Schritt 4: Konfigurieren von Gerätefeatures und -einstellungen zum Schützen von Geräten und Zugreifen auf Ressourcen

Bisher haben Sie Ihr Intune-Abonnement eingerichtet, App-Schutzrichtlinien und Gerätekonformitätsrichtlinien erstellt.

In diesem Schritt können Sie einen Mindest- oder Baselinesatz von Sicherheits- und Gerätefeatures konfigurieren, über die alle Geräte verfügen müssen.

Dieser Artikel gilt für:

• Android
• iOS/iPadOS
• macOS
• Windows

Wenn Sie Gerätekonfigurationsprofile erstellen, stehen verschiedene Ebenen und Typen von Richtlinien zur Verfügung. Diese Ebenen sind die von Microsoft empfohlenen Mindestrichtlinien. Wissen Sie, dass Ihre Umgebung und Ihre geschäftlichen Anforderungen möglicherweise anders sind.

• Ebene 1 – Minimale Gerätekonfiguration: In dieser Ebene empfiehlt Microsoft, Richtlinien zu erstellen, die:

  • Konzentrieren Sie sich auf die Gerätesicherheit, einschließlich der Installation von Antivirensoftware, der Erstellung einer Richtlinie für sichere Kennwörter und der regelmäßigen Installation von Softwareupdates.
  • Gewähren Sie Benutzern Zugriff auf ihre organization E-Mails und kontrollierten sicheren Zugriff auf Ihr Netzwerk, unabhängig davon, wo sie sich befinden.

• Ebene 2 – Erweiterte Gerätekonfiguration: In dieser Ebene empfiehlt Microsoft, Richtlinien zu erstellen, die:

  • Erweitern Sie die Gerätesicherheit, einschließlich der Konfiguration der Datenträgerverschlüsselung, der Aktivierung des sicheren Starts und des Hinzufügens weiterer Kennwortregeln.
  • Verwenden Sie die integrierten Features und Vorlagen, um weitere Einstellungen zu konfigurieren, die für Ihre organization wichtig sind, einschließlich der Analyse lokaler GpOs.

• Ebene 3 – Hohe Gerätekonfiguration: In dieser Ebene empfiehlt Microsoft, Richtlinien zu erstellen, die:

  • Wechseln sie zur kennwortlosen Authentifizierung, einschließlich der Verwendung von Zertifikaten, konfigurieren des einmaligen Anmeldens (Single Sign-On, SSO) für Apps, Aktivieren der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) und Konfigurieren von Microsoft Tunnel.
  • Fügen Sie zusätzliche Sicherheitsebenen hinzu, indem Sie den Allgemeinen Kriterienmodus von Android verwenden oder DFCI-Richtlinien für Windows-Geräte erstellen.
  • Verwenden Sie die integrierten Features, um Kioskgeräte, dedizierte Geräte, freigegebene Geräte und andere spezialisierte Geräte zu konfigurieren.
  • Bereitstellen vorhandener Shellskripts.

In diesem Artikel werden die verschiedenen Ebenen von Gerätekonfigurationsrichtlinien aufgeführt, die Organisationen verwenden sollten. Die meisten dieser Richtlinien in diesem Artikel konzentrieren sich auf den Zugriff auf organization Ressourcen und die Sicherheit.

Diese Features werden in Gerätekonfigurationsprofilen im Microsoft Intune Admin Center konfiguriert. Wenn die Profile bereit sind, können sie von Intune auf Ihren Geräten bereitgestellt werden.

Tipp

Machen Sie eine Tour durch Intune und das Microsoft Intune Admin Center.

Ebene 1: Erstellen Ihrer Sicherheitsbaseline

Um ihre organization Daten und Geräte zu schützen, erstellen Sie verschiedene Richtlinien, die sich auf die Sicherheit konzentrieren. Sie sollten eine Liste der Sicherheitsfeatures erstellen, die alle Benutzer und/oder alle Geräte aufweisen müssen. Diese Liste ist Ihre Sicherheitsbaseline.

In Ihrer Baseline empfiehlt Microsoft mindestens die folgenden Sicherheitsrichtlinien:

• Installieren Sie Antivirensoftware (AV), und suchen Sie regelmäßig nach Schadsoftware.
• Verwenden von Erkennung und Reaktion
• Aktivieren der Firewall
• Regelmäßiges Installieren von Softwareupdates
• Erstellen einer sicheren PIN/Kennwortrichtlinie

In diesem Abschnitt werden die Intune und Microsoft-Dienste aufgeführt, die Sie zum Erstellen dieser Sicherheitsrichtlinien verwenden können.

Wenn Sie eine detailliertere Liste der Einstellungen und deren empfohlenen Werte bevorzugen, gehen Sie zu:

• Sicherheitskonfigurationsframework von Android für Unternehmen
• Sicherheitskonfigurationen für persönliche iOS-/iPadOS-Geräte
• Windows-Sicherheitsbaselines

Antivirus und Überprüfung

✔️ Installieren Sie Antivirensoftware und suchen Sie regelmäßig nach Schadsoftware.

Auf allen Geräten sollte Antivirensoftware installiert sein und regelmäßig auf Schadsoftware überprüft werden. Intune lässt sich in MtD-Dienste (Mobile Threat Defense) von Drittanbietern integrieren, die AV- und Bedrohungsüberprüfungen bereitstellen. Für macOS und Windows sind Antiviren- und Überprüfungsvorgänge in Intune mit Microsoft Defender for Endpoint integriert.

Ihre Richtlinienoptionen:

Plattform	Richtlinientyp
Android für Unternehmen	- Mobile Threat Defense-Partner – Microsoft Defender for Endpoint für Android kann nach Schadsoftware suchen
iOS/iPadOS	Mobile Threat Defense-Partner
macOS	Intune Endpoint Security-Antivirenprofil (Microsoft Defender for Endpoint)
Windows-Client	– Intune Sicherheitsbaselines (empfohlen) – Intune Endpoint Security-Antivirenprofil (Microsoft Defender for Endpoint) – Mobile Threat Defense-Partner

Weitere Informationen zu diesen Features finden Sie unter:

• Android Enterprise:
  • Mobile Threat Defense-Integration
  • Microsoft Defender for Endpoint Übersicht
• Integration von iOS/iPadOSMobile Threat Defense
• macOSAntivirus-Richtlinie
• Windows:
  • Antivirenrichtlinie
  • Sicherheitsbasispläne

Erkennung und Reaktion

✔️ Erkennen von Angriffen und Reagieren auf diese Bedrohungen

Wenn Sie Bedrohungen schnell erkennen, können Sie die Auswirkungen der Bedrohung minimieren. Wenn Sie diese Richtlinien mit bedingtem Zugriff kombinieren, können Sie Verhindern, dass Benutzer und Geräte auf organization Ressourcen zugreifen, wenn eine Bedrohung erkannt wird.

Ihre Richtlinienoptionen:

Plattform	Richtlinientyp
Android für Unternehmen	- Mobile Threat Defense Partner - Microsoft Defender for Endpoint unter Android
iOS/iPadOS	- Mobile Threat Defense-Partner – Microsoft Defender for Endpoint unter iOS/iPadOS
macOS	Nicht verfügbar
Windows-Client	– Intune Sicherheitsbaselines (empfohlen) – Intune Endpunkterkennungs- und -antwortprofil (Microsoft Defender for Endpoint) – Mobile Threat Defense-Partner

Weitere Informationen zu diesen Features finden Sie unter:

• Android Enterprise:
  • MDTD-Integration in Intune (Mobile Threat Defense)
  • Microsoft Defender for Endpoint Übersicht
• iOS/iPadOS:
  • MDTD-Integration in Intune (Mobile Threat Defense)
  • Microsoft Defender for Endpoint Übersicht
• Windows:
  • Sicherheitsbasispläne
  • Endpunkterkennungs- und -antwortrichtlinie

Firewall

✔️ Aktivieren der Firewall auf allen Geräten

Einige Plattformen verfügen über eine integrierte Firewall, auf anderen müssen Sie möglicherweise eine Firewall separat installieren. Intune ist in MTD-Dienste (Mobile Threat Defense) von Drittanbietern integriert, die eine Firewall für Android- und iOS-/iPadOS-Geräte verwalten können. Für macOS und Windows ist die Firewallsicherheit in Intune mit Microsoft Defender for Endpoint integriert.

Ihre Richtlinienoptionen:

Plattform	Richtlinientyp
Android für Unternehmen	Mobile Threat Defense-Partner
iOS/iPadOS	Mobile Threat Defense-Partner
macOS	Intune Endpoint Security-Firewallprofil (Microsoft Defender for Endpoint)
Windows-Client	– Intune Sicherheitsbaselines (empfohlen) – Intune Endpoint Security-Firewallprofil (Microsoft Defender for Endpoint) – Mobile Threat Defense-Partner

Weitere Informationen zu diesen Features finden Sie unter:

• Android EnterpriseMobile Threat Defense-Integration
• Integration von iOS/iPadOSMobile Threat Defense
• macOS-Firewallrichtlinie
• Windows:
  • Sicherheitsbasispläne
  • Firewallrichtlinie

Kennwortrichtlinie

✔️ Erstellen einer sicheren Kennwort-/PIN-Richtlinie und Blockieren einfacher Kennungen

PINs entsperren Geräte. Auf Geräten, die auf organization Daten zugreifen, einschließlich persönlicher Geräte, sollten Sie starke PINs/Kennungen benötigen und biometrische Daten unterstützen, um Geräte zu entsperren. Die Verwendung von biometrischen Daten ist Teil eines kennwortlosen Ansatzes, der empfohlen wird.

Intune verwendet Geräteeinschränkungsprofile, um Kennwortanforderungen zu erstellen und zu konfigurieren.

Ihre Richtlinienoptionen:

Plattform	Richtlinientyp
Android für Unternehmen	Intune Profil für Geräteeinschränkungen, um Folgendes zu verwalten: – Gerätekennwort – Arbeitsprofilkennwort
AOSP	Intune Profil für Geräteeinschränkungen
iOS/iPadOS	Intune Profil für Geräteeinschränkungen
macOS	Intune Profil für Geräteeinschränkungen
Windows-Client	– Intune Sicherheitsbaselines (empfohlen) – Intune Profil für Geräteeinschränkungen

Eine Liste der Einstellungen, die Sie konfigurieren können, finden Sie unter:

• Profil für Android Enterprise-Geräteeinschränkungen:
  • Unternehmenseigene Geräte >Gerätekennwort und Arbeitsprofilkennwort
  • Persönliche Geräte mit einem Arbeitsprofil >Arbeitsprofilkennwort und -kennwort
• Profil > für Android AOSP-Geräteeinschränkungen Gerätekennwort
• Profil für >iOS-/iPadOS-Geräteeinschränkungen Kennwort
• macOS-Profil für > Geräteeinschränkungen Kennwort
• Windows:
  • Sicherheitsbasispläne
  • Profil für > Clientgeräteeinschränkungen Kennwort
  • Verwalten von Windows Hello for Business bei der Geräteregistrierung
  • Verwalten von Windows Hello for Business nach der Geräteregistrierung

Softwareupdates

✔️ Regelmäßiges Installieren von Softwareupdates

Alle Geräte sollten regelmäßig aktualisiert und Richtlinien erstellt werden, um sicherzustellen, dass diese Updates erfolgreich installiert werden. Für die meisten Plattformen verfügt Intune über dedizierte Richtlinien, die sich auf die Verwaltung und Installation von Updates konzentrieren.

Ihre Richtlinienoptionen:

Plattform	Richtlinientyp
Geräte im Besitz von Android Enterprise organization	Systemupdateeinstellungen mit Intune Profil für Geräteeinschränkungen
Persönliche Android Enterprise-Geräte	Nicht verfügbar Kann Konformitätsrichtlinien verwenden, um eine Minimale Patchebene, eine minimale/maximale Betriebssystemversion und vieles mehr festzulegen.
iOS/iPadOS	Intune Updaterichtlinie
macOS	Intune Updaterichtlinie
Windows-Client	– Intune Richtlinie für Featureupdates – richtlinie für beschleunigte Updates Intune

Weitere Informationen zu diesen Features und/oder den Einstellungen, die Sie konfigurieren können, finden Sie unter:

• Profil > für Android Enterprise-Geräteeinschränkungen Systemupdate
• Richtlinien für iOS-/iPadOS-Softwareupdates
• macOS-Softwareupdaterichtlinien
• Windows:
  • Richtlinie für Featureupdates
  • Richtlinie für beschleunigte Updates

Ebene 1: Zugreifen auf organization E-Mail, Herstellen einer VERBINDUNG mit VPN oder Wi-Fi

Dieser Abschnitt konzentriert sich auf den Zugriff auf Ressourcen in Ihrer organization. Diese Ressourcen enthalten:

• Email für Geschäfts-, Schul- oder Unikonten
• VPN-Verbindung für Remotekonnektivität
• Wi-Fi Verbindung für lokale Konnektivität

E-Mails

Viele Organisationen stellen E-Mail-Profile mit vorkonfigurierten Einstellungen auf Benutzergeräten bereit.

✔️ Automatisches Herstellen einer Verbindung mit Benutzer-E-Mail-Konten

Das Profil enthält die E-Mail-Konfigurationseinstellungen, die eine Verbindung mit Ihrem E-Mail-Server herstellen.

Abhängig von den einstellungen, die Sie konfigurieren, kann das E-Mail-Profil die Benutzer auch automatisch mit ihren individuellen E-Mail-Kontoeinstellungen verbinden.

✔️ Verwenden von E-Mail-Apps auf Unternehmensebene

Email Profile in Intune gängige und beliebte E-Mail-Apps wie Outlook verwenden. Die E-Mail-App wird auf Benutzergeräten bereitgestellt. Nach der Bereitstellung stellen Sie das E-Mail-Gerätekonfigurationsprofil mit den Einstellungen bereit, die die E-Mail-App konfigurieren.

Das E-Mail-Gerätekonfigurationsprofil enthält Einstellungen, die eine Verbindung mit Exchange herstellen.

✔️ Zugreifen auf Geschäfts-, Schul- oder Uni-E-Mails

Das Erstellen eines E-Mail-Profils ist eine allgemeine Mindestbaselinerichtlinie für Organisationen mit Benutzern, die E-Mails auf ihren Geräten verwenden.

Intune verfügt über integrierte E-Mail-Einstellungen für Android-, iOS-/iPadOS- und Windows-Clientgeräte. Wenn Benutzer ihre E-Mail-App öffnen, können sie automatisch eine Verbindung herstellen, sich authentifizieren und ihre E-Mail-Konten ihrer Organisation auf ihren Geräten synchronisieren.

✔️ Jederzeit bereitstellen

Auf neuen Geräten wird empfohlen, die E-Mail-App während des Registrierungsprozesses bereitzustellen. Stellen Sie nach Abschluss der Registrierung die E-Mail-Gerätekonfigurationsrichtlinie bereit.

Wenn Sie über vorhandene Geräte verfügen, stellen Sie die E-Mail-App jederzeit bereit, und stellen Sie die E-Mail-Gerätekonfigurationsrichtlinie bereit.

Erste Schritte mit E-Mail-Profilen

Erste Schritte:

1. Stellen Sie eine E-Mail-App auf Ihren Geräten bereit. Eine Anleitung finden Sie unter Hinzufügen von E-Mail-Einstellungen zu Geräten mit Intune.

2. Erstellen Sie ein E-Mail-Gerätekonfigurationsprofil in Intune. Abhängig von der E-Mail-App, die Ihr organization verwendet, ist das E-Mail-Gerätekonfigurationsprofil möglicherweise nicht erforderlich.

   Eine Anleitung finden Sie unter Hinzufügen von E-Mail-Einstellungen zu Geräten mit Intune.

3. Konfigurieren Sie im E-Mail-Gerätekonfigurationsprofil die Einstellungen für Ihre Plattform:

   • Persönliche Android Enterprise-Geräte mit E-Mail-Einstellungen für ein Arbeitsprofil

     Android Enterprise organization geräteeigene Geräte verwenden keine E-Mail-Gerätekonfigurationsprofile.

   • iOS-/iPadOS-E-Mail-Einstellungen

   • Windows-E-Mail-Einstellungen

4. Weisen Sie Das E-Mail-Gerätekonfigurationsprofil Ihren Benutzern oder Benutzergruppen zu.

VPN

Viele Organisationen stellen VPN-Profile mit vorkonfigurierten Einstellungen für Benutzergeräte bereit. Das VPN verbindet Ihre Geräte mit Ihrem internen organization Netzwerk.

Wenn Ihr organization Clouddienste mit moderner Authentifizierung und sicheren Identitäten verwendet, benötigen Sie wahrscheinlich kein VPN-Profil. Cloudnative Dienste erfordern keine VPN-Verbindung.

Wenn Ihre Apps oder Dienste nicht cloudbasiert oder nicht cloudnativ sind, wird empfohlen, ein VPN-Profil bereitzustellen, um eine Verbindung mit Ihrem internen organization Netzwerk herzustellen.

✔️ Arbeiten von überall aus

Das Erstellen eines VPN-Profils ist eine allgemeine Mindestbaselinerichtlinie für Organisationen mit Remotemitarbeitern und Hybrid Workern.

Da Benutzer von überall aus arbeiten, können sie das VPN-Profil verwenden, um eine sichere Verbindung mit dem Netzwerk Ihrer organization herzustellen, um auf Ressourcen zuzugreifen.

Intune verfügt über integrierte VPN-Einstellungen für Android-, iOS-/iPadOS-, macOS- und Windows-Clientgeräte. Auf Benutzergeräten wird Ihre VPN-Verbindung als verfügbare Verbindung angezeigt. Benutzer wählen sie aus. Abhängig von den Einstellungen in Ihrem VPN-Profil können sich Benutzer automatisch authentifizieren und eine Verbindung mit dem VPN auf ihren Geräten herstellen.

✔️ Verwenden von VPN-Apps auf Unternehmensebene

VPN-Profile in Intune verwenden gängige UNTERNEHMENS-VPN-Apps wie Check Point, Cisco, Microsoft Tunnel und mehr. Die VPN-App wird auf Benutzergeräten bereitgestellt. Nachdem die App bereitgestellt wurde, stellen Sie das VPN-Verbindungsprofil mit Einstellungen bereit, die die VPN-App konfigurieren.

Das VPN-Gerätekonfigurationsprofil enthält Einstellungen, die eine Verbindung mit Ihrem VPN-Server herstellen.

✔️ Jederzeit bereitstellen

Auf neuen Geräten wird empfohlen, die VPN-App während des Registrierungsprozesses bereitzustellen. Stellen Sie nach Abschluss der Registrierung die VPN-Gerätekonfigurationsrichtlinie bereit.

Wenn Sie über vorhandene Geräte verfügen, stellen Sie die VPN-App jederzeit bereit, und stellen Sie dann die VPN-Gerätekonfigurationsrichtlinie bereit.

Erste Schritte mit VPN-Profilen

Erste Schritte:

1. Stellen Sie eine VPN-App auf Ihren Geräten bereit.

   • Eine Liste der unterstützten VPN-Apps erhalten Sie unter Unterstützte VPN-Verbindungs-Apps in Intune.
   • Die Schritte zum Hinzufügen von Apps zu Intune können Sie unter Hinzufügen von Apps zu Microsoft Intune.

2. Erstellen Sie ein VPN-Konfigurationsprofil in Intune.

3. Konfigurieren Sie im VPN-Gerätekonfigurationsprofil die Einstellungen für Ihre Plattform:

   • Android Enterprise-VPN-Einstellungen
   • iOS-/iPadOS-VPN-Einstellungen
   • macOS-VPN-Einstellungen
   • Windows-VPN-Einstellungen

4. Weisen Sie Das VPN-Gerätekonfigurationsprofil Ihren Benutzern oder Benutzergruppen zu.

WLAN

Viele Organisationen stellen Wi-Fi Profile mit vorkonfigurierten Einstellungen auf Benutzergeräten bereit. Wenn Ihr organization nur Remotemitarbeiter hat, müssen Sie keine Wi-Fi Verbindungsprofile bereitstellen. Wi-Fi Profile sind optional und werden für die lokale Konnektivität verwendet.

✔️ Drahtlos verbinden

Wenn Benutzer von verschiedenen mobilen Geräten aus arbeiten, können sie das Wi-Fi-Profil verwenden, um eine drahtlose und sichere Verbindung mit dem Netzwerk Ihrer organization herzustellen.

Das Profil enthält die Wi-Fi Konfigurationseinstellungen, die automatisch eine Verbindung mit Ihrem Netzwerk und/oder SSID (Service Set Identifier) herstellen. Benutzer müssen ihre Wi-Fi Einstellungen nicht manuell konfigurieren.

✔️ Lokale Unterstützung mobiler Geräte

Das Erstellen eines Wi-Fi-Profils ist eine allgemeine Mindestbaselinerichtlinie für Organisationen mit mobilen Geräten, die lokal funktionieren.

Intune verfügt über integrierte Wi-Fi Einstellungen für Android-, iOS-/iPadOS-, macOS- und Windows-Clientgeräte. Auf Benutzergeräten wird Ihre Wi-Fi Verbindung als verfügbare Verbindung angezeigt. Benutzer wählen sie aus. Abhängig von den Einstellungen in Ihrem Wi-Fi-Profil können sich Benutzer automatisch authentifizieren und eine Verbindung mit dem Wi-Fi auf ihren Geräten herstellen.

✔️ Jederzeit bereitstellen

Auf neuen Geräten wird empfohlen, die Wi-Fi Gerätekonfigurationsrichtlinie bereitzustellen, wenn Sich Geräte bei Intune registrieren.

Wenn Sie über vorhandene Geräte verfügen, können Sie die Wi-Fi Gerätekonfigurationsrichtlinie jederzeit bereitstellen.

Erste Schritte mit Wi-Fi Profilen

Erste Schritte:

1. Erstellen Sie in Intune ein Wi-Fi-Gerätekonfigurationsprofil.

2. Konfigurieren Sie die Einstellungen für Ihre Plattform:

   • Einstellungen für Android Enterprise Wi-Fi
   • Einstellungen für iOS-/iPadOS-Wi-Fi
   • macOS-Wi-Fi-Einstellungen
   • Windows Wi-Fi-Einstellungen

3. Weisen Sie Ihren Benutzern oder Benutzergruppen das Wi-Fi Gerätekonfigurationsprofil zu.

Ebene 2: Erweiterter Schutz und erweiterte Konfiguration

Diese Ebene erweitert das, was Sie in Ebene 1 konfiguriert haben, und erhöht die Sicherheit für Ihre Geräte. In diesem Abschnitt erstellen Sie richtlinien der Ebene 2, die weitere Sicherheitseinstellungen für Ihre Geräte konfigurieren.

Microsoft empfiehlt die folgenden Sicherheitsrichtlinien der Stufe 2:

• Aktivieren Sie Datenträgerverschlüsselung, sicherer Start und TPM auf Ihren Geräten. Diese Features in Kombination mit einer starken PIN-Richtlinie oder biometrischer Entsperrung werden auf dieser Ebene empfohlen.

  Android

  Auf Android-Geräten sind die Datenträgerverschlüsselung und Samsung Knox möglicherweise in das Betriebssystem integriert. Die Datenträgerverschlüsselung wird möglicherweise automatisch aktiviert , wenn Sie die Einstellungen für den Sperrbildschirm konfigurieren. In Intune können Sie eine Richtlinie für Geräteeinschränkungen erstellen, die Sperrbildschirmeinstellungen konfiguriert.

  Eine Liste der Kennwort- und Sperrbildschirmeinstellungen, die Sie konfigurieren können, finden Sie in den folgenden Artikeln:

  • Organisationseigene Geräte: Gerätekennwort
  • Organisationseigene Geräte – Arbeitsprofilkennwort
  • Persönliche Geräte– Arbeitsprofilkennwort
  • Persönliche Geräte – Gerätekennwort

  iOS/iPadOS

  Auf iOS-/iPadOS-Geräten sind Datenträgerverschlüsselung und Secure Enclave in das Betriebssystem integriert und automatisch aktiviert. Es gibt keine Intune Einstellungen zum Konfigurieren dieser spezifischen Features.

  Ausführlichere Informationen finden Sie unter Einführung in die Sicherheit der Apple-Plattform und Secure Enclave (öffnet die Website von Apple).

  Es gibt Intune Richtlinien, die sich auf Kennworteinstellungen und das Verschlüsseln von Sicherungen konzentrieren.

  macOS

  Auf macOS-Geräten können Sie FileVault-Richtlinien in Intune für die Datenträgerverschlüsselung konfigurieren und verwenden.

  Secure Enclave ist in den Betrieb integriert und automatisch aktiviert. Ausführlichere Informationen finden Sie unter Einführung in die Sicherheit der Apple-Plattform und Secure Enclave (öffnet die Website von Apple).

  Windows

  Auf Windows-Geräten gibt es Intune Endpoint Protection-Richtlinien, die BitLocker verwalten, einschließlich TPM und Windows-Einstellungen, einschließlich des sicheren Starts.

---

• Ablaufen von Kennwörtern und Regeln der Wiederverwendung alter Kennwörter. In Ebene 1 haben Sie eine sichere PIN- oder Kennwortrichtlinie erstellt. Falls noch nicht geschehen, stellen Sie sicher, dass Ihre PINs-Kennwörter ablaufen & , und legen Sie regeln für die Wiederverwendung von Kennwörtern fest.

  Sie können Intune verwenden, um eine Geräteeinschränkungsrichtlinie oder eine Einstellungskatalogrichtlinie zu erstellen, die diese Einstellungen konfiguriert. Weitere Informationen zu den Kennworteinstellungen, die Sie konfigurieren können, finden Sie in den folgenden Artikeln:

  Android

  Auf Android-Geräten können Sie Richtlinien für Geräteeinschränkungen verwenden, um Kennwortregeln festzulegen:

  • Organisationseigene Geräte: Gerätekennworteinstellungen
  • Organisationseigene Geräte: Kennworteinstellungen für Arbeitsprofil
  • Persönliche Geräte: Kennworteinstellungen für Arbeitsprofil
  • Persönliche Geräte: Gerätekennworteinstellungen

  iOS/iPadOS

  Auf iOS-/iPadOS-Geräten können Sie Richtlinien für Geräteeinschränkungen und/oder den Einstellungskatalog verwenden, um Kennwortregeln festzulegen:

  • Richtlinie für > Geräteeinschränkungen Kennworteinstellungen
  • Einstellungskatalog> Suchen Sie nach Passcode

  macOS

  Auf macOS-Geräten können Sie Richtlinien für Geräteeinschränkungen und/oder den Einstellungskatalog verwenden, um Kennwortregeln festzulegen:

  • Richtlinie für > Geräteeinschränkungen Kennworteinstellungen
  • Einstellungskatalog> Suchen Sie nach Passcode

  Windows

  Auf Windows-Geräten können Sie Richtlinien für Geräteeinschränkungen und/oder den Einstellungskatalog verwenden, um Kennwortregeln festzulegen:

  • Richtlinie für > Geräteeinschränkungen Kennworteinstellungen
  • Einstellungskatalog> Suchen Sie nach Device lock

---

• Intune enthält Hunderte von Einstellungen, mit denen Gerätefeatures und -einstellungen verwaltet werden können, z. B. das Deaktivieren der integrierten Kamera, das Steuern von Benachrichtigungen, das Zulassen von Bluetooth, das Blockieren von Spielen und vieles mehr.

  Sie können die integrierten Vorlagen oder den Einstellungskatalog verwenden, um die Einstellungen anzuzeigen und zu konfigurieren.

  • Vorlagen für Geräteeinschränkungen verfügen über viele integrierte Einstellungen, die verschiedene Teile der Geräte steuern können, einschließlich Sicherheit, Hardware, Datenfreigabe und mehr.

    Sie können diese Vorlagen auf den folgenden Plattformen verwenden:

    • Android
    • iOS/iPadOS
    • macOS
    • Windows

  • Verwenden Sie den Einstellungskatalog , um alle verfügbaren Einstellungen anzuzeigen und zu konfigurieren. Sie können den Einstellungskatalog auf den folgenden Plattformen verwenden:

    • iOS/iPadOS
    • macOS
    • Windows

  • Verwenden Sie die integrierten administrativen Vorlagen, ähnlich wie bei der lokalen Konfiguration von ADMX-Vorlagen. Sie können die ADMX-Vorlagen auf der folgenden Plattform verwenden:

    • Windows

• Wenn Sie lokale Gruppenrichtlinienobjekte verwenden und wissen möchten, ob diese Einstellungen in Intune verfügbar sind, verwenden Sie Gruppenrichtlinie Analytics. Dieses Feature analysiert Ihre Gruppenrichtlinienobjekte und kann sie abhängig von der Analyse in eine Intune Einstellungskatalogrichtlinie importieren.

  Weitere Informationen findest du unter Analysieren ihrer lokalen Gruppenrichtlinienobjekte und importieren sie in Intune.

Ebene 3: Hoher Schutz und hohe Konfiguration

Diese Ebene erweitert das, was Sie in den Ebenen 1 und 2 konfiguriert haben. Sie fügt zusätzliche Sicherheitsfeatures hinzu, die in Organisationen auf Unternehmensebene verwendet werden.

• Erweitern Sie die kennwortlose Authentifizierung auf andere Dienste, die von Ihren Mitarbeitern verwendet werden. In Ebene 1 haben Sie biometrische Daten aktiviert, damit sich Benutzer mit einem Fingerabdruck oder einer Gesichtserkennung bei ihren Geräten anmelden können. Erweitern Sie in dieser Ebene kennwortlos auf andere Teile des organization.

  • Verwenden Sie Zertifikate zum Authentifizieren von E-Mail-, VPN- und Wi-Fi-Verbindungen. Zertifikate werden für Benutzer und Geräte bereitgestellt und dann von Benutzern verwendet, um über diese E-Mail-, VPN- und Wi-Fi-Verbindungen Zugriff auf Ressourcen in Ihrem organization zu erhalten.

    Weitere Informationen zur Verwendung von Zertifikaten in Intune finden Sie unter:

    • Verwenden von PKCS- oder SCEP-Zertifikaten für die Authentifizierung
    • Verwenden abgeleiteter Anmeldeinformationen

  • Konfigurieren Sie einmaliges Anmelden (Single Sign-On , SSO) für eine nahtlosere Umgebung, wenn Benutzer Geschäfts-Apps wie Microsoft 365-Apps öffnen. Benutzer melden sich einmal an und werden dann automatisch bei allen Apps angemeldet, die Ihre SSO-Konfiguration unterstützen.

    Informationen zur Verwendung von SSO in Intune und Azure AD finden Sie unter:

    • Android: Aktivieren des app-übergreifenden einmaligen Anmeldens unter Android mithilfe von MSAL in Azure AD
    • iOS/iPadOS, macOS: Verwenden des Enterprise SSO-Plug-Ins in Intune und anderen MDMs
    • Windows: Konfigurieren des einmaligen Anmeldens mit Azure AD

  • Verwenden Sie die mehrstufige Authentifizierung (Multi-Factor Authentication , MFA). Wenn Sie zu kennwortlos wechseln, fügt MFA eine zusätzliche Sicherheitsebene hinzu und kann Dazu beitragen, Ihre organization vor Phishingangriffen zu schützen. Sie können MFA mit Authentifikator-Apps wie Microsoft Authenticator oder mit einem Telefonanruf oder einer SMS verwenden. Sie können MFA auch verwenden, wenn Benutzer ihre Geräte bei Intune registrieren.

    Die mehrstufige Authentifizierung ist ein Feature von Azure AD und kann mit Azure AD-Konten verwendet werden. Für weitere Informationen wechseln Sie zu:

    • Übersicht über Azure AD Identity Protection
    • Azure AD Multi-Factor Authentication
    • Erfordert mehrstufige Authentifizierung für Intune-Geräteregistrierungen

  • Richten Sie Microsoft Tunnel für Ihre Android- und iOS/iPadOS-Geräte ein. Microsoft Tunnel verwendet Linux, um diesen Geräten den Zugriff auf lokale Ressourcen mithilfe der modernen Authentifizierung und des bedingten Zugriffs zu ermöglichen.

    Microsoft Tunnel verwendet Intune, Azure AD und Active Directory-Verbunddienste (AD FS) (AD FS). Weitere Informationen findest du unter Microsoft Tunnel für Microsoft Intune.

• Verwenden Sie den Android Common Criteria-Modus auf Android-Geräten, die von hochsensiblen Organisationen wie Behörden verwendet werden.

  Weitere Informationen zu diesem Feature finden Sie unter Android Common Criteria-Modus.

• Erstellen Sie Richtlinien, die für die Windows-Firmwareebene gelten. Diese Richtlinien können verhindern, dass Schadsoftware mit den Windows-Betriebssystemprozessen kommuniziert.

  Weitere Informationen zu diesem Feature finden Sie unter Verwenden von DFCI-Profilen (Device Firmware Configuration Interface) auf Windows-Geräten.

• Konfigurieren von Kiosks, freigegebenen Geräten und anderen spezialisierten Geräten:

  Android

  • Android Enterprise:

    • Verwenden und Verwalten von Android Enterprise-Geräten mit OEMConfig
    • Dedizierte Geräte, die als Kioskgeräte-Einstellungen ausgeführt werden

  • Android-Geräteadministrator

    • Verwenden und Verwalten von Zebra-Geräten mit Zebra Mobility Extensions
    • Geräteeinstellungen, die als Kiosk ausgeführt werden sollen

    Wichtig

    Microsoft Intune endet am 30. August 2024 die Unterstützung für die Verwaltung von Android-Geräteadministratoren auf Geräten mit Zugriff auf Google Mobile Services (GMS). Nach diesem Datum sind geräteregistrierung, technischer Support, Fehlerbehebungen und Sicherheitskorrekturen nicht mehr verfügbar. Wenn Sie derzeit die Geräteadministratorverwaltung verwenden, empfiehlt es sich, zu einer anderen Android-Verwaltungsoption in Intune zu wechseln, bevor der Support endet. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.

  iOS/iPadOS

  • iOS/iPadOS
    • Geräteeinstellungen für die Ausführung im autonomen Einzel-App-Modus (ASAM)
    • Geräteeinstellungen, die als Kiosk ausgeführt werden sollen

  Windows

  • Windows

    • Geräteeinstellungen, die als dedizierter Kiosk ausgeführt werden sollen
    • Geräteeinstellungen, die als Kiosk ausgeführt werden sollen
    • Gemeinsam genutzte PC- oder Mehrbenutzergeräte

  • Windows Holographic for Business

    • Geräteeinstellungen, die als Kiosk ausgeführt werden sollen
    • Geräteeinstellungen, die als dedizierter Kiosk ausgeführt werden sollen

---

• Bereitstellen von Shellskripts:

  • macOS: Verwenden von Shellskripts
  • Windows: Verwenden von Windows PowerShell Skripts

Befolgen Sie die minimal empfohlenen Baselinerichtlinien.

1. Einrichten von Microsoft Intune
2. Hinzufügen, Konfigurieren und Schützen von Apps
3. Planen von Konformitätsrichtlinien
4. 🡺 Konfigurieren von Gerätefeatures (Sie sind hier)
5. Registrieren von Geräten