Schutz- und Konfigurationsstufen in Microsoft Intune

  • Artikel

Microsoft Intune bietet Administratoren die Möglichkeit, Richtlinien zu erstellen, die auf Benutzer, Geräte und Apps angewendet werden. Diese Richtlinien können von einem Mindestsatz bis zu sichereren oder kontrollierten Richtlinien reichen. Diese Richtlinien hängen von den organization Anforderungen, den verwendeten Geräten und der Funktionsweise der Geräte ab.

Wenn Sie bereit sind, Richtlinien zu erstellen, können Sie die verschiedenen Schutz- und Konfigurationsebenen verwenden:

Für Ihre Umgebung und Geschäftsanforderungen sind möglicherweise unterschiedliche Ebenen definiert. Sie können diese Ebenen als Ausgangspunkt verwenden und dann an Ihre Anforderungen anpassen. Sie können beispielsweise die Gerätekonfigurationsrichtlinien auf Ebene 1 und die App-Richtlinien in Ebene 3 verwenden.

Wählen Sie die Ebenen aus, die für Ihre organization geeignet sind. Es gibt keine falsche Wahl.

Ebene 1: Minimaler Schutz und minimale Konfiguration

Diese Ebene umfasst Richtlinien, die mindestens für alle organization gelten sollten. Die Richtlinien in dieser Ebene erstellen eine Mindestbaseline an Sicherheitsfeatures und gewähren Benutzern Zugriff auf die Ressourcen, die sie für ihre Aufgaben benötigen.

Apps (Ebene 1)

Diese Stufe erzwingt ein angemessenes Maß an Datenschutz- und Zugriffsanforderungen und minimiert gleichzeitig die Auswirkungen auf die Benutzer. Diese Ebene stellt sicher, dass Apps mit einer PIN geschützt und verschlüsselt sind, und führt selektive Zurücksetzungsvorgänge aus. Bei Android-Geräten überprüft diese Ebene den Android-Gerätenachweis. Diese Ebene ist eine Konfiguration auf Einstiegsebene, die eine ähnliche Datenschutzsteuerung in Exchange Online Postfachrichtlinien bietet. Außerdem werden die IT und die Benutzerpopulation in App-Schutzrichtlinien eingeführt.

In dieser Ebene empfiehlt Microsoft, den folgenden Schutz und Zugriff für Apps zu konfigurieren:

  • Grundlegende Datenschutzanforderungen aktivieren:

    • App Basic-Datenübertragung zulassen
    • Erzwingen der grundlegenden App-Verschlüsselung
    • Grundlegende Zugriffsfunktionalität zulassen

  • Grundlegende Zugriffsanforderungen aktivieren:

    • Pin, Gesichts-ID und biometrischen Zugriff erforderlich
    • Erzwingen der unterstützenden grundlegenden Zugriffseinstellungen

  • Aktivieren sie den Start einer grundlegenden bedingten Anwendung:

    • Konfigurieren von einfachen Zugriffsversuchen für Die App
    • Blockieren des App-Zugriffs basierend auf Geräten mit Jailbreak/Root-Root
    • Einschränken des App-Zugriffs basierend auf der grundlegenden Integrität von Geräten

Weitere Informationen finden Sie unter Einfacher App-Schutz der Ebene 1.

Compliance (Ebene 1)

In dieser Ebene umfasst die Gerätekonformität das Konfigurieren der mandantenweiten Einstellungen, die für alle Geräte gelten, und die Bereitstellung minimaler Konformitätsrichtlinien für alle Geräte, um einen Kernsatz von Konformitätsanforderungen zu erzwingen. Microsoft empfiehlt, dass diese Konfigurationen vorhanden sind, bevor Sie Geräten den Zugriff auf die Ressourcen Ihrer organization erlauben. Die Gerätekonformität der Stufe 1 umfasst Folgendes:

Konformitätsrichtlinieneinstellungen sind einige mandantenweite Einstellungen, die sich auf die Funktionsweise des Intune-Konformitätsdiensts mit Ihren Geräten auswirken.

Plattformspezifische Konformitätsrichtlinien enthalten Einstellungen für allgemeine Designs auf verschiedenen Plattformen. Der tatsächliche Einstellungsname und die Implementierung können zwischen verschiedenen Plattformen unterschiedlich sein:

  • Antivirus, Antispyware und Antischadsoftware erforderlich (nur Windows)
  • Betriebssystemversion:
    • Maximale Betriebssystemanzahl
    • Mindestbetriebssystem
    • Neben- und Hauptbuildversionen
    • Betriebssystempatchebenen
  • Kennwortkonfigurationen
    • Erzwingen des Sperrbildschirms nach einem Zeitraum der Inaktivität, wobei zum Entsperren ein Kennwort oder eine Stecknadel erforderlich ist
    • Erfordern komplexer Kennwörter mit Kombinationen aus Buchstaben, Zahlen und Symbolen
    • Anfordern eines Kennworts oder einer PIN zum Entsperren von Geräten
    • Mindestlänge des Kennworts erforderlich

Aktionen bei Nichtkonformität werden automatisch in jede plattformspezifische Richtlinie eingeschlossen. Bei diesen Aktionen handelt es sich um eine oder mehrere zeitlich geordnete Aktionen, die Sie konfigurieren und für Geräte gelten, die die Konformitätsanforderungen der Richtlinie nicht erfüllen. Standardmäßig ist das Markieren eines Geräts als nicht konform eine sofortige Aktion, die in jeder Richtlinie enthalten ist.

Weitere Informationen finden Sie unter Ebene 1 – Minimale Gerätekonformität.

Gerätekonfiguration (Ebene 1)

In dieser Ebene enthalten die Profile Einstellungen, die sich auf Sicherheit und Ressourcenzugriff konzentrieren. In dieser Ebene empfiehlt Microsoft insbesondere, die folgenden Features zu konfigurieren:

  • Aktivieren Sie die grundlegende Sicherheit, einschließlich:

    • Antivirus und Überprüfung
    • Bedrohungserkennung und -reaktion
    • Firewall
    • Softwareupdates
    • Richtlinie für sichere PIN und Kennwort

  • Benutzern Zugriff auf das Netzwerk gewähren:

    • E-Mail
    • VPN für Remotezugriff
    • Wi-Fi für lokalen Zugriff

Weitere Informationen zu diesen Richtlinien auf dieser Ebene finden Sie unter Schritt 4: Erstellen von Gerätekonfigurationsprofilen zum Schützen von Geräten und Erstellen von Verbindungen mit organization Ressourcen.

Ebene 2: Erweiterter Schutz und erweiterte Konfiguration

Diese Ebene erweitert den Mindestsatz von Richtlinien, um mehr Sicherheit und erweiterungsweite Verwaltung Ihrer mobilen Geräte einzuschließen. Die Richtlinien in dieser Ebene sichern mehr Features, bieten Identitätsschutz und verwalten weitere Geräteeinstellungen.

Verwenden Sie die Einstellungen in dieser Ebene, um das hinzuzufügen, was Sie in Ebene 1 getan haben.

Apps (Ebene 2)

Diese Ebene empfiehlt eine Standardebene des Anwendungsschutzes für Geräte, bei denen Benutzer auf sensiblere Informationen zugreifen. Auf dieser Ebene werden Mechanismen zur Verhinderung von Datenlecks und Mindestanforderungen an das Betriebssystem durch App-Schutzrichtlinie eingeführt. Diese Ebene ist die Konfiguration, die für die meisten mobilen Benutzer gilt, die auf Geschäfts-, Schul- oder Unidaten zugreifen.

Zusätzlich zu den Einstellungen der Ebene 1 empfiehlt Microsoft, den folgenden Schutz und Zugriff für Apps zu konfigurieren:

  • Erweiterte Datenschutzanforderungen aktivieren:

    • Übertragen organization verwandter Daten
    • Ausnahme der Datenübertragungsanforderungen für ausgewählte Apps (iOS/iPadOS)
    • Übertragen von Telekommunikationsdaten
    • Ausschneiden, Kopieren und Einfügen zwischen Apps einschränken
    • Bildschirmaufnahme blockieren (Android)

  • Aktivieren sie den erweiterten Start der bedingten Anwendung:

    • Deaktivieren von Anwendungskonten blockieren
    • Erzwingen von Mindestanforderungen an das Gerätebetriebssystem
    • Mindestpatchversion erforderlich (Android)
    • Auswertungstyp "Play-Integritätsbewertung erforderlich" (Android)
    • Gerätesperre erforderlich (Android)
    • Zulassen des App-Zugriffs basierend auf erhöhter Integrität des Geräts

Weitere Informationen finden Sie unter Erweiterter App-Schutz der Stufe 2.

