Konfigurieren von Aktionen für nicht konforme Geräte in Intune

  • Artikel

Im Rahmen einer Compliancerichtlinie, die Ressourcen Ihrer Organisation vor Geräten schützt, die Ihre Sicherheitsanforderungen nicht erfüllen, enthalten Konformitätsrichtlinien auch Aktionen bei Nichtkonformität. Aktionen bei Nichtkonformität sind eine oder mehrere zeitgeordnete Aktionen, die von einer Richtlinie zum Schutz von Geräten und Ihrer Organisation ausgeführt werden. Beispielsweise kann eine Aktion bei Nichtkonformität ein Gerät remote sperren, um sicherzustellen, dass es geschützt ist, oder eine Benachrichtigung an Geräte oder Benutzer senden, damit sie den nicht konformen Status besser verstehen und beheben können.

Übersicht

Standardmäßig enthält jede Konformitätsrichtlinie die Aktion bei Nichtkonformität von Gerät als nicht konform markieren mit einem Zeitplan von null Tagen (0). Wenn Intune feststellt, dass ein Gerät nicht konform ist, markiert Intune das Gerät sofort als „nicht konform“. Nachdem ein Gerät als nicht konform gekennzeichnet wurde, kann das Gerät durch den bedingten Zugriff von Azure Active Directory (AD) blockiert werden.

Durch das Konfigurieren von Aktionen für Nichtkonformität können Sie flexibel entscheiden, was bei nicht konformen Geräten zu tun ist und wann dies zu tun ist. Sie können beispielsweise auswählen, dass das Gerät nicht sofort blockiert werden soll, und dem Benutzer eine Toleranzperiode einräumen, in der er dafür sorgen kann, dass das Gerät konform wird.

Für jede Aktion, die Sie festlegen, können Sie einen Zeitplan konfigurieren, der bestimmt, wann eine Aktion wirksam wird. Dieser Zeitplan entspricht einer Anzahl von Tagen, nachdem das Gerät als nicht konform markiert wurde. Sie können auch mehrere Instanzen einer Aktion konfigurieren. Wenn Sie mehrere Instanzen einer Aktion in einer Richtlinie festlegen, wird die Aktion zu dieser später geplanten Zeit erneut ausgeführt, wenn das Gerät weiterhin nicht konform ist.

Nicht alle Aktionen sind für alle Plattformen verfügbar.

Hinweis

Das Microsoft Intune Admin Center zeigt den Zeitplan (Tage nach Nichtkonformität) in Tagen an. Es ist jedoch möglich, ein präzises Intervall (Stunden) mit Dezimalbruchteilen wie 0,25 (6 Stunden), 0,5 (12 Stunden), 1,5 (36 Stunden) usw. anzugeben. Auch wenn andere Werte möglich sind, können sie nur mit Microsoft Graph und nicht über das Admin Center konfiguriert werden. Der Versuch, andere Werte im Admin Center zu verwenden, z. B. 0,33 (8 Stunden), führt beim Versuch, die Richtlinie zu speichern, zu einem Fehler.

Verfügbare Aktionen bei Nichtkonformität

Im Folgenden finden Sie die verfügbaren Aktionen für die Nichtkonformität:

  • Gerät als nicht konform markieren: Standardmäßig wird diese Aktion für jede Konformitätsrichtlinie festgelegt und hat einen Zeitplan von null (0) Tagen, wobei Geräte sofort als nicht konform markiert werden.

    Wenn Sie den Standardzeitplan ändern, geben Sie eine Toleranzperiode an, innerhalb derer ein Benutzer Probleme beheben oder die Konformität herstellen kann, ohne als nicht konform markiert zu werden.

    Diese Aktion wird auf allen Plattformen unterstützt, die von Intune unterstützt werden.

  • E-Mail an Endbenutzer senden: Diese Aktion sendet eine E-Mail-Benachrichtigung an den Benutzer. Wenn Sie diese Aktion aktivieren:

    • Wählen Sie eine Benachrichtigungsvorlage aus, die mit dieser Aktion gesendet wird. Sie erstellen eine Benachrichtigungsvorlage, bevor Sie dieser Aktion einen solchen zuweisen können. Wenn Sie die benutzerdefinierte Benachrichtigung erstellen, passen Sie das Nachrichtengebietsschema, den Betreff, den Nachrichtentext und das Firmenlogo, den Firmennamen und andere Kontaktinformationen an.
    • Wählen Sie aus, ob die Nachricht an mehrere Empfänger gesendet werden soll, indem Sie eine oder mehrere Ihrer Azure AD-Gruppen auswählen.

    Intune verwendet die im Profil des Endbenutzers hinterlegte E-Mail-Adresse und nicht den Benutzerprinzipalnamen (UPN). Wenn im Profil des Benutzers keine eindeutige E-Mail-Adresse definiert ist, sendet Intune keine Benachrichtigungs-E-Mail. Wenn die E-Mail gesendet wurde, bezieht Intune Einzelheiten zu dem nicht konformen Gerät in die E-Mail-Benachrichtigung ein.

    Diese Aktion wird auf allen Plattformen unterstützt, die von Intune unterstützt werden.

    Hinweis

    In der kommerziellen Cloud werden Benachrichtigungs-E-Mails gesendet von: IntuneNotificationService@microsoft.com

    In Government Clouds werden Benachrichtigungs-E-Mails von folgenden Orten gesendet: microsoft-noreply@microsoft.com

    Vergewissern Sie sich, dass Sie keine Postfachrichtlinien haben, die die Zustellung von E-Mails von diesen Adressen verhindern, da Endbenutzer die E-Mail-Benachrichtigung sonst möglicherweise nicht erhalten.

  • Das nicht konforme Gerät remote sperren: Verwenden Sie diese Aktion, um eine Remotesperre eines Geräts auszugeben. Zum Entsperren des Geräts wird der Benutzer dann zur Eingabe einer PIN oder eines Kennworts aufgefordert. Weitere Informationen zur Funktion Remotesperre.

    Folgende Plattformen unterstützen diese Aktion:

    • Android-Geräteadministrator
    • Android (AOSP)
    • Android Enterprise:
      • Vollständig verwaltet
      • Dediziert
      • Unternehmenseigenes Arbeitsprofil
      • Persönliches Arbeitsprofil
      • Android Enterprise-Kioskgeräte
    • iOS/iPadOS
    • macOS

  • Das nicht konforme Gerät außer Betrieb nehmen: Diese Aktion entfernt alle Unternehmensdaten vom Gerät und dann das Gerät aus der Intune-Verwaltung.

    Folgende Plattformen unterstützen diese Aktion:

    • Android-Geräteadministrator
    • Android (AOSP)
    • Android Enterprise:
      • Vollständig verwaltet
      • Dediziert
      • Unternehmenseigenes Arbeitsprofil
      • Persönliches Arbeitsprofil
    • iOS/iPadOS
    • macOS
    • Windows 10/11

    Wenn diese Aktion auf ein Gerät angewendet wird, wird dieses Gerät einer Liste von Geräten im Microsoft Intune Admin Center unterGerätekonformitätsrichtlinien>>Nicht kompatible Geräte außer Kraft setzen hinzugefügt. Das Gerät wird erst abgekoppelt, sobald ein Administrator explizite Aktionen ergreift, um das Gerät außer Betrieb zu nehmen.

    Hinweis

    Nur Geräte, auf denen die Aktion Außer Betrieb nehmen des nicht konformen Geräts ausgelöst wurde, werden in der Ansicht Ausgewählte Geräte außer Betrieb nehmen angezeigt. Eine Liste aller nicht konformen Geräte finden Sie im Bericht Nicht konforme Geräte , der in der Richtlinie zur Überwachung der Gerätecompliance erwähnt ist.

    Wählen Sie die Geräte aus, die Sie außer Betrieb nehmen möchten, und wählen Sie dann Ausgewählte Geräte außer Betrieb nehmen aus, um mehrere Geräte aus der Liste außer Betrieb zu nehmen. Wenn Sie eine Aktion auswählen, die Geräte außer Betrieb nimmt, wird ein Dialogfeld angezeigt, in dem Sie die Aktion bestätigen können. Erst nach der Bestätigung der Absicht, die Geräte außer Betrieb zu nehmen, werden Unternehmensdaten auf ihnen gelöscht und sie werden aus der Intune-Verwaltung entfernt.

    Andere Optionen umfassen Alle Geräte außer Betrieb nehmen, Status zur Außerbetriebnahme aller Geräte löschen und Status zur Außerbetriebnahme für ausgewählte Geräte löschen. Durch das Löschen des Status zur Außerbetriebnahme für ein Gerät wird das Gerät aus der Liste der Geräte entfernt, die abgekoppelt werden können, bis die Aktion Nicht konformes Gerät zurückziehen nochmal auf das Gerät angewendet wird.

    Weitere Informationen zum Außerbetriebnehmen von Geräten.

  • Pushbenachrichtigung an Endbenutzer senden: Konfigurieren Sie diese Aktion so, dass eine Pushbenachrichtigung über die Nichtkonformität an ein Gerät über die Unternehmensportal-App oder die Intune-App auf dem Gerät gesendet wird.

    Folgende Plattformen unterstützen diese Aktion:

    • Android-Geräteadministrator
    • Android Enterprise:
      • Vollständig verwaltet
      • Dediziert
      • Unternehmenseigenes Arbeitsprofil
      • Persönliches Arbeitsprofil
    • iOS/iPadOS

    Die Pushbenachrichtigung wird gesendet, wenn ein Gerät zum ersten Mal bei Intune eingecheckt wird und als nicht konform zur Konformitätsrichtlinie eingestuft wird. Wenn ein Benutzer die Benachrichtigung auswählt, wird die Unternehmensportal-App oder Intune-App geöffnet, und es werden Informationen darüber angezeigt, warum sie nicht konform sind. Der Benutzer kann dann Maßnahmen ergreifen, um das Problem zu beheben. Die Nachrichtendetails über die Nichtkonformität werden von Intune generiert und können nicht angepasst werden.

    Wichtig

    Weder Intune noch die Unternehmensportal-App oder die Microsoft Intune-App kann die Zustellung von Pushbenachrichtigungen garantieren. Benachrichtigungen können, wenn überhaupt, erst mit mehrstündiger Verspätung eintreffen. Dies gilt auch, wenn Benutzer Pushbenachrichtigungen deaktiviert haben.

    Verlassen Sie sich bei dringenden Nachrichten nicht auf diese Benachrichtigungsmethode.

    Jede Instanz der Aktion sendet ein einziges Mal eine Benachrichtigung. Um dieselbe Benachrichtigung erneut von einer Richtlinie aus zu senden, konfigurieren Sie weitere Instanzen der Aktion in dieser Richtlinie, die jeweils einen anderen Zeitplan aufweisen.

    Sie können z. B. die erste Aktion für null Tage planen und dann eine zweite Instanz der Aktion hinzufügen, die für drei Tage geplant ist. Diese Verzögerung vor der zweiten Benachrichtigung gibt dem Benutzer einige Tage Zeit, um das Problem zu beheben und die zweite Benachrichtigung zu vermeiden.

    Überprüfen und optimieren Sie, welche Konformitätsrichtlinien bei Nichtkonformität eine Pushbenachrichtigung enthalten, um zu vermeiden, dass Benutzer mit zu vielen doppelten Nachrichten belästigt werden. Überprüfen Sie auch die Zeitpläne, um zu vermeiden, dass wiederholte Benachrichtigungen für dasselbe Problem zu oft gesendet werden.

    Erwägen Sie Folgendes:

    • Bei einer einzelnen Richtlinie, die mehrere Instanzen einer für denselben Tag festgelegten Pushbenachrichtigung enthält, wird für diesen Tag nur eine einzige Benachrichtigung gesendet.

    • Wenn mehrere Konformitätsrichtlinien die gleichen Konformitätsbedingungen und die Pushbenachrichtigungsaktion mit demselben Zeitplan enthalten, sendet Intune mehrere Benachrichtigungen am selben Tag an dasselbe Gerät.

Hinweis

Die folgenden Aktionen bei Nichtkonformität werden für Geräte, die von einem Partner für die Gerätekonformitätsverwaltungverwaltet werden, nicht unterstützt:

  • Senden von Pushbenachrichtigungen an Endbenutzer
  • Remotesperre des nicht konformen Geräts
  • Außerbetriebnahme des nicht konformen Geräts
  • Senden von Pushbenachrichtigungen an Endbenutzer

Bevor Sie beginnen

Sie können Aktionen für die Nichtkonformität hinzufügen, wenn Sie die Richtlinie für die Gerätekonformität konfigurieren, oder Sie fügen sie später durch Bearbeiten der Richtlinie hinzu. Sie können jeder Richtlinie zusätzliche Aktionen hinzufügen, damit sie Ihre Anforderungen erfüllen. Beachten Sie, dass jede Konformitätsrichtlinie automatisch die Standardaktion für Nichtkonformität enthält, die Geräte als nicht konform markiert, wobei ein Zeitplan auf null Tage festgelegt ist.

Wenn Sie Gerätekonformitätsrichtlinien verwenden, um den Zugriff auf Unternehmensressourcen durch Geräte zu blockieren, muss der bedingte Zugriff von Azure AD eingerichtet sein. Anleitungen dazu finden Sie unter Bedingter Zugriff in Azure Active Directory oder Gängige Möglichkeiten für die Verwendung des bedingten Zugriffs mit Intune.

Plattformspezifische Informationen zum Erstellen einer Gerätekonformitätsrichtlinie finden Sie hier:

Erstellen einer Benachrichtigungsvorlage

Um eine E-Mail an Ihre Benutzer zu senden, erstellen Sie eine Vorlage für eine Benachrichtigung und verknüpfen diese mit Ihrer Richtlinie als Aktion bei fehlender Konformität. Wenn ein Gerät nicht konform ist, werden die Einzelheiten, die Sie in die Vorlage eingeben, in den von Ihnen an die Benutzer gesendeten E-Mails gezeigt.

Eine Benachrichtigungsvorlage kann mehrere Nachrichten enthalten, die jeweils für ein anderes Gebietsschema gelten. Ein Gebietsschema muss als Standard festgelegt werden.

Wenn Sie mehrere Nachrichten und Gebietsschemas angeben, empfangen nicht konforme Benutzer die entsprechende lokalisierte Nachricht basierend auf ihrer bevorzugten O365-Sprache. Intune sendet eine Standardnachricht an Benutzer, für die keine bevorzugte Sprache festgelegt ist, oder wenn die Vorlage keine bestimmte Nachricht für ihr Gebietsschema enthält.

So erstellen Sie die Vorlage

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Klicken Sie auf Endpunktsicherheit>Gerätekonformität>Benachrichtigungen>Benachrichtigung erstellen.

  3. Konfigurieren Sie auf der Seite Basics (Grundlagen) die folgenden Einstellungen:

    • Name: Geben Sie der Vorlage einen Anzeigenamen, damit Sie sie eindeutig identifizieren können.
    • E-Mail-Kopfzeile: Unternehmenslogo einschließen (Standardeinstellung: Aktivieren): Das Logo, das Sie für das Branding des Unternehmensportals hochladen, wird für E-Mail-Vorlagen verwendet. Weitere Informationen zum Branding des Unternehmensportals finden Sie unter Anpassen des Unternehmensbrandings.
    • E-Mail-Fußzeile: Unternehmensnamen einschließen (Standardeinstellung: Aktivieren)
    • E-Mail-Fußzeile: Kontaktinformationen einschließen (Standardeinstellung: Aktivieren)
    • Company Portal Website Link (Link zur Unternehmensportal-Website) (Standardeinstellung: Deaktivieren): Wenn diese Einstellung auf Aktivieren festgelegt ist, enthält die E-Mail einen Link zur Unternehmensportal-Website.

    Beispiel für die Seite

    Wählen Sie Weiter aus, um fortzufahren.

  4. Konfigurieren Sie auf der Seite Benachrichtigungsvorlagen eine oder mehrere Nachrichten. Geben Sie für jede Nachricht die folgenden Details an:

    • Locale
    • Betreff
    • Nachrichtentext

    Hinweis

    Die maximale Zeichenanzahl für den Betreff beträgt 78 und die maximale Zeichenanzahl für den Nachrichtentext 2000.

    Ehe Sie fortfahren, müssen Sie für eine der Nachrichten das Kontrollkästchen Standard aktivieren. Nur eine Nachricht kann als Standard festgelegt werden. Um eine Nachricht zu löschen, wählen Sie die Auslassungspunkte (...) und dann Löschen aus.

    Beispiel für die Temmplate-Seite

    Wählen Sie Weiter aus, um fortzufahren.

  5. Überprüfen Sie Ihre Konfigurationen unter Überprüfen und Erstellen, um sicherzustellen, dass die Benachrichtigungsvorlage einsatzbereit ist. Wählen Sie Erstellen aus, um die Erstellung der Benachrichtigung abzuschließen.

Anzeigen und Bearbeiten von Benachrichtigungen

Erstellte Benachrichtigungen sind auf der Seite Compliancerichtlinien>Benachrichtigungen verfügbar. Auf dieser Seite können Sie eine Benachrichtigung auswählen, um die Konfiguration anzuzeigen und folgende Aktionen auszuführen:

  • Wählen Sie Vorschau-E-Mail senden, um eine Vorschau der Benachrichtigungs-E-Mail an das Konto zu senden, das Sie zum Anmelden bei Intune verwendet haben.

    Um die Vorschau-E-Mail erfolgreich senden zu können, muss Ihr Konto über Berechtigungen verfügen, die denen der folgenden Azure AD-Gruppen oder Intune Rollen entsprechen: Globaler Azure AD-Administrator, Intune Administrator (Intune Azure AD Intune Service Administrator) oder Intune Richtlinien- und Profil-Manager.

  • Wählen Sie unter Grundlagen oder Bereichstags die Option Bearbeiten aus, um eine Änderung vorzunehmen.

Hinzufügen von Aktionen bei Nichtkonformität

Wenn Sie eine Konformitätsrichtlinie für Geräte erstellen, erstellt Intune automatisch eine Aktion für Nichtkonformität. Wenn ein Gerät Ihre Konformitätsrichtlinie nicht erfüllt, markiert diese Aktion das Gerät als nicht konform. Sie können anpassen, wie lange das Gerät als „nicht konform“ gekennzeichnet wird. Diese Aktion kann nicht entfernt werden.

Sie können beim Erstellen einer Konformitätsrichtlinie oder Aktualisieren einer vorhandenen Konformitätsrichtlinie weitere optionale Aktionen hinzufügen.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Geräte>Konformitätsrichtlinien>Richtlinien, anschließend eine Ihrer Richtlinien und dann Eigenschaften aus.

    Haben Sie noch keine Richtlinie? Erstellen Sie eine Richtlinie für Android, iOS, Windows oder eine andere Plattform.

    Hinweis

    Für Geräte, die von Drittanbieterpartnern für Gerätekonformität verwaltet werden und auf Gerätegruppen ausgerichtet sind, können derzeit keine Aktionen bei Nichtkonformität festgelegt werden.

  3. Wählen Sie Aktionen für Nichtkonformität>Hinzufügen aus.

  4. Wählen Sie Ihre Aktion aus:

    • Senden einer E-Mail an den Benutzer: Senden Sie dem Benutzer eine E-Mail, wenn das Gerät nicht konform ist. Ferner gilt Folgendes:

      • Wählen Sie die zuvor erstellte Nachrichtenvorlage aus
      • Geben Sie durch die Auswahl von Gruppen zusätzliche Empfänger ein

    • Remotesperren des nicht konformen Geräts: Sperren Sie das Gerät, wenn es nicht konform ist. Durch diese Aktion wird der Benutzer zur Eingabe einer PIN oder eines Kennworts gezwungen, um das Gerät zu entsperren.

    • Das nicht konformer Gerät außer Betrieb nehmen: Wenn das Gerät nicht konform ist, entfernen Sie alle Unternehmensdaten vom Gerät, und entfernen Sie das Gerät aus der Intune-Verwaltung.

    • Pushbenachrichtigung an Endbenutzer senden: Konfigurieren Sie diese Aktion so, dass eine Pushbenachrichtigung über die Nichtkonformität an ein Gerät über die Unternehmensportal-App oder die Intune-App auf dem Gerät gesendet wird.

  5. Konfigurieren eines Zeitplans: Geben Sie die Anzahl von Tagen (0 bis 365) nach der Nichtkonformität ein, um die Aktion auf Benutzergeräten auszulösen. Nach Ablauf dieser Nachfrist können Sie eine Richtlinie für bedingten Zugriff erzwingen. Wenn Sie als Anzahl von Tagen 0 (null) eingeben, wird der bedingte Zugriff sofort wirksam. Wenn beispielsweise ein Gerät nicht konform ist, können Sie mithilfe des bedingten Zugriffs sofort den Zugriff auf E-Mails, SharePoint und andere Organisationsressourcen blockieren.

    Wenn Sie eine Konformitätsrichtlinie erstellen, wird automatisch die Aktion Gerät als nicht konform markieren erstellt und auf 0 Tage (sofort) festgelegt. Wenn sich das Gerät mit dieser Aktion bei Intune eincheckt und die Richtlinie auswertet, markiert Intune dieses Gerät sofort als nicht konform, wenn es mit dieser Richtlinie nicht konform ist. Wenn der Client zu einem späteren Zeitpunkt eincheckt, nachdