Freigeben über


Schutz- und Konfigurationsstufen in Microsoft Intune

Microsoft Intune bietet Administratoren die Möglichkeit, Richtlinien zu erstellen, die auf Benutzer, Geräte und Apps angewendet werden. Diese Richtlinien können von einem Mindestsatz bis zu sichereren oder kontrollierten Richtlinien reichen. Diese Richtlinien hängen von den Anforderungen der Organisation, den verwendeten Geräten und der Funktionsweise der Geräte ab.

Wenn Sie bereit sind, Richtlinien zu erstellen, können Sie die verschiedenen Schutz- und Konfigurationsebenen verwenden:

Für Ihre Umgebung und Geschäftsanforderungen können unterschiedliche Ebenen definiert werden. Sie können diese Ebenen als Ausgangspunkt verwenden und dann an Ihre Anforderungen anpassen. Sie können beispielsweise die Gerätekonfigurationsrichtlinien auf Ebene 1 und die App-Richtlinien in Ebene 3 verwenden.

Wählen Sie die Ebenen aus, die für Ihre Organisation geeignet sind. Es gibt keine falsche Wahl.

Ebene 1: Minimaler Schutz und minimale Konfiguration

Diese Ebene umfasst Richtlinien, die jede Organisation mindestens haben sollte. Die Richtlinien in dieser Ebene erstellen eine Mindestbaseline an Sicherheitsfeatures und gewähren Benutzern Zugriff auf die Ressourcen, die sie für ihre Aufgaben benötigen.

Apps (Ebene 1)

Diese Ebene erzwingt ein angemessenes Maß an Datenschutz- und Zugriffsanforderungen und minimiert Unterbrechungen von Endbenutzern. Diese Stufe stellt sicher, dass Apps mit einer PIN & grundlegenden Verschlüsselung geschützt sind, und führt selektive Zurücksetzungsvorgänge aus. Bei Android-Geräten überprüft diese Ebene den Android-Gerätenachweis. Diese Ebene ist eine Konfiguration auf Einstiegsebene, die eine ähnliche Datenschutzsteuerung in Exchange Online-Postfachrichtlinien bietet. Außerdem werden IT- und Endbenutzer in App-Schutzrichtlinien eingeführt.

In dieser Ebene empfiehlt Microsoft, den folgenden Schutz und Zugriff für Apps zu konfigurieren:

  • Aktivieren grundlegender Datenschutzanforderungen

    • App Basic-Datenübertragung zulassen
    • Erzwingen der grundlegenden App-Verschlüsselung
    • Grundlegende Zugriffsfunktionalität zulassen
  • Aktivieren grundlegender Zugriffsanforderungen

    • Pin, Gesichts-ID und biometrischen Zugriff erforderlich
    • Erzwingen der unterstützenden grundlegenden Zugriffseinstellungen
  • Aktivieren des Starts einer grundlegenden bedingten Anwendung

    • Konfigurieren von einfachen Zugriffsversuchen für Die App
    • Blockieren des App-Zugriffs basierend auf Geräten mit Jailbreak/Root-Root
    • Einschränken des App-Zugriffs basierend auf der grundlegenden Integrität von Geräten

Weitere Informationen findest du unter Grundlegende App-Schutzebene 1.

Compliance (Ebene 1)

In dieser Ebene konfiguriert die Gerätekonformität die mandantenweiten Einstellungen, die für alle Geräte gelten. Außerdem stellen Sie minimale Konformitätsrichtlinien für alle Geräte bereit, um einen Kernsatz von Konformitätsanforderungen zu erzwingen.

Microsoft empfiehlt, dass diese Konfigurationen vorhanden sind, bevor Sie Geräten den Zugriff auf die Ressourcen Ihrer Organisation gestatten. Die Gerätekonformität der Stufe 1 umfasst Folgendes:

  • Konformitätsrichtlinieneinstellungen sind einige mandantenweite Einstellungen, die sich auf die Funktionsweise des Intune-Konformitätsdiensts mit Ihren Geräten auswirken.

  • Plattformspezifische Konformitätsrichtlinien enthalten Einstellungen für allgemeine Designs auf verschiedenen Plattformen. Der tatsächliche Einstellungsname und die Implementierung können je nach den verschiedenen Plattformen variieren:

    • Antivirus, Antispyware und Antischadsoftware erforderlich (nur Windows)
    • Betriebssystemversion
      • Maximale Betriebssystemanzahl
      • Mindestbetriebssystem
      • Neben- und Hauptbuildversionen
      • Betriebssystempatchebenen
    • Kennwortkonfigurationen
      • Erzwingen des Sperrbildschirms nach einem Zeitraum der Inaktivität, wobei zum Entsperren ein Kennwort oder eine Stecknadel erforderlich ist
      • Erfordern komplexer Kennwörter mit Kombinationen aus Buchstaben, Zahlen und Symbolen
      • Anfordern eines Kennworts oder einer PIN zum Entsperren von Geräten
      • Mindestlänge des Kennworts erforderlich
  • Aktionen bei Nichtkonformität werden automatisch in jede plattformspezifische Richtlinie eingeschlossen. Bei diesen Aktionen handelt es sich um eine oder mehrere aktionen mit zeitlicher Reihenfolge, die Sie konfigurieren. Sie gelten für die Geräte, die die Konformitätsanforderungen Ihrer Richtlinie nicht erfüllen. Standardmäßig ist das Markieren eines Geräts als nicht konform eine sofortige Aktion, die mit jeder Richtlinie enthalten ist.

Weitere Informationen findest du unter Ebene 1 – Minimale Gerätekonformität.

Gerätekonfiguration (Ebene 1)

In dieser Ebene enthalten die Profile Einstellungen, die sich auf Sicherheit und Ressourcenzugriff konzentrieren. In dieser Ebene empfiehlt Microsoft insbesondere, die folgenden Features zu konfigurieren:

  • Aktivieren Sie die grundlegende Sicherheit, einschließlich:

    • Antivirus und Überprüfung
    • Bedrohungserkennung und -reaktion
    • Firewall
    • Softwareupdates
    • Richtlinie für sichere PIN und Kennwort
  • Benutzern Zugriff auf das Netzwerk gewähren:

    • E-Mail
    • VPN für Remotezugriff
    • Wi-Fi für lokalen Zugriff

Weitere Informationen finden Sie unter Schritt 4: Erstellen von Gerätekonfigurationsprofilen zum Schützen von Geräten und Erstellen von Verbindungen mit Organisationsressourcen.

Ebene 2: Erweiterter Schutz und erweiterte Konfiguration

Diese Ebene erweitert den Mindestsatz von Richtlinien, um mehr Sicherheit und erweiterungsweite Verwaltung Ihrer mobilen Geräte einzuschließen. Die Richtlinien in dieser Ebene sichern mehr Features, bieten Identitätsschutz und verwalten weitere Geräteeinstellungen.

Verwenden Sie die Einstellungen in dieser Ebene, um das hinzuzufügen, was Sie in Ebene 1 konfiguriert haben.

Apps (Ebene 2)

Diese Ebene empfiehlt eine Standardebene des Anwendungsschutzes für Geräte, bei denen Benutzer auf sensiblere Informationen zugreifen. Auf dieser Ebene werden Mechanismen zur Verhinderung von Datenlecks und Mindestanforderungen an das Betriebssystem durch App-Schutzrichtlinie eingeführt. Diese Ebene ist die Konfiguration, die für die meisten mobilen Benutzer gilt, die auf Geschäfts-, Schul- oder Unidaten zugreifen.

Zusätzlich zu den Einstellungen der Ebene 1 empfiehlt Microsoft, den folgenden Schutz und Zugriff für Apps zu konfigurieren:

  • Aktivieren erweiterter Datenschutzanforderungen

    • Übertragen organisationsbezogener Daten
    • Ausnahme der Datenübertragungsanforderungen für ausgewählte Apps (iOS/iPadOS)
    • Übertragen von Telekommunikationsdaten
    • Ausschneiden, Kopieren und Einfügen zwischen Apps einschränken
    • Bildschirmaufnahme blockieren (Android)
  • Aktivieren des erweiterten Starts von bedingten Anwendungen

    • Deaktivieren von Anwendungskonten blockieren
    • Erzwingen von Mindestanforderungen an das Gerätebetriebssystem
    • Mindestpatchversion erforderlich (Android)
    • Auswertungstyp "Play-Integritätsbewertung erforderlich" (Android)
    • Gerätesperre erforderlich (Android)
    • Zulassen des App-Zugriffs basierend auf erhöhter Integrität des Geräts

Weitere Informationen findest du unter Erweiterter App-Schutz der Ebene 2.

Compliance (Ebene 2)

Auf dieser Ebene empfiehlt Microsoft, Ihren Konformitätsrichtlinien präzisere Optionen hinzuzufügen. Viele der Einstellungen auf dieser Ebene verfügen über plattformspezifische Namen, die alle ähnliche Ergebnisse liefern. Im Folgenden finden Sie die Kategorien oder Arten von Einstellungen, die Von Microsoft empfohlen werden, wenn sie verfügbar sind:

  • Anwendungen

    • Verwalten, wo Geräte Apps erhalten, z. B. Google Play für Android
    • Apps von bestimmten Speicherorten zulassen
    • Apps von unbekannten Quellen blockieren
  • Firewallrichtlinieneinstellungen

    • Firewalleinstellungen (macOS, Windows)
  • Verschlüsselung

    • Verschlüsselung der Datenspeicherung erforderlich
    • BitLocker (Windows)
    • FileVault (macOS)
  • Kennwörter

    • Kennwortablauf und Wiederverwendung
  • Datei- und Startschutz auf Systemebene

    • USB-Debuggen blockieren (Android)
    • Blockieren von Geräten mit Rooting oder Jailbreak (Android, iOS)
    • Systemintegritätsschutz erforderlich (macOS)
    • Codeintegrität erforderlich (Windows)
    • Aktivieren des sicheren Starts erforderlich (Windows)
    • Trusted Platform Module (Windows)

Weitere Informationen findest du unter Ebene 2 – Erweiterte Gerätekonformitätseinstellungen.

Gerätekonfiguration (Ebene 2)

In dieser Ebene erweitern Sie die Einstellungen und Features, die Sie in Ebene 1 konfiguriert haben. Microsoft empfiehlt, Richtlinien zu erstellen, die:

  • Fügen Sie eine weitere Sicherheitsebene hinzu, indem Sie Die Datenträgerverschlüsselung, den sicheren Start und das Trusted Platform Module (TPM) auf Ihren Geräten aktivieren.
  • Konfigurieren Sie Ihre PINs & Kennwörter so, dass sie ablaufen, und verwalten Sie, wenn Kennwörter wiederverwendet werden können.
  • Konfigurieren Sie präzisere Gerätefeatures, -einstellungen und -verhaltensweisen.
  • Ermitteln Sie, ob lokale Gruppenrichtlinienobjekte (GPOs) in Intune verfügbar sind.

Spezifischere Informationen zu Gerätekonfigurationsrichtlinien auf dieser Ebene finden Sie unter Ebene 2 – Erweiterter Schutz und Konfiguration.

Ebene 3: Hoher Schutz und hohe Konfiguration

Diese Ebene umfasst Richtlinien auf Unternehmensebene und kann verschiedene Administratoren in Ihrer Organisation einbeziehen. Diese Richtlinien werden weiterhin zur kennwortlosen Authentifizierung übergehen, mehr Sicherheit bieten und spezielle Geräte konfigurieren.

Verwenden Sie die Einstellungen in dieser Ebene, um das hinzuzufügen, was Sie in Den Ebenen 1 und 2 konfiguriert haben.

Apps (Ebene 3)

Diese Ebene empfiehlt eine Standardebene des Anwendungsschutzes für Geräte, bei denen Benutzer auf sensiblere Informationen zugreifen. Diese Stufe führt erweiterten Datenschutz, erweiterte PIN-Konfiguration und App-Schutzrichtlinie mit Mobile Threat Defense ein. Diese Konfiguration ist für Benutzer vorgesehen, die auf Daten mit hohem Risiko zugreifen.

Zusätzlich zu den Einstellungen der Ebene 1 und 2 empfiehlt Microsoft, den folgenden Schutz und Zugriff für Apps zu konfigurieren:

  • Aktivieren hoher Datenschutzanforderungen

    • Hoher Schutz bei der Übertragung von Telekommunikationsdaten
    • Empfangen von Daten nur von richtlinienverwalteten Apps
    • Blockieren des Öffnens von Daten in Organisationsdokumenten
    • Benutzern das Öffnen von Daten aus ausgewählten Diensten gestatten
    • Blockieren unerwünschter Partner- oder Nicht-Microsoft-Tastaturen
    • Genehmigte Tastaturen anfordern/auswählen (Android)
    • Drucken von Organisationsdaten blockieren
  • Aktivieren von Hohen Zugriffsanforderungen

    • Blockieren einer einfachen PIN und Erfordern einer bestimmten mindesten PIN-Länge
    • Pin-Zurücksetzung nach Anzahl von Tagen erforderlich
    • Biometrie der Klasse 3 erforderlich (Android 9.0 und höher)
    • Außerkraftsetzung von Biometrie mit PIN nach biometrischen Updates erforderlich (Android)
  • Aktivieren des Starts von anwendungen mit hoher bedingter Auslastung

    • Gerätesperre erforderlich (Android)
    • Max. zulässige Bedrohungsstufe anfordern
    • Max. Betriebssystemversion erforderlich

Weitere Informationen findest du unter Hoher App-Schutz der Stufe 3.

Compliance (Ebene 3)

Auf dieser Ebene können Sie die integrierten Compliancefeatures von Intune über die folgenden Funktionen erweitern:

  • Integrieren von Daten von MtD-Partnern (Mobile Threat Defense)

    • Bei einem MTD-Partner können Ihre Compliancerichtlinien erfordern, dass Geräte eine Geräte-Bedrohungsstufe oder eine Computerrisikobewertung aufweisen, die von diesem Partner festgelegt wird.
  • Verwenden Sie einen Nicht-Microsoft-Compliancepartner mit Intune.

  • Verwenden Sie Skripts, um Ihren Richtlinien benutzerdefinierte Konformitätseinstellungen für Einstellungen hinzuzufügen, die nicht in der Intune-Benutzeroberfläche verfügbar sind. (Windows, Linux)

  • Verwenden Sie Konformitätsrichtliniendaten mit Richtlinien für bedingten Zugriff, um den Zugriff auf die Ressourcen Ihrer Organisation zu sperren.

Weitere Informationen findest du unter Ebene 3 – Erweiterte Gerätekonformitätskonfigurationen.

Gerätekonfiguration (Ebene 3)

Diese Ebene konzentriert sich auf Dienste und Features auf Unternehmensebene und kann eine Infrastrukturinvestition erfordern. Auf dieser Ebene können Sie Richtlinien erstellen, die:

  • Erweitern Sie die kennwortlose Authentifizierung auf andere Dienste in Ihrer Organisation, einschließlich zertifikatbasierter Authentifizierung, einmaliges Anmelden für Apps, mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) und das Microsoft Tunnel-VPN-Gateway.

  • Erweitern Sie Microsoft Tunnel, indem Sie Microsoft Tunnel for Mobile Application Management (Tunnel for MAM) bereitstellen, wodurch die Tunnel-Unterstützung auf iOS- und Android-Geräte erweitert wird, die nicht bei Intune registriert sind. Tunnel für MAM ist als Intune-Add-On verfügbar.

    Weitere Informationen hierzu findest du unter Verwenden der Add-On-Funktionen der Intune Suite.

  • Konfigurieren Sie Gerätefeatures, die auf die Windows-Firmwareebene angewendet werden. Verwenden Sie den Allgemeinen Android-Kriterienmodus.

  • Verwenden Sie die Intune-Richtlinie für die Lokale Administratorkennwortlösung (LapS), um das integrierte lokale Administratorkonto auf Ihren verwalteten Windows-Geräten zu schützen.

    Weitere Informationen hierzu findest du unter Intune-Unterstützung für Windows LAPS.

  • Schützen Sie Windows-Geräte mithilfe der Endpoint Privilege Management (EPM). EPM unterstützt Sie bei der Ausführung der Benutzer Ihrer Organisation als Standardbenutzer (ohne Administratorrechte) und ermöglicht es diesen Benutzern, Aufgaben auszuführen, die erhöhte Berechtigungen erfordern.

    EPM ist als Intune-Add-On verfügbar. Weitere Informationen hierzu findest du unter Verwenden der Add-On-Funktionen der Intune Suite.

  • Konfigurieren Sie spezialisierte Geräte wie Kioske und freigegebene Geräte.

  • Stellen Sie bei Bedarf Skripts bereit.

Genauere Informationen zu Gerätekonfigurationsrichtlinien auf dieser Ebene finden Sie unter Ebene 3 – Hoher Schutz und Konfiguration.

Verwandter Artikel

Eine vollständige Liste aller Gerätekonfigurationsprofile, die Sie erstellen können, finden Sie unter Anwenden von Features und Einstellungen auf Ihren Geräten mithilfe von Geräteprofilen in Microsoft Intune.