Verwalten der Gerätesicherheit mit Endpunktsicherheitsrichtlinien in Microsoft Intune
Als Sicherheitsadministrator, der sich mit der Gerätesicherheit befasst, verwenden Sie Intune Endpunktsicherheitsrichtlinien, um Sicherheitseinstellungen auf Geräten zu verwalten. Diese Profile ähneln dem Konzept einer Gerätekonfigurationsrichtlinienvorlage oder Sicherheitsbaseline, bei der es sich um logische Gruppen verwandter Einstellungen handelt. Wenn Gerätekonfigurationsprofile und Sicherheitsbaselines jedoch eine Vielzahl unterschiedlicher Einstellungen außerhalb des Bereichs zum Schützen von Endpunkten enthalten, konzentriert sich jedes Endpunktsicherheitsprofil auf eine bestimmte Teilmenge der Gerätesicherheit.
Wenn Sie Endpunktsicherheitsrichtlinien zusammen mit anderen Richtlinientypen wie Sicherheitsbaselines oder Endpoint Protection-Vorlagen aus Gerätekonfigurationsrichtlinien verwenden, ist es wichtig, einen Plan für die Verwendung mehrerer Richtlinientypen zu entwickeln, um das Risiko von in Konflikt stehenden Einstellungen zu minimieren. Sicherheitsbaselines, Gerätekonfigurationsrichtlinien und Endpunktsicherheitsrichtlinien werden von Intune als gleiche Quellen für Gerätekonfigurationseinstellungen behandelt. Ein Einstellungskonflikt tritt auf, wenn ein Gerät zwei verschiedene Konfigurationen für eine Einstellung aus mehreren Quellen empfängt. Mehrere Quellen können separate Richtlinientypen und mehrere Instanzen derselben Richtlinie enthalten.
Wenn Intune die Richtlinie für ein Gerät auswertet und in Konflikt stehende Konfigurationen für eine Einstellung identifiziert, kann die betroffene Einstellung für einen Fehler oder Konflikt gekennzeichnet werden und kann nicht auf das Gerät angewendet werden. Informationen, die Ihnen beim Verwalten von Konflikten helfen können, finden Sie in den folgenden richtlinien- und profilspezifischen Anleitungen:
Verfügbare Typen von Endpunktsicherheitsrichtlinien
Endpunktsicherheitsrichtlinien finden Sie unter Verwalten im Knoten Endpunktsicherheit im Microsoft Intune Admin Center.
Im Folgenden sind kurze Beschreibungen der einzelnen Endpunktsicherheitsrichtlinientypen aufgeführt. Weitere Informationen dazu, einschließlich der jeweils verfügbaren Profile, finden Sie unter den Links zu inhalten, die den einzelnen Richtlinientypen zugeordnet sind:
Kontoschutz : Mithilfe von Kontoschutzrichtlinien können Sie die Identität und die Konten Ihrer Benutzer schützen. Die Kontoschutzrichtlinie konzentriert sich auf Einstellungen für Windows Hello und Credential Guard, die Teil der Identitäts- und Zugriffsverwaltung von Windows sind.
Antivirus : Antivirenrichtlinien helfen Sicherheitsadministratoren, sich auf die Verwaltung der diskreten Gruppe von Antivireneinstellungen für verwaltete Geräte zu konzentrieren.
App Control for Business (Vorschau): Verwalten Sie genehmigte Apps für Windows-Geräte mit der App Control for Business-Richtlinie und verwalteten Installern für Microsoft Intune. Intune App Control for Business-Richtlinien sind eine Implementierung von Windows Defender Application Control (WDAC).
Verringerung der Angriffsfläche: Wenn Defender Antivirus auf Ihren Windows 10/11-Geräten verwendet wird, verwenden Sie Intune Endpunktsicherheitsrichtlinien für die Verringerung der Angriffsfläche, um diese Einstellungen für Ihre Geräte zu verwalten.
Datenträgerverschlüsselung : Endpunktsicherheit Datenträgerverschlüsselungsprofile konzentrieren sich nur auf die Einstellungen, die für eine integrierte Verschlüsselungsmethode für Geräte relevant sind, z. B. FileVault, BitLocker und Personal Data Encryption (für Windows). Dieser Fokus erleichtert Sicherheitsadministratoren das Verwalten von Verschlüsselungseinstellungen auf Datenträger- oder Ordnerebene, ohne zu einem Host von nicht verwandten Einstellungen navigieren zu müssen.
Endpunkterkennung und -antwort: Wenn Sie Microsoft Defender for Endpoint in Intune integrieren, verwenden Sie die Endpunktsicherheitsrichtlinien für Endpunkterkennung und -reaktion (EDR), um die EDR-Einstellungen zu verwalten und Geräte in Microsoft Defender for Endpoint zu integrieren.
Firewall: Verwenden Sie die Endpunktsicherheitsfirewallrichtlinie in Intune, um eine integrierte Gerätefirewall für Geräte zu konfigurieren, auf denen macOS und Windows 10/11 ausgeführt werden.
Die folgenden Abschnitte gelten für alle Endpunktsicherheitsrichtlinien.
Zuweisen rollenbasierter Zugriffssteuerungen für die Endpunktsicherheitsrichtlinie
Zum Verwalten Intune Endpunktsicherheitsrichtlinien müssen Sie ein Konto verwenden, das die Intune RBAC-Berechtigung (Role-Based Access Control) für die Richtlinie sowie bestimmte Rechte im Zusammenhang mit der aufgabe enthält, die Sie verwalten.
Hinweis
Vor Juni 2024 wurden Intune Endpunktsicherheitsrichtlinien über Rechte verwaltet, die von der Berechtigung Sicherheitsbaselines bereitgestellt wurden. Ab Juni 2024 hat Intune damit begonnen, präzise Berechtigungen zum Verwalten einzelner Endpunktsicherheitsworkloads freizugeben.
Jedes Mal, wenn Intune eine neue differenzierte Berechtigung für eine Endpunktsicherheitsworkload hinzugefügt wird, werden dieselben Rechte aus der Berechtigung Sicherheitsbaselines entfernt. Wenn Sie benutzerdefinierte Rollen mit der Berechtigung Sicherheitsbaselines verwenden, wird die neue RBAC-Berechtigung automatisch Ihren benutzerdefinierten Rollen mit den gleichen Rechten zugewiesen, die über die Berechtigung Sicherheitsbaseline erteilt wurden. Durch diese automatische Zuweisung wird sichergestellt, dass Ihre Administratoren weiterhin über die gleichen Berechtigungen verfügen, über die sie heute verfügen.
RBAC-Rollen und Berechtigungen zum Verwalten von Endpunktsicherheitsworkloads
Wenn Sie RBAC-Berechtigungen für die Verwaltung von Aspekten der Endpunktsicherheit zuweisen, wird empfohlen, Administratoren die Mindestberechtigungen zuzuweisen, die zum Ausführen bestimmter Aufgaben erforderlich sind. Jede der RBAC-Berechtigungen, die die Endpunktsicherheit verwalten, umfasst die folgenden Rechte, die beim Erstellen einer benutzerdefinierten RBAC-Rolle einzeln gewährt oder einbehalten werden können:
- Zuweisen
- Erstellen
- Löschen
- Lesen
- Aktualisieren
- Anzeigen von Berichten
Verwenden von benutzerdefinierten RBAC-Rollen
Die folgenden Berechtigungen umfassen Rechte für Endpunktsicherheitsworkloads:
Anwendungssteuerung für Unternehmen : Gewährt Rechte zum Verwalten von Anwendungssteuerungsrichtlinien und -berichten.
Verringerung der Angriffsfläche : Gewährt Rechte zum Verwalten einiger, aber nicht aller Richtlinien und Berichte zur Verringerung der Angriffsfläche . Für diese Workload sind für die folgenden Profile (Vorlagen) weiterhin Rechte erforderlich, die von der Berechtigung Sicherheitsbaselines bereitgestellt werden:
- Windows-App- und Browserisolation
- Windows-Webschutz
- Windows-Anwendungssteuerelement
- Windows Exploit-Schutz
Endpunkterkennung und -antwort : Gewährt Rechte zum Verwalten von Richtlinien und Berichten zur Endpunkterkennung und -antwort (EDR).
Sicherheitsbaselines: Gewährt Rechte zum Verwalten aller Endpunktsicherheitsworkloads ohne dedizierten Workflow.
Gerätekonfigurationen : Das Recht Berichte anzeigen für Gerätekonfigurationen gewährt auch Rechte zum Anzeigen, Generieren und Exportieren von Berichten für Endpunktsicherheitsrichtlinien.
Wichtig
Die differenzierte Berechtigung von Antivirus für Endpunktsicherheitsrichtlinien ist möglicherweise vorübergehend in einigen Mandanten sichtbar. Diese Berechtigung wird nicht freigegeben und nicht für die Verwendung unterstützt. Konfigurationen der Antivirenberechtigung werden von Intune ignoriert. Wenn Antivirus als präzise Berechtigung zur Verfügung steht, wird die Verfügbarkeit im Artikel Neuerungen in Microsoft Intune bekannt gegeben.
Verwenden integrierter RBAC-Rollen
Die folgenden Intune integrierten RBAC-Rollen können Administratoren auch zugewiesen werden, um Berechtigungen zum Verwalten einiger oder aller Aufgaben für Endpunktsicherheitsworkloads und -berichte bereitzustellen.
- Helpdeskoperator
- Operator für „Schreibgeschützt“
- Sicherheitsmmanager für den Endpunkt
Weitere Informationen zu den spezifischen Berechtigungen und Rechten, die jede Rolle umfasst, finden Sie unter Integrierte Rollenberechtigungen für Microsoft Intune.
Überlegungen zu neuen Endpunktsicherheitsberechtigungen
Wenn neue differenzierte Berechtigungen für Endpunktsicherheitsworkloads hinzugefügt werden, verfügt die neue Workloadberechtigung über die gleiche Berechtigungs- und Rechtestruktur wie die Berechtigung Sicherheitsbaselines . Dies umfasst die Verwaltung der Sicherheitsrichtlinien innerhalb dieser Workloads, die sich überlappende Einstellungen in anderen Richtlinientypen wie Sicherheitsbaselinerichtlinien oder Einstellungskatalogrichtlinien enthalten können, die von separaten RBAC-Berechtigungen gesteuert werden.
Wenn Sie das Sicherheitseinstellungsverwaltungsszenario von Defender für Endpunkt verwenden, gelten die gleichen RBAC-Berechtigungsänderungen für das Microsoft Defender-Portal für die Verwaltung von Sicherheitsrichtlinien.
Erstellen einer Endpunktsicherheitsrichtlinie
Das folgende Verfahren enthält allgemeine Anleitungen zum Erstellen von Endpunktsicherheitsrichtlinien:
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Endpunktsicherheit und dann den Richtlinientyp aus, den Sie konfigurieren möchten, und wählen Sie dann Richtlinie erstellen aus. Wählen Sie aus den folgenden Richtlinientypen:
- Kontoschutz
- Antivirus
- Anwendungssteuerelement (Vorschau)
- Verringerung der Angriffsfläche
- Datenträgerverschlüsselung
- Endpunkterkennung und -reaktion
- Firewall
Geben Sie die folgenden Eigenschaften ein:
- Plattform: Wählen Sie die Plattform aus, für die Sie die Richtlinie erstellen. Die verfügbaren Optionen hängen vom ausgewählten Richtlinientyp ab.
- Profil: Wählen Sie aus den verfügbaren Profilen für die ausgewählte Plattform aus. Informationen zu den Profilen finden Sie im entsprechenden Abschnitt in diesem Artikel für den von Ihnen gewählten Richtlinientyp.
Wählen Sie Erstellen aus.
Geben Sie auf der Seite Grundeinstellungen einen Namen und eine Beschreibung für das Profil ein, und klicken Sie dann auf Weiter.
Erweitern Sie auf der Seite Konfigurationseinstellungen jede Gruppe von Einstellungen, und konfigurieren Sie die Einstellungen, die Sie mit diesem Profil verwalten möchten.
Wenn Sie fertig sind mit dem Konfigurieren der Einstellungen, klicken Sie auf Weiter.
Wählen Sie auf der Seite Bereichstags die Option Bereichstags auswählen aus, um den Bereich Tags auswählen zu öffnen, um dem Profil Bereichstags zuzuweisen.
Wählen Sie Weiter aus, um fortzufahren.
Wählen Sie auf der Seite Zuweisungen die Gruppen aus, die dieses Profil erhalten sollen. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.
Wählen Sie Weiter aus.
Klicken Sie, wenn Sie fertig sind, auf der Seite Bewerten + erstellen auf Erstellen. Das neue Profil wird in der Liste angezeigt, wenn Sie den Richtlinientyp für das Profil auswählen, das Sie erstellt haben.
Duplizieren einer Richtlinie
Endpunktsicherheitsrichtlinien unterstützen duplizieren, um eine Kopie der ursprünglichen Richtlinie zu erstellen. Ein Szenario, in dem das Duplizieren einer Richtlinie nützlich ist, ist, wenn Sie verschiedenen Gruppen ähnliche Richtlinien zuweisen müssen, aber nicht die gesamte Richtlinie manuell neu erstellen möchten. Stattdessen können Sie die ursprüngliche Richtlinie duplizieren und dann nur die Änderungen einführen, die die neue Richtlinie erfordert. Sie können nur eine bestimmte Einstellung und die Gruppe ändern, der die Richtlinie zugewiesen ist.
Wenn Sie ein Duplikat erstellen, geben Sie der Kopie einen neuen Namen. Die Kopie wird mit denselben Einstellungskonfigurationen und Bereichstags wie das Original erstellt, aber ohne Zuweisungen. Sie müssen die neue Richtlinie später bearbeiten, um Zuweisungen zu erstellen.
Die folgenden Richtlinientypen unterstützen Duplizierung:
- Kontoschutz
- Anwendungssteuerung (Vorschau)
- Antivirus
- Verringerung der Angriffsfläche
- Datenträgerverschlüsselung
- Endpunkterkennung und -reaktion
- Firewall
Nachdem Sie die neue Richtlinie erstellt haben, überprüfen und bearbeiten Sie die Richtlinie, um Änderungen an der Konfiguration vorzunehmen.
So duplizieren Sie eine Richtlinie
- Melden Sie sich beim Microsoft Intune Admin Center an.
- Suchen Sie die Richtlinie, die Sie aus der Richtlinienliste kopieren möchten, und wählen Sie dann die Auslassungspunkte (...) für diese Zeile aus, um das Kontextmenü zu öffnen.
- Wählen Sie Duplizieren.
- Geben Sie einen neuen Namen für die Richtlinie an, und wählen Sie dann Speichern aus.
So bearbeiten Sie eine Richtlinie
- Wählen Sie die neue Richtlinie und dann Eigenschaften aus.
- Wählen Sie Einstellungen aus, um eine Liste der Konfigurationseinstellungen in der Richtlinie zu erweitern. Sie können die Einstellungen in dieser Ansicht nicht ändern, aber Sie können überprüfen, wie sie konfiguriert sind.
- Um die Richtlinie zu ändern, wählen Sie Bearbeiten für jede Kategorie, in der Sie eine Änderung vornehmen möchten:
- Grundlagen
- Aufgaben
- Bereichstags
- Konfigurationseinstellungen
- Nachdem Sie Änderungen vorgenommen haben, wählen Sie Speichern aus, um Ihre Änderungen zu speichern. Änderungen an einer Kategorie müssen gespeichert werden, bevor Sie Änderungen an zusätzlichen Kategorien einführen können.
Verwalten von Konflikten
Viele der Geräteeinstellungen, die Sie mit Endpunktsicherheitsrichtlinien (Sicherheitsrichtlinien) verwalten können, sind auch über andere Richtlinientypen in Intune verfügbar. Zu diesen anderen Richtlinientypen gehören Gerätekonfigurationsrichtlinien und Sicherheitsbaselines. Da Einstellungen über mehrere verschiedene Richtlinientypen oder mehrere Instanzen desselben Richtlinientyps verwaltet werden können, sollten Sie darauf vorbereitet sein, Richtlinienkonflikte für Geräte zu identifizieren und zu lösen, die nicht den erwarteten Konfigurationen entsprechen.
- Sicherheitsbaselines können einen nicht standardmäßigen Wert für eine Einstellung festlegen, um der empfohlenen Konfiguration zu entsprechen, die die Baseline adressiert.
- Andere Richtlinientypen, einschließlich der Endpunktsicherheitsrichtlinien, legen standardmäßig den Wert Nicht konfiguriert fest. Diese anderen Richtlinientypen erfordern, dass Sie Einstellungen in der Richtlinie explizit konfigurieren.
Unabhängig von der Richtlinienmethode kann die Verwaltung derselben Einstellung auf demselben Gerät durch mehrere Richtlinientypen oder durch mehrere Instanzen desselben Richtlinientyps zu Konflikten führen, die vermieden werden sollten.
Die Informationen unter den folgenden Links können Ihnen helfen, Konflikte zu identifizieren und zu lösen: