Freigeben über


Schützen von Daten und Geräten mit Microsoft Intune

Microsoft Intune können Sie dabei unterstützen, Ihre verwalteten Geräte sicher und auf dem neuesten Stand zu halten und gleichzeitig die Daten Ihrer organization vor kompromittierten Geräten zu schützen. Der Datenschutz umfasst die Kontrolle darüber, was Benutzer mit den Daten eines organization auf verwalteten und nicht verwalteten Geräten tun. Zum Schutz von Daten gehört auch das Blockieren des Zugriffs auf Daten von Geräten, die möglicherweise kompromittiert wurden.

In diesem Artikel werden viele der integrierten Funktionen und Partnertechnologien von Intune vorgestellt, die Sie in Intune integrieren können. Wenn Sie sich damit vertraut gemacht haben, können Sie mehrere Funktionen kombinieren, um auf Ihrer Journey zur Zero Trust-Umgebung umfassendere Lösungen zu erstellen.

Über das Microsoft Intune Admin Center unterstützt Intune verwaltete Geräte, auf denen Android, iOS/iPad, Linux, macOS und Windows ausgeführt wird.

Wenn Sie Configuration Manager zur Verwaltung lokaler Geräte verwenden, können Sie Intune-Richtlinien auf diese Geräte erweitern, indem Sie Mandantenanfügung oder Co-Verwaltung konfigurieren.

Intune kann auch mit Informationen von Geräten arbeiten, die Sie mit Drittanbieterprodukten verwalten, welche Gerätekonformität und Bedrohungsschutz für Mobilgeräte bieten.

Schützen von Geräten durch Richtlinien

Stellen Sie die Endpunktsicherheits-, Gerätekonfigurations- und Gerätekonformitätsrichtlinien von Intune bereit, um Geräte so zu konfigurieren, dass sie die Sicherheitsziele Ihrer Organisation erfüllen. Richtlinien unterstützen ein oder mehrere Profile. Dabei handelt es sich um separate Sätze plattformspezifischer Regeln, die Sie für Gruppen registrierter Geräte bereitstellen.

  • Stellen Sie mit Endpunktsicherheitsrichtlinien sicherheitsorientierte Richtlinien bereit, die Ihnen helfen, sich auf die Sicherheit Ihrer Geräte zu konzentrieren und Risiken zu minimieren. Die verfügbaren Aufgaben können Ihnen helfen, gefährdete Geräte zu identifizieren, diese Geräte zu korrigieren und sie in einem kompatiblen oder sichereren Zustand wiederherzustellen.

  • Mithilfe von Gerätekonfigurationsrichtlinien verwalten Sie Profile zur Definition der Einstellungen und Features, die Geräte in Ihrer Organisation verwenden. Konfigurieren Sie beispielsweise Geräte für Endpoint Protection, stellen Sie Zertifikate für die Authentifizierung bereit, oder legen Sie das Verhalten von Softwareupdates fest.

  • Mit Gerätekonformitätsrichtlinien erstellen Sie Profile für verschiedene Geräteplattformen, die Geräteanforderungen festlegen. Zu den Anforderungen gehören beispielsweise Betriebssystemversionen, die Verwendung der Datenträgerverschlüsselung oder die Einstufung in bestimmte Bedrohungsstufen, die von der Bedrohungsverwaltungssoftware definiert werden.

    Intune kann Geräte schützen, die nicht mit Ihren Richtlinien konform sind, und den Gerätebenutzer warnen, damit er die Konformität des Geräts herstellen kann.

    Wenn Sie der Mischung bedingten Zugriff hinzufügen, konfigurieren Sie Richtlinien, die nur kompatiblen Geräten den Zugriff auf Ihr Netzwerk und die Ressourcen von organization erlauben. Zugriffseinschränkungen können Dateifreigaben und Unternehmens-E-Mails umfassen. Richtlinien für bedingten Zugriff funktionieren auch mit den Gerätestatusdaten, die von in Intune integrierten Drittanbieter-Gerätekonformitätspartnern gemeldet werden.

Im Folgenden finden Sie einige der Sicherheitseinstellungen und -aufgaben, die Sie über verfügbare Richtlinien verwalten können:

  • Authentifizierungsmethoden: Konfigurieren Sie, wie Sich Ihre Geräte bei den Ressourcen, E-Mails und Anwendungen Ihrer organization authentifizieren.

    • Verwenden Sie Zertifikate für die Authentifizierung bei Anwendungen, die Ressourcen Ihrer organization und für das Signieren und Verschlüsseln von E-Mails mit S/MIME. Sie können auch abgeleitete Anmeldeinformationen einrichten, wenn Ihre Umgebung die Verwendung von Smartcards erfordert.

    • Konfigurieren Sie Einstellungen, die zur Risikobegrenzung beitragen. Beispiele:

      • Fordern Sie die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) an, um eine zusätzliche Authentifizierungsebene für Benutzer hinzuzufügen.
      • Legen Sie die PIN- und Kennwortanforderungen fest, die erfüllt werden müssen, um Zugriff auf Ressourcen zu erhalten.
      • Aktivieren Sie Windows Hello for Business für Windows-Geräte.
  • Geräteverschlüsselung : Verwalten Sie BitLocker auf Windows-Geräten und FileVault unter macOS.

  • Softwareupdates: Verwalten Sie, wie und wann Geräte Softwareupdates erhalten. Folgendes wird unterstützt:

    • Android-Firmwareupdates:
    • iOS : Verwalten Von Gerätebetriebssystemversionen und wenn Geräte nach Updates suchen und diese installieren.
    • macOS : Verwalten von Softwareupdates für macOS-Geräte, die als überwachte Geräte registriert wurden.
    • Windows: Um die Windows Update für Geräte zu verwalten, können Sie konfigurieren, wann Geräte Updates überprüfen oder installieren, eine Gruppe Ihrer verwalteten Geräte mit bestimmten Featureversionen speichern und vieles mehr.
  • Sicherheitsbaselines : Stellen Sie Sicherheitsbaselines bereit, um einen kernigen Sicherheitsstatus auf Ihren Windows-Geräten einzurichten. Sicherheitsbaselines sind vorkonfigurierte Gruppen von Windows-Einstellungen, die von den relevanten Produktteams empfohlen werden. Sie können Baselines wie bereitgestellt verwenden oder Instanzen bearbeiten, sodass sie Ihren Sicherheitszielen für Gerätezielgruppen entsprechen.

  • Virtuelle private Netzwerke (VIRTUAL Private Networks, VPNs): Mit VPN-Profilen können Sie Geräten VPN-Einstellungen zuweisen, damit sie problemlos eine Verbindung mit dem Netzwerk Ihrer organization herstellen können. Intune unterstützt mehrere VPN-Verbindungstypen und -Apps, die sowohl integrierte Funktionen für einige Plattformen als auch VPN-Apps von Erst- und Drittanbietern für Geräte enthalten.

  • Windows Local Administrator Password Solution (LAPS): Mit der Windows LAPS-Richtlinie haben Sie folgende Möglichkeiten:

    • Erzwingen von Kennwortanforderungen für lokale Administratorkonten
    • Sichern eines lokalen Administratorkontos von Geräten in Active Directory (AD) oder Microsoft Entra
    • Planen Sie die Rotation dieser Kontokennwörter, um sie zu schützen.

Schützen von Daten durch Richtlinien

Mit Intune verwaltete Apps und die App-Schutzrichtlinien von Intune können dazu beitragen, Datenlecks zu verhindern und die Daten Ihrer Organisation zu schützen. Diese Schutzmaßnahmen können für Geräte gelten, die bei Intune registriert sind, und für Geräte, die dies nicht sind.

  • Intune verwaltete Apps (oder kurz verwaltete Apps) sind Apps, die das Intune App SDK integrieren oder vom Intune App Wrapping Tool umschlossen werden. Diese Apps können mithilfe von Intune-App-Schutzrichtlinien verwaltet werden. Eine Liste der öffentlich verfügbaren verwalteten Apps finden Sie unter Durch Intune geschützte Apps.

    Benutzer können verwaltete Apps verwenden, um sowohl mit den Daten Ihrer organization als auch mit ihren eigenen persönlichen Daten zu arbeiten. Wenn App-Schutzrichtlinien jedoch die Verwendung einer verwalteten App erfordern, ist die verwaltete App die einzige App, die für den Zugriff auf die Daten Ihrer organization verwendet werden kann. App-Schutz Regeln gelten nicht für die personenbezogenen Daten eines Benutzers.

  • App-Schutzrichtlinien sind Regeln, die sicherstellen, dass die Daten einer Organisation in einer verwalteten App jederzeit sicher sind und dort verbleiben. Die Regeln identifizieren die verwaltete App, die verwendet werden muss, und definieren, was mit den Daten ausgeführt werden kann, während die App verwendet wird.

Im Folgenden finden Sie Beispiele für Schutz und Einschränkungen, die Sie mit App-Schutzrichtlinien und verwalteten Apps festlegen können:

  • Konfigurieren Sie den Schutz auf App-Ebene, z. B. eine PIN, die zum Öffnen einer App in einem Arbeitskontext erforderlich ist.
  • Steuern Sie die Freigabe der Daten einer organization zwischen Apps auf einem Gerät, z. B. blockieren Sie das Kopieren und Einfügen oder Bildschirmaufnahmen.
  • Verhindern Sie das Speichern der Daten Ihrer organization an persönlichen Speicherorten.

Verwenden von Geräteaktionen zum Schützen von Geräten und Daten

Im Microsoft Intune Admin Center können Sie Geräteaktionen ausführen, die dazu beitragen, ein ausgewähltes Gerät zu schützen. Sie können eine Teilmenge dieser Aktionen als Massengeräteaktionen ausführen, die sich auf mehrere Geräte gleichzeitig auswirken. Außerdem können mehrere Remoteaktionen von Intune auch für gemeinsam verwaltete Geräte verwendet werden.

Geräteaktionen sind keine Richtlinien und werden bei Aufruf nur einmal wirksam. Sie gelten entweder sofort, falls das Gerät online zugänglich ist, oder wenn das Gerät das nächste Mal gestartet wird oder sich bei Intune eincheckt. Betrachten Sie diese Aktionen als Ergänzung zur Verwendung von Richtlinien, die Sicherheitskonfigurationen für einen Bestand von Geräten konfigurieren und verwalten.

Im Folgenden finden Sie Beispiele für Aktionen, die Sie ausführen können, um Geräte und Daten zu schützen:

Von Intune verwaltete Geräte:

  • BitLocker-Schlüsselrotation (nur Windows)
  • Deaktivieren der Aktivierungssperre (nur Apple-Geräte, siehe Deaktivieren der Aktivierungssperre mit Apple Business Manager)
  • Vollständige überprüfung oder Schnellüberprüfung (nur Windows)
  • Remotesperre
  • Außerbetriebnahme (wodurch die Daten Ihrer organization vom Gerät entfernt werden, während personenbezogene Daten intakt bleiben)
  • Aktualisierung von Microsoft Defender-Sicherheitsinformationen
  • Zurücksetzen (das Gerät wird auf die Werkseinstellungen zurückgesetzt, und alle Daten, Apps und Einstellungen werden entfernt)

Von Configuration Manager verwaltete Geräte:

  • Zurückziehen
  • Wischen
  • Synchronisierung (erzwingt, dass ein Gerät sich sofort bei Intune eincheckt, um neue Richtlinien oder ausstehende Aktionen zu finden)

Integration in andere Produkte und Partnertechnologien

Intune unterstützt die Integration von Partner-Apps aus Erst- und Drittanbieterquellen, die die integrierten Funktionen erweitern. Sie können Intune auch in mehrere Microsoft-Technologien integrieren.

Compliancepartner

Erfahren Sie mehr über die Verwendung von Gerätekonformitätspartnern mit Intune. Wenn Sie ein Gerät mit einem anderen Verwaltungspartner für mobile Geräte als Intune verwalten, können Sie diese Konformitätsdaten in Microsoft Entra ID integrieren. Wenn sie integriert sind, können Richtlinien für bedingten Zugriff die Partnerdaten zusammen mit Konformitätsdaten aus Intune verwenden.

Configuration Manager

Sie können viele Intune-Richtlinien und Geräteaktionen verwenden, um die mithilfe von Configuration Manager verwalteten Geräte zu schützen. Um diese Geräte zu unterstützen, konfigurieren Sie die Co-Verwaltung oder Mandantenanfügung. Sie können auch beides zusammen mit Intune verwenden.

  • Mit der Co-Verwaltung können Sie ein Windows-Gerät gleichzeitig mit Configuration Manager und Intune verwalten. Sie installieren den Configuration Manager-Client und registrieren das Gerät bei Intune. Das Gerät kommuniziert mit beiden Diensten.

  • Mit Mandantenanfügung richten Sie die Synchronisierung zwischen Ihrem Configuration Manager Standort und Ihrem Intune Mandanten ein. Diese Synchronisierung bietet Ihnen eine einzige Ansicht für alle Geräte, die Sie mit Microsoft Intune verwalten.

Nachdem eine Verbindung zwischen Intune und Configuration Manager hergestellt wurde, sind Geräte von Configuration Manager im Microsoft Intune Admin Center verfügbar. Anschließend können Sie Intune-Richtlinien für diese Geräte bereitstellen oder Geräteaktionen verwenden, um sie zu schützen.

Unter anderem können Sie folgende Schutzfunktionen anwenden:

  • Bereitstellung von Zertifikaten für Geräte durch Verwendung von Intune-SCEP- (Simple Certificate Enrollment-Protokoll) oder PKCS-Zertifikatprofilen (Private and Public Key Pair, Paar aus privatem und öffentlichem Schlüssel)
  • Verwenden einer Konformitätsrichtlinie
  • Verwenden von Endpunktsicherheitsrichtlinien wie Antivirus, Endpunkterkennung und -reaktion sowie Firewallregeln
  • Anwenden von Sicherheitsbaselines
  • Verwalten von Windows-Updates

Mobile Threat Defense-Apps

Mobile Threat Defense-Apps (MTD) überprüfen und analysieren Geräte aktiv auf Bedrohungen. Wenn Sie Mobile Threat Defense-Apps in Intune integrieren (verbinden) möchten, erhalten Sie die App-Bewertung einer Gerätebedrohungsstufe. Die Bewertung einer Geräte-Bedrohungs- oder Risikostufe ist ein wichtiges Tool zum Schutz der Ressourcen Ihrer organization vor kompromittierten mobilen Geräten. Sie können diese Bedrohungsstufe dann in verschiedenen Richtlinien wie Richtlinien für bedingten Zugriff verwenden, um den Zugriff auf diese Ressourcen zu sperren.

Verwenden Sie Daten auf Bedrohungsebene mit Richtlinien für Gerätekonformität, App-Schutz und bedingten Zugriff. Diese Richtlinien verwenden die Daten, um zu verhindern, dass nicht kompatible Geräte auf die Ressourcen Ihrer organization zugreifen.

Gehen Sie mit einer integrierten MTD-App folgendermaßen vor:

  • Für registrierte Geräte:

    • Verwenden Sie Intune, um die MTD-App auf Geräten bereitzustellen und dann zu verwalten.
    • Stellen Sie Gerätekonformitätsrichtlinien bereit, die die gemeldete Gerätebedrohungsstufe zur Konformitätsauswertung verwenden.
    • Definieren Sie Richtlinien für bedingten Zugriff, die eine Gerätebedrohungsstufe berücksichtigen.
    • Definieren Sie App-Schutzrichtlinien, um basierend auf der Bedrohungsstufe des Geräts festzulegen, wann der Zugriff auf Daten blockiert oder zugelassen werden soll.
  • Für Geräte, die sich nicht bei Intune registrieren, aber eine MTD-App ausführen, die in Intune integriert ist, verwenden Sie ihre Daten auf Bedrohungsebene mit Ihren App-Schutzrichtlinien, um den Zugriff auf die Daten Ihrer organization zu blockieren.

Intune unterstützt die Integration in:

Microsoft Defender für Endpunkt

Als eigenständiges Tool bietet Microsoft Defender für Endpunkt mehrere sicherheitsbezogene Vorteile. Microsoft Defender für Endpunkt kann auch in Intune integriert werden und wird auf mehreren Geräteplattformen unterstützt. Mit der Integration erhalten Sie eine Mobile Threat Defense-App und fügen Intune Funktionen zum Schutz von Daten und Geräten hinzu. Zu diesen Leistungsbereichen gehören folgende:

  • Unterstützung für Microsoft Tunnel: Auf Android-Geräten ist Microsoft Defender für Endpunkt die Clientanwendung, die Sie mit Microsoft Tunnel verwenden, einer VPN-Gatewaylösung für Intune. Wenn Sie als Microsoft Tunnel-Client-App verwendet werden, benötigen Sie kein Abonnement für Microsoft Defender for Endpoint.

  • Sicherheitsaufgaben: Anhand von Sicherheitsaufgaben können Intune-Administratoren die Funktionen zur Verwaltung von Bedrohungen und Sicherheitsrisiken von Microsoft Defender für Endpunkt nutzen. Funktionsweise:

    • Ihr Defender für Endpunkt-Team identifiziert gefährdete Geräte und erstellt die Sicherheitsaufgaben für Intune im Security Center von Defender für Endpunkt.
    • Diese Aufgaben werden in Intune zusammen mit Tipps zur Entschärfung angezeigt, die Intune-Administratoren zum Verringern des Risikos einsetzen können.
    • Wenn eine Aufgabe in Intune aufgelöst wird, wird dieser Status an das Security Center von Defender für Endpunkt zurückgegeben. Dort können die Ergebnisse der Entschärfung ausgewertet werden.
  • Endpunktsicherheitsrichtlinien: Die folgenden Intune-Endpunktsicherheitsrichtlinien erfordern die Integration in Microsoft Defender für Endpunkt. Wenn Sie die Mandantenanfügung verwenden, können Sie diese Richtlinen für Geräte bereitstellen, die Sie mit Intune oder Configuration Manager verwalten.

    • Antivirenrichtlinie: Verwalten Sie die Einstellungen für Microsoft Defender Antivirus und die Windows-Sicherheit Auf unterstützten Geräten wie Windows und macOS.

    • Endpunkterkennungs- und -reaktionsrichtlinie: Verwenden Sie diese Richtlinie, um Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR) zu konfigurieren. Dies ist eine Funktion von Microsoft Defender für Endpunkt.

Bedingter Zugriff

Der bedingte Zugriff ist eine Microsoft Entra Funktion, die mit Intune zum Schutz von Geräten verwendet werden kann. Für Geräte, die sich bei Microsoft Entra ID registrieren, können Richtlinien für bedingten Zugriff Geräte- und Konformitätsdetails aus Intune verwenden, um Zugriffsentscheidungen für Benutzer und Geräte zu erzwingen.

Richtlinie für bedingten Zugriff können mit folgenden Richtlinien kombiniert werden:

  • Gerätekonformitätsrichtlinien können erfordern, dass ein Gerät als konform gekennzeichnet wird, bevor dieses Gerät für den Zugriff auf die Ressourcen Ihrer organization verwendet werden kann. Eine Richtlinie für bedingten Zugriff gibt Apps oder Dienste an, die Sie schützen möchten, die Bedingungen, unter denen auf die Apps oder Dienste zugegriffen werden kann, und die Benutzer, auf die die Richtlinie zutrifft.

  • App-Schutz Richtlinien können eine Sicherheitsebene hinzufügen, die sicherstellt, dass nur Client-Apps, die Intune App-Schutzrichtlinien unterstützen, auf Ihre Onlineressourcen wie Exchange oder andere Microsoft 365-Dienste zugreifen können.

Der bedingte Zugriff funktioniert auch mit folgenden Komponenten, um die Sicherheit von Geräten zu gewährleisten:

  • Microsoft Defender für Endpunkt- und Drittanbieter-MTD-Apps
  • Gerätekonformitätspartner-Apps
  • Microsoft Tunnel

Hinzufügen der Endpunktberechtigungsverwaltung

Endpoint Privilege Management (EPM) ermöglicht es Ihnen, Ihre Windows-Benutzer als Standardbenutzer auszuführen, während Sie die Berechtigungen nur bei Bedarf erhöhen, wie dies von Ihren organization festgelegten Organisationsregeln und -parametern vorgesehen ist. Dieser Entwurf unterstützt die Erzwingung des Zugriffs mit den geringsten Rechten, einem Kernmandanten einer Zero Trust Sicherheitsarchitektur. EPM ermöglicht ES IT-Teams, Standardbenutzer effizienter zu verwalten und ihre Angriffsfläche zu begrenzen, indem mitarbeiter nur als Administratoren für bestimmte, genehmigte Anwendungen oder Aufgaben ausgeführt werden können.

Aufgaben, die häufig Administratorrechte erfordern, sind Anwendungsinstallationen (z. B. Microsoft 365-Anwendungen), das Aktualisieren von Gerätetreibern und das Ausführen bestimmter Windows-Diagnose.

Durch die Bereitstellung von EPM-Rechteerweiterungsregeln , die Sie definieren, können Sie zulassen, dass nur die Anwendungen, denen Sie vertrauen, im Kontext mit erhöhten Rechten ausgeführt werden. Ihre Regeln können beispielsweise eine Dateihash-Übereinstimmung oder das Vorhandensein eines Zertifikats erfordern, um die Dateiintegrität zu überprüfen, bevor sie auf einem Gerät ausgeführt wird.

Tipp

Endpoint Privilege Management ist als Intune-Add-On verfügbar, das eine zusätzliche Lizenz erfordert und Windows 10 und Windows 11-Geräte unterstützt.

Weitere Informationen finden Sie unter Endpoint Privilege Management.

Nächste Schritte

Planen Sie die Verwendung von Intune-Funktionen für den Schutz Ihrer Daten und Geräte, um Ihre Journey zur Zero Trust-Umgebung zu unterstützen. Um über die vorherigen Inlinelinks hinaus mehr über diese Funktionen zu erfahren, informieren Sie sich über Datensicherheit und -freigabe in Intune.