Verwenden von Konformitätsrichtlinien zum Festlegen von Regeln für Geräte, die Sie mit Intune verwalten

Microsoft Intune-Konformitätsrichtlinien sind Sätze von Regeln und Bedingungen, die Sie zum Auswerten der Konfiguration Ihrer verwalteten Geräte verwenden. Diese Richtlinien können Ihnen helfen, Organisationsdaten und -ressourcen von Geräten zu schützen, die diese Konfigurationsanforderungen nicht erfüllen. Verwaltete Geräte müssen die Bedingungen erfüllen, die Sie in Ihren Richtlinien festlegen, damit sie von Intune als konform gelten.

Wenn Sie auch die Complianceergebnisse aus Ihren Richtlinien in den bedingten Zugriff von Microsoft Entra integrieren, können Sie von einer zusätzlichen Sicherheitsebene profitieren. Der bedingte Zugriff kann Microsoft Entra-Zugriffssteuerungen basierend auf dem aktuellen Konformitätsstatus eines Geräts erzwingen, um sicherzustellen, dass nur kompatible Geräte auf Unternehmensressourcen zugreifen dürfen.

Intune-Konformitätsrichtlinien sind in zwei Bereiche unterteilt:

  • Konformitätsrichtlinieneinstellungen sind mandantenweite Konfigurationen, die wie eine integrierte Konformitätsrichtlinie fungieren, die jedes Gerät empfängt. Konformitätsrichtlinieneinstellungen legen fest, wie die Konformitätsrichtlinie in Ihrer Intune-Umgebung funktioniert, einschließlich der Behandlung von Geräten, denen keine explizite Gerätekonformitätsrichtlinie zugewiesen ist.

  • Gerätekonformitätsrichtlinien sind diskrete Sätze plattformspezifischer Regeln und Einstellungen, die Sie für Gruppen von Benutzern oder Geräten bereitstellen. Geräte werten die Regeln in der Richtlinie aus, um einen Gerätekonformitätsstatus zu melden. Ein nicht konformer Status kann zu einer oder mehreren Aktionen bei Nichtkonformität führen. Microsoft Entra-Richtlinien für bedingten Zugriff können diesen Status auch verwenden, um den Zugriff auf Organisationsressourcen von diesem Gerät aus zu blockieren.

Einstellungen der Compliancerichtlinie

Die Einstellungen für Konformitätsrichtlinien sind mandantenweite Einstellungen, die bestimmen, wie der Intune-Konformitätsdienst mit Ihren Geräten interagiert. Diese Einstellungen unterscheiden sich von den Einstellungen, die Sie in einer Gerätekonformitätsrichtlinie konfigurieren.

Um die Konformitätsrichtlinieneinstellungen zu verwalten, melden Sie sich beim Microsoft Intune Admin Center an, und wechseln Sie zu Endpunktsicherheit>Gerätekonformitätsrichtlinieneinstellungen>.

Die Einstellungen für Konformitätsrichtlinien umfassen die folgenden Einstellungen:

  • Geräte ohne zugewiesene Konformitätsrichtlinie kennzeichnen als

    Diese Einstellung bestimmt, wie Intune Geräte behandelt, denen keine Gerätekonformitätsrichtlinie zugewiesen ist. Diese Einstellung verfügt über zwei Optionen:

    • Kompatibel (Standard): Dieses Sicherheitsfeature ist deaktiviert. Geräte, denen keine Gerätekonformitätsrichtlinie gesendet wurde, werden als konform betrachtet.
    • Nicht kompatibel: Dieses Sicherheitsfeature ist aktiviert. Geräte ohne Gerätekonformitätsrichtlinie gelten als nicht konform.

    Wenn Sie den bedingten Zugriff mit Ihren Gerätekonformitätsrichtlinien verwenden, ändern Sie diese Einstellung in Nicht konform , um sicherzustellen, dass nur Geräte, die als konform bestätigt wurden, auf Ihre Ressourcen zugreifen können.

    Wenn ein Endbenutzer nicht konform ist, weil ihm keine Richtlinie zugewiesen ist, wird in der Unternehmensportal-App angezeigt, dass keine Konformitätsrichtlinien zugewiesen wurden.

  • Gültigkeitszeitraum des Konformitätsstatus (Tage)

    Geben Sie einen Zeitraum an, in dem Geräte erfolgreich Berichte zu allen empfangenen Konformitätsrichtlinien melden müssen. Wenn ein Gerät vor Ablauf der Gültigkeitsdauer keinen Konformitätsstatus für eine Richtlinie meldet, wird das Gerät als nicht konform behandelt.

    Der Zeitraum ist standardmäßig auf 30 Tage festgelegt. Sie können einen Zeitraum zwischen 1 und 120 Tagen konfigurieren.

    Sie können Details zur Konformität eines Geräts mit der Gültigkeitsdauer-Einstellung anzeigen. Melden Sie sich beim Microsoft Intune Admin Center an, und wechseln Sie zu Geräte>überwachen>Einstellungskonformität. Diese Einstellung hat den Namen Ist aktiv in der Spalte Einstellung. Weitere Informationen zu diesen und zugehörigen Konformitätsstatusansichten finden Sie unter Überwachen der Gerätekonformtät.

Gerätekompatibilitätsrichtlinien

Intune-Gerätekonformitätsrichtlinien sind diskrete Sätze plattformspezifischer Regeln und Einstellungen, die Sie für Gruppen von Benutzern oder Geräten bereitstellen. Verwenden Sie Konformitätsrichtlinien für Folgendes:

  • Definieren Regeln und Einstellungen, die Benutzer und verwaltete Geräte erfüllen müssen, um als „konform“ zu gelten. Beispiele für Regeln sind u. a. die Anforderung, dass Geräte eine Mindestversion des Betriebssystems ausführen, keine Jailbreaks oder Rootvorgänge aufweisen und sich auf einer Bedrohungsstufe befinden oder unter einer Bedrohungsstufe sind, die durch eine Intune-Integrationssoftware für die Bedrohungsverwaltung angegeben wird.

  • Unterstützungsaktionen bei Nichtkonformität, die für Geräte gelten, die diese Richtlinienkonformitätsregeln nicht erfüllen. Beispiele für Aktionen bei Nichtkonformität sind das Markieren des Geräts als nicht konform, das Remotesperren und das Senden einer E-Mail eines Gerätebenutzers zum Gerätestatus, damit er ihn beheben kann.

Bei Verwendung von Gerätekonformitätsrichtlinien:

  • Einige Konformitätsrichtlinienkonfigurationen können die Konfiguration von Einstellungen außer Kraft setzen, die Sie auch über Gerätekonfigurationsrichtlinien verwalten. Weitere Informationen zur Konfliktlösung für Richtlinien finden Sie unter Konformitäts- und Gerätekonfigurationsrichtlinien, die Konflikte verursachen.

  • Richtlinien können für Benutzer in Benutzergruppen oder Geräte in Gerätegruppen bereitgestellt werden. Wenn eine Konformitätsrichtlinie für einen Benutzer bereitgestellt wird, werden alle Geräte des Benutzers auf Konformität überprüft. Die Verwendung von Gerätegruppen in diesem Szenario hilft beim Erstellen von Konformitätsberichten.

  • Wenn Sie den bedingten Zugriff von Microsoft Entra verwenden, können Ihre Richtlinien für bedingten Zugriff die Gerätekonformitätsergebnisse verwenden, um den Zugriff auf Ressourcen von nicht kompatiblen Geräten zu blockieren.

  • Wie bei anderen Intune-Richtlinien hängen Konformitätsrichtlinienauswertungen für ein Gerät davon ab, wann das Gerät bei Intune eingecheckt wird, sowie von Richtlinien- und Profilaktualisierungszyklen.

Welche Einstellungen verfügbar sind, die Sie in einer Gerätekonformitätsrichtlinie festlegen können, hängt vom Plattformtyp ab, den Sie beim Erstellen einer Richtlinie auswählen. Verschiedene Geräteplattformen unterstützen verschiedene Einstellungen, und jeder Plattformtyp erfordert eine separate Richtlinie.

Die folgenden Themen sind mit dedizierten Artikeln für verschiedene Aspekte der Gerätekonfigurationsrichtlinie verknüpft.

  • Aktionen bei Nichtkonformität : Standardmäßig enthält jede Gerätekonformitätsrichtlinie die Aktion, um ein Gerät als nicht konform zu kennzeichnen, wenn es eine Richtlinienregel nicht erfüllt. Jede Richtlinie kann basierend auf der Geräteplattform weitere Aktionen unterstützen. Beispiele für zusätzliche Aktionen sind:

    • Senden von E-Mail-Benachrichtigungen an Benutzer und Gruppen mit Details zum nicht konformen Gerät. Sie können die Richtlinie so konfigurieren, dass sie sofort eine E-Mail sendet, wenn das Gerät als nicht konform gekennzeichnet wird, und danach regelmäßig, bis das Gerät wieder konform ist.
    • Fernsperren von Geräten, die seit einiger Zeit nicht konform sind.
    • Außerbetriebnahme von Geräten, nachdem sie einige Zeit nicht konform waren. Diese Aktion kennzeichnet ein sich qualifizierendes Gerät, das ausgemustert werden kann. Ein Administrator kann dann eine Liste der Geräte anzeigen, die für die Deaktivierung markiert sind, und muss eine explizite Aktion ausführen, um ein oder mehrere Geräte ausmustern zu können. Diese Aktion entfernt das Gerät aus der Intune-Verwaltung und entfernt alle Unternehmensdaten von dem Gerät. Weitere Informationen zu dieser Aktion finden Sie unter Verfügbare Aktionen für nicht konforme Aktionen.
  • Erstellen einer Konformitätsrichtlinie : Mit den Informationen im verknüpften Artikel können Sie die Voraussetzungen überprüfen, die Optionen zum Konfigurieren von Regeln durcharbeiten, Aktionen für Nichtkonformität angeben und die Richtlinie Gruppen zuweisen. Dieser Artikel enthält auch Informationen zu den Aktualisierungszeiten für Richtlinien.

    In den Konformitätseinstellungen für die unterschiedlichen Geräteplattformen finden Sie weitere Informationen:

  • Benutzerdefinierte Konformitätseinstellungen : Mit benutzerdefinierten Konformitätseinstellungen können Sie die integrierten Gerätekonformitätsoptionen von Intune erweitern. Benutzerdefinierte Einstellungen bieten Flexibilität, die Konformität auf den Einstellungen zu basieren, die auf einem Gerät verfügbar sind, ohne warten zu müssen, bis Intune diese Einstellungen hinzugefügt hat.

    Sie können benutzerdefinierte Konformitätseinstellungen für die folgenden Plattformen verwenden:

    • Linux – Ubuntu Desktop, Version 20.04 LTS und 22.04 LTS
    • Windows 10
    • Windows 11

Überwachen des Konformitätsstatus

Intune enthält ein Dashboard für die Gerätekonformität, mit dem Sie den Konformitätsstatus von Geräten überwachen und einen Drilldown zu Richtlinien und Geräten durchführen können, um weitere Informationen zu erhalten. Weitere Informationen zu diesem Dashboard finden Sie unter Überwachen der Gerätekonformität.

Integration mit bedingtem Zugriff

Wenn Sie den bedingten Zugriff verwenden, können Sie Ihre Richtlinien für den bedingten Zugriff so konfigurieren, dass anhand der Ergebnisse Ihrer Gerätekonformitätsrichtlinien bestimmt wird, welche Geräte auf Ihre Unternehmensressourcen zugreifen können. Diese Zugriffssteuerung erfolgt zusätzlich zu und unabhängig von den Aktionen bei Nichtkonformität, die Sie in Ihre Gerätekonformitätsrichtlinien integrieren.

Wenn ein Gerät bei Intune registriert wird, wird es in der Microsoft Entra-ID registriert. Der Konformitätsstatus für Geräte wird an die Microsoft Entra-ID gemeldet. Wenn in Ihren Richtlinien für den bedingten Zugriff für die Zugriffsteuerung festgelegt ist, dass das Gerät als konform gekennzeichnet sein muss, verwendet der bedingte Zugriff diesen Konformitätsstatus, um zu bestimmen, ob der Zugriff auf E-Mails und andere Unternehmensressourcen gewährt oder blockiert wird.

Wenn Sie den Gerätekonformitätsstatus mit Richtlinien für bedingten Zugriff verwenden, überprüfen Sie, wie Ihr Mandant die Option Geräte ohne Konformitätsrichtlinie zuweisen als konfiguriert, die Sie unter Konformitätsrichtlinieneinstellungen verwalten.

Weitere Informationen zur Verwendung des bedingten Zugriffs mit Ihren Gerätekonformitätsrichtlinien finden Sie unter Gerätebasierter bedingter Zugriff.

Weitere Informationen zum bedingten Zugriff finden Sie in der Microsoft Entra-Dokumentation:

Referenz für Nichtkonformität und bedingten Zugriff auf den verschiedenen Plattformen

In der folgenden Tabelle wird beschrieben, wie nicht konforme Einstellungen verwaltet werden, wenn eine Konformitätsrichtlinie mit einer Richtlinie für bedingten Zugriff verwendet wird.

  • Wiederhergestellt: Das Betriebssystem des Geräts erzwingt die Kompatibilität. Es ist z.B. erforderlich, dass der Benutzer eine PIN festlegt.

  • Isoliert: Das Betriebssystem des Geräts erzwingt keine Konformität. Android- und Android Enterprise-Geräte zwingen den Benutzer z. B. nicht dazu, das Gerät zu verschlüsseln. Wenn das Gerät nicht konform ist, erfolgen die folgenden Aktionen:

    • Wenn eine Richtlinie für bedingten Zugriff für den Benutzer gilt, wird das Gerät blockiert.
    • Die Unternehmensportal-App benachrichtigt den Benutzer über Konformitätsprobleme.

Richtlinieneinstellung Plattform
Zulässige Distributionen Linux(only) – Unter Quarantäne
Geräteverschlüsselung - Android 4.0 und höher: Isoliert
- Samsung Knox Standard 4.0 und höher:: Isoliert
- Android Enterprise: Isoliert

- iOS 8.0 und höher: Wiederhergestellt (durch Festlegen der PIN)
- macOS 10.11 und höher: Isoliert

- Linux: Unter Quarantäne

- Windows 10/11: Isoliert
E-Mail-Profil - Android 4.0 und höher: Nicht zutreffend
- Samsung Knox Standard 4.0 und höher: Nicht zutreffend
- Android Enterprise: Nicht zutreffend

- iOS 8.0 und höher: Isoliert
- macOS 10.11 und höher: Isoliert

- Linux: Nicht zutreffend

- Windows 10/11: Nicht zutreffend
Per Jailbreak oder Rootzugriff manipuliertes Gerät - Android 4.0 und höher: Isoliert (keine Einstellung)
- Samsung Knox Standard 4.0 und höher: Isoliert (keine Einstellung)
- Android Enterprise: Isoliert (keine Einstellung)

- iOS 8.0 und höher: Isoliert (keine Einstellung)
- macOS 10.11 und höher: Nicht zutreffend

- Linux: Nicht zutreffend

- Windows 10/11: Nicht zutreffend
Maximales Release des Betriebssystems - Android 4.0 und höher: Isoliert
- Samsung Knox Standard 4.0 und höher:: Isoliert
- Android Enterprise: Isoliert

- iOS 8.0 und höher: Isoliert
- macOS 10.11 und höher: Isoliert

- Linux: Siehe Zulässige Distributionen

- Windows 10/11: Isoliert
Minimales Release des Betriebssystems - Android 4.0 und höher: Isoliert
- Samsung Knox Standard 4.0 und höher:: Isoliert
- Android Enterprise: Isoliert

- iOS 8.0 und höher: Isoliert
- macOS 10.11 und höher: Isoliert

- Linux: Siehe Zulässige Distributionen

- Windows 10/11: Isoliert
PIN- oder Kennwortkonfiguration - Android 4.0 und höher: Isoliert
- Samsung Knox Standard 4.0 und höher:: Isoliert
- Android Enterprise: Isoliert

- iOS 8.0 und höher: Wiederhergestellt
- macOS 10.11 und höher: Wiederhergestellt

- Linux: Unter Quarantäne

- Windows 10/11: Behoben
Windows-Integritätsnachweis - Android 4.0 und höher: Nicht zutreffend
- Samsung Knox Standard 4.0 und höher: Nicht zutreffend
- Android Enterprise: Nicht zutreffend

- iOS 8.0 und höher: Nicht zutreffend
- macOS 10.11 und höher: Nicht zutreffend

- Linux: Nicht zutreffend

- Windows 10/11: Isoliert

Hinweis

Die Unternehmensportal-App wechselt in den Registrierungswartungsflow, wenn sich der Benutzer bei der App anmeldet und das Gerät 30 Tage oder länger nicht erfolgreich bei Intune eingecheckt hat (oder das Gerät aufgrund eines Compliance-Grunds für verlorene Kontakte nicht konform ist). In diesem Flow versuchen wir, ein weiteres Mal einen Check-In zu initiieren. Wenn dies immer noch nicht erfolgreich ist, geben wir einen Außerkraftsetzen-Befehl aus, damit der Benutzer das Gerät manuell erneut registrieren kann.


Nächste Schritte