitätsstatus (Tage)

    Geben Sie einen Zeitraum an, in dem Geräte erfolgreich Berichte zu allen empfangenen Konformitätsrichtlinien melden müssen. Wenn ein Gerät vor Ablauf der Gültigkeitsdauer keinen Konformitätsstatus für eine Richtlinie meldet, wird das Gerät als nicht konform behandelt.

    Der Zeitraum ist standardmäßig auf 30 Tage festgelegt. Sie können einen Zeitraum zwischen 1 und 120 Tagen konfigurieren.

    Sie können Details zur Konformität eines Geräts mit der Gültigkeitsdauer-Einstellung anzeigen. Melden Sie sich bei Microsoft Intune Admin Center an, und wechseln Sie zu Kompatibilität derGerätemonitoreinstellung>>. Diese Einstellung hat den Namen Ist aktiv in der Spalte Einstellung. Weitere Informationen zu diesen und zugehörigen Konformitätsstatusansichten finden Sie unter Überwachen der Gerätekonformtät.

Gerätekompatibilitätsrichtlinien

Intune Gerätekonformitätsrichtlinien sind diskrete Sätze plattformspezifischer Regeln und Einstellungen, die Sie für Gruppen von Benutzern oder Geräten bereitstellen. Verwenden Sie Konformitätsrichtlinien für Folgendes:

  • Definieren Regeln und Einstellungen, die Benutzer und verwaltete Geräte erfüllen müssen, um als „konform“ zu gelten. Beispiele für Regeln sind u. a. die Anforderung, dass Geräte eine Mindestversion des Betriebssystems ausführen, nicht mit Jailbreak oder Rooten verbunden sind, und dass sie sich auf einer Bedrohungsstufe befinden oder unter einer Bedrohungsstufe sind, die von einer Bedrohungsverwaltungssoftware angegeben wird, die in Intune integriert wird.

  • Unterstützungsaktionen bei Nichtkonformität, die für Geräte gelten, die diese Richtlinienkonformitätsregeln nicht erfüllen. Beispiele für Aktionen bei Nichtkonformität sind das Markieren des Geräts als nicht konform, das Remotesperren und das Senden einer E-Mail eines Gerätebenutzers über das Gerät status damit er es beheben kann.

Bei Verwendung von Gerätekonformitätsrichtlinien:

  • Einige Konformitätsrichtlinienkonfigurationen können die Konfiguration von Einstellungen außer Kraft setzen, die Sie auch über Gerätekonfigurationsrichtlinien verwalten. Weitere Informationen zur Konfliktlösung für Richtlinien finden Sie unter Konformitäts- und Gerätekonfigurationsrichtlinien, die Konflikte verursachen.

  • Richtlinien können für Benutzer in Benutzergruppen oder Geräte in Gerätegruppen bereitgestellt werden. Wenn eine Konformitätsrichtlinie für einen Benutzer bereitgestellt wird, werden alle Geräte des Benutzers auf Konformität überprüft. Die Verwendung von Gerätegruppen in diesem Szenario hilft beim Erstellen von Konformitätsberichten.

  • Wenn Sie Microsoft Entra bedingten Zugriff verwenden, können Ihre Richtlinien für bedingten Zugriff die Gerätekonformitätsergebnisse verwenden, um den Zugriff auf Ressourcen von nicht konformen Geräten zu blockieren.

  • Wie andere Intune Richtlinien hängen konformitätsrichtlinienauswertungen für ein Gerät davon ab, wann das Gerät mit Intune eincheckt, sowie vom Aktualisierungszyklus von Richtlinien und Profilen.

Welche Einstellungen verfügbar sind, die Sie in einer Gerätekonformitätsrichtlinie festlegen können, hängt vom Plattformtyp ab, den Sie beim Erstellen einer Richtlinie auswählen. Verschiedene Geräteplattformen unterstützen verschiedene Einstellungen, und jeder Plattformtyp erfordert eine separate Richtlinie.

Die folgenden Themen sind mit dedizierten Artikeln für verschiedene Aspekte der Gerätekonfigurationsrichtlinie verknüpft.

  • Aktionen bei Nichtkonformität : Standardmäßig enthält jede Gerätekonformitätsrichtlinie die Aktion, um ein Gerät als nicht konform zu kennzeichnen, wenn es eine Richtlinienregel nicht erfüllt. Jede Richtlinie kann basierend auf der Geräteplattform weitere Aktionen unterstützen. Beispiele für zusätzliche Aktionen sind:

    • Senden von E-Mail-Benachrichtigungen an Benutzer und Gruppen mit Details zum nicht konformen Gerät. Sie können die Richtlinie so konfigurieren, dass sie sofort eine E-Mail sendet, wenn das Gerät als nicht konform gekennzeichnet wird, und danach regelmäßig, bis das Gerät wieder konform ist.
    • Fernsperren von Geräten, die seit einiger Zeit nicht konform sind.
    • Außerbetriebnahme von Geräten, nachdem sie einige Zeit nicht konform waren. Diese Aktion kennzeichnet ein sich qualifizierendes Gerät, das ausgemustert werden kann. Ein Administrator kann dann eine Liste der Geräte anzeigen, die für die Deaktivierung markiert sind, und muss eine explizite Aktion ausführen, um ein oder mehrere Geräte ausmustern zu können. Diese Aktion entfernt das Gerät aus der Intune-Verwaltung und entfernt alle Unternehmensdaten von dem Gerät. Weitere Informationen zu dieser Aktion finden Sie unter Verfügbare Aktionen für nicht konforme Aktionen.
  • Erstellen einer Konformitätsrichtlinie : Mit den Informationen im verknüpften Artikel können Sie die Voraussetzungen überprüfen, die Optionen zum Konfigurieren von Regeln durcharbeiten, Aktionen für Nichtkonformität angeben und die Richtlinie Gruppen zuweisen. Dieser Artikel enthält auch Informationen zu den Aktualisierungszeiten für Richtlinien.

    In den Konformitätseinstellungen für die unterschiedlichen Geräteplattformen finden Sie weitere Informationen:

  • Benutzerdefinierte Konformitätseinstellungen: Mit benutzerdefinierten Konformitätseinstellungen können Sie die integrierten Gerätekonformitätsoptionen von Intune erweitern. Benutzerdefinierte Einstellungen bieten Flexibilität, die Konformität auf den Einstellungen zu basieren, die auf einem Gerät verfügbar sind, ohne auf Intune warten zu müssen, um diese Einstellungen hinzuzufügen.

    Sie können benutzerdefinierte Konformitätseinstellungen für die folgenden Plattformen verwenden:

    • Linux – Ubuntu Desktop, Version 20.04 LTS und 22.04 LTS
    • Windows 10
    • Windows 11

Überwachen des Konformitätsstatus

Intune enthält ein Dashboard für die Gerätekonformität, mit dem Sie den Konformitätsstatus von Geräten überwachen und einen Drilldown zu Richtlinien und Geräten durchführen können, um weitere Informationen zu erhalten. Weitere Informationen zu diesem Dashboard finden Sie unter Überwachen der Gerätekonformität.

Integration mit bedingtem Zugriff

Wenn Sie den bedingten Zugriff verwenden, können Sie Ihre Richtlinien für den bedingten Zugriff so konfigurieren, dass anhand der Ergebnisse Ihrer Gerätekonformitätsrichtlinien bestimmt wird, welche Geräte auf Ihre Unternehmensressourcen zugreifen können. Diese Zugriffssteuerung erfolgt zusätzlich zu und unabhängig von den Aktionen bei Nichtkonformität, die Sie in Ihre Gerätekonformitätsrichtlinien integrieren.

Wenn ein Gerät bei Intune wird es in Microsoft Entra ID registriert. Die Konformitäts-status für Geräte wird an Microsoft Entra ID gemeldet. Wenn für Ihre Richtlinien für bedingten Zugriff Zugriffssteuerungen die Option Gerät muss als konform gekennzeichnet werden müssen festgelegt ist, verwendet der bedingte Zugriff diese Konformitäts-status, um zu bestimmen, ob der Zugriff auf E-Mails und andere organization-Ressourcen gewährt oder blockiert werden soll.

Wenn Sie Gerätekonformität status mit Richtlinien für bedingten Zugriff verwenden, überprüfen Sie, wie Ihr Mandant die Option Geräte ohne Konformitätsrichtlinie als zugewiesen markieren konfiguriert, die Sie unter Konformitätsrichtlinieneinstellungen verwalten.

Weitere Informationen zur Verwendung des bedingten Zugriffs mit Ihren Gerätekonformitätsrichtlinien finden Sie unter Gerätebasierter bedingter Zugriff.

Weitere Informationen zum bedingten Zugriff finden Sie in der Microsoft Entra-Dokumentation:

Referenz für Nichtkonformität und bedingten Zugriff auf den verschiedenen Plattformen

In der folgenden Tabelle wird beschrieben, wie nicht konforme Einstellungen verwaltet werden, wenn eine Konformitätsrichtlinie mit einer Richtlinie für bedingten Zugriff verwendet wird.

  • Wiederhergestellt: Das Betriebssystem des Geräts erzwingt die Kompatibilität. Es ist z.B. erforderlich, dass der Benutzer eine PIN festlegt.

  • Isoliert: Das Betriebssystem des Geräts erzwingt keine Konformität. Android- und Android Enterprise-Geräte zwingen den Benutzer z. B. nicht dazu, das Gerät zu verschlüsseln. Wenn das Gerät nicht konform ist, erfolgen die folgenden Aktionen:

    • Wenn eine Richtlinie für bedingten Zugriff für den Benutzer gilt, wird das Gerät blockiert.
    • Die Unternehmensportal-App benachrichtigt den Benutzer über Konformitätsprobleme.

Richtlinieneinstellung Plattform
Zulässige Distributionen Linux(only) – Unter Quarantäne
Geräteverschlüsselung - Android 4.0 und höher: Isoliert
- Samsung Knox Standard 4.0 und höher:: Isoliert
- Android Enterprise: Isoliert

- iOS 8.0 und höher: Wiederhergestellt (durch Festlegen der PIN)
- macOS 10.11 und höher: Isoliert

- Linux: Unter Quarantäne

- Windows 10/11: Isoliert
E-Mail-Profil - Android 4.0 und höher: Nicht zutreffend
- Samsung Knox Standard 4.0 und höher: Nicht zutreffend
- Android Enterprise: Nicht zutreffend

- iOS 8.0 und höher: Isoliert
- macOS 10.11 und höher: Isoliert

- Linux: Nicht zutreffend

- Windows 10/11: Nicht zutreffend
Per Jailbreak oder Rootzugriff manipuliertes Gerät - Android 4.0 und höher: Isoliert (keine Einstellung)
- Samsung Knox Standard 4.0 und höher: Isoliert (keine Einstellung)
- Android Enterprise: Isoliert (keine Einstellung)

- iOS 8.0 und höher: Isoliert (keine Einstellung)
- macOS 10.11 und höher: Nicht zutreffend

- Linux: Nicht zutreffend

- Windows 10/11: Nicht zutreffend
Maximales Release des Betriebssystems - Android 4.0 und höher: Isoliert
- Samsung Knox Standard 4.0 und höher:: Isoliert
- Android Enterprise: Isoliert

- iOS 8.0 und höher: Isoliert
- macOS 10.11 und höher: Isoliert

- Linux: Siehe Zulässige Distributionen

- Windows 10/11: Isoliert
Minimales Release des Betriebssystems - Android 4.0 und höher: Isoliert
- Samsung Knox Standard 4.0 und höher:: Isoliert
- Android Enterprise: Isoliert

- iOS 8.0 und höher: Isoliert
- macOS 10.11 und höher: Isoliert

- Linux: Siehe Zulässige Distributionen

- Windows 10/11: Isoliert
PIN- oder Kennwortkonfiguration - Android 4.0 und höher: Isoliert
- Samsung Knox Standard 4.0 und höher:: Isoliert
- Android Enterprise: Isoliert

- iOS 8.0 und höher: Wiederhergestellt
- macOS 10.11 und höher: Wiederhergestellt

- Linux: Unter Quarantäne

- Windows 10/11: Behoben
Windows-Integritätsnachweis - Android 4.0 und höher: Nicht zutreffend
- Samsung Knox Standard 4.0 und höher: Nicht zutreffend
- Android Enterprise: Nicht zutreffend

- iOS 8.0 und höher: Nicht zutreffend
- macOS 10.11 und höher: Nicht zutreffend

- Linux: Nicht zutreffend

- Windows 10/11: Isoliert

Hinweis

Die Unternehmensportal-App wechselt in den Registrierungswartungsflow, wenn sich der Benutzer bei der App anmeldet und das Gerät 30 Tage oder länger nicht erfolgreich mit Intune eingecheckt hat (oder das Gerät ist aufgrund eines Compliance-Grunds für verlorene Kontakte nicht konform). In diesem Flow versuchen wir, ein weiteres Mal einen Check-In zu initiieren. Wenn dies immer noch nicht erfolgreich ist, geben wir einen Außerkraftsetzen-Befehl aus, damit der Benutzer das Gerät manuell erneut registrieren kann.


Nächste Schritte