Compliance (Ebene 2)

Auf dieser Ebene empfiehlt Microsoft, Ihren Konformitätsrichtlinien komplexere Optionen hinzuzufügen. Viele der Einstellungen auf dieser Ebene verfügen über plattformspezifische Namen, die alle ähnliche Ergebnisse liefern. Im Folgenden finden Sie die Kategorien oder Arten von Einstellungen, die Von Microsoft empfohlen werden, wenn sie verfügbar sind:

  • Anwendungen:

    • Verwalten, wo Geräte Apps erhalten, z. B. Google Play für Android
    • Apps von bestimmten Speicherorten zulassen
    • Apps von unbekannten Quellen blockieren

  • Firewallrichtlinieneinstellungen

    • Firewalleinstellungen (macOS, Windows)

  • Verschlüsselung:

    • Verschlüsselung der Datenspeicherung erforderlich
    • BitLocker (Windows)
    • FileVault (macOS)

  • Kennwörter

    • Kennwortablauf und Wiederverwendung

  • Datei- und Startschutz auf Systemebene:

    • USB-Debuggen blockieren (Android)
    • Blockieren von Geräten mit Rooting oder Jailbreak (Android, iOS)
    • Systemintegritätsschutz erforderlich (macOS)
    • Codeintegrität erforderlich (Windows)
    • Aktivieren des sicheren Starts erforderlich (Windows)
    • Trusted Platform Module (Windows)

Weitere Informationen finden Sie unter Ebene 2 – Erweiterte Gerätekonformitätseinstellungen.

Gerätekonfiguration (Ebene 2)

In dieser Ebene erweitern Sie die Einstellungen und Features, die Sie in Ebene 1 konfiguriert haben. Microsoft empfiehlt, Richtlinien zu erstellen, die:

  • Fügen Sie eine weitere Sicherheitsebene hinzu, indem Sie Datenträgerverschlüsselung, sicheren Start und TPM auf Ihren Geräten aktivieren.
  • Konfigurieren Sie Ihre PINs & Kennwörter so, dass sie ablaufen, und verwalten Sie, wenn Kennwörter wiederverwendet werden können.
  • Konfigurieren Sie präzisere Gerätefeatures, -einstellungen und -verhaltensweisen.
  • Wenn Sie über lokale Gruppenrichtlinienobjekte verfügen, können Sie ermitteln, ob diese Gruppenrichtlinienobjekte in Intune verfügbar sind.

Spezifischere Informationen zu Gerätekonfigurationsrichtlinien auf dieser Ebene finden Sie unter Ebene 2 – Erweiterter Schutz und Konfiguration.

Ebene 3: Hoher Schutz und hohe Konfiguration

Diese Ebene umfasst Richtlinien auf Unternehmensebene und kann verschiedene Administratoren in Ihre organization einbeziehen. Diese Richtlinien werden weiterhin zur kennwortlosen Authentifizierung übergehen, mehr Sicherheit bieten und spezielle Geräte konfigurieren.

Verwenden Sie die Einstellungen in dieser Ebene, um das hinzuzufügen, was Sie in Den Ebenen 1 und 2 getan haben.

Apps (Ebene 3)

Diese Ebene empfiehlt eine Standardebene des Anwendungsschutzes für Geräte, bei denen Benutzer auf sensiblere Informationen zugreifen. Auf dieser Ebene werden erweiterte Datenschutzmechanismen, eine erweiterte PIN-Konfiguration und eine App-Schutzrichtlinie für Mobile Threat Defense eingeführt. Diese Konfiguration ist für Benutzer vorgesehen, die auf Hochrisikodaten zugreifen.

Zusätzlich zu den Einstellungen der Ebene 1 und 2 empfiehlt Microsoft, den folgenden Schutz und Zugriff für Apps zu konfigurieren:

  • Hohe Datenschutzanforderungen aktivieren:

    • Hoher Schutz bei der Übertragung von Telekommunikationsdaten
    • Empfangen von Daten nur von richtlinienverwalteten Apps
    • Blockieren des Öffnens von Daten in organization Dokumenten
    • Benutzern das Öffnen von Daten aus ausgewählten Diensten gestatten
    • Blockieren von Tastaturen von Drittanbietern
    • Genehmigte Tastaturen anfordern/auswählen (Android)
    • Blockieren des Druckens von organization Daten

  • Aktivieren sie hohe Zugriffsanforderungen:

    • Blockieren einer einfachen PIN und Erfordern einer bestimmten mindesten PIN-Länge
    • Pin-Zurücksetzung nach Anzahl von Tagen erforderlich
    • Biometrie der Klasse 3 erforderlich (Android 9.0 und höher)
    • Außerkraftsetzung von Biometrie mit PIN nach biometrischen Updates erforderlich (Android)

  • Aktivieren sie den Start einer hohen bedingten Anwendung:

    • Gerätesperre erforderlich (Android)
    • Max. zulässige Bedrohungsstufe anfordern
    • Max. Betriebssystemversion erforderlich

Weitere Informationen finden Sie unter Hoher App-Schutz der Stufe 3.

Compliance (Ebene 3)

Auf dieser Ebene können Sie die integrierten Compliancefunktionen von Intune über die folgenden Funktionen erweitern:

  • Integrieren von Daten von MtD-Partnern (Mobile Threat Defense)

    • Bei einem MTD-Partner können Ihre Compliancerichtlinien erfordern, dass Geräte eine Geräte-Bedrohungsstufe oder eine Computerrisikobewertung aufweisen, wie von diesem Partner festgelegt.

  • Verwenden eines Compliancepartners eines Drittanbieters mit Intune

  • Verwenden Sie Skripts, um Ihren Richtlinien benutzerdefinierte Konformitätseinstellungen für Einstellungen hinzuzufügen, die nicht in der Intune-Benutzeroberfläche verfügbar sind. (Windows, Linux)

  • Verwenden von Konformitätsrichtliniendaten mit Richtlinien für bedingten Zugriff, um den Zugriff auf die Ressourcen Ihrer organization zu sperren

Weitere Informationen finden Sie unter Ebene 3 – Erweiterte Gerätekonformitätskonfigurationen.

Gerätekonfiguration (Ebene 3)

Diese Ebene konzentriert sich auf Dienste und Features auf Unternehmensebene und kann eine Infrastrukturinvestition erfordern. Auf dieser Ebene können Sie Richtlinien erstellen, die:

  • Erweitern Sie die kennwortlose Authentifizierung auf andere Dienste in Ihrem organization, einschließlich zertifikatbasierter Authentifizierung, einmaliges Anmelden für Apps, mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) und das Microsoft Tunnel-VPN-Gateway.

  • Erweitern Sie Microsoft Tunnel, indem Sie Microsoft Tunnel for Mobile Application Management (Tunnel for MAM) bereitstellen, wodurch die Tunnel-Unterstützung auf iOS- und Android-Geräte erweitert wird, die nicht bei Intune registriert sind. Tunnel für MAM ist als Intune-Add-On verfügbar.

    Weitere Informationen finden Sie unter Verwenden von Intune Suite-Add-On-Funktionen.

  • Konfigurieren Sie Gerätefeatures, die auf die Windows-Firmwareebene angewendet werden. Verwenden Sie den Allgemeinen Android-Kriterienmodus.

  • Verwenden Sie die Intune-Richtlinie für die Lokale Administratorkennwortlösung (LapS), um das integrierte lokale Administratorkonto auf Ihren verwalteten Windows-Geräten zu schützen.

    Weitere Informationen finden Sie unter Intune-Unterstützung für Windows LAPS.

  • Schützen Sie Windows-Geräte mithilfe von Endpoint Privilege Management (EPM), die Ihnen dabei hilft, die Benutzer Ihrer organization als Standardbenutzer (ohne Administratorrechte) auszuführen, während dieselben Benutzer Aufgaben ausführen können, die erhöhte Berechtigungen erfordern.

    EPM ist als Intune-Add-On verfügbar. Weitere Informationen finden Sie unter Verwenden von Intune Suite-Add-On-Funktionen.

  • Konfigurieren Sie spezialisierte Geräte wie Kioske und freigegebene Geräte.

  • Stellen Sie bei Bedarf Skripts bereit.

Genauere Informationen zu Gerätekonfigurationsrichtlinien auf dieser Ebene finden Sie unter Ebene 3 – Hoher Schutz und Konfiguration.

Nächste Schritte

Eine vollständige Liste aller Gerätekonfigurationsprofile, die Sie erstellen können, finden Sie unter Anwenden von Features und Einstellungen auf Ihren Geräten mithilfe von Geräteprofilen in Microsoft Intune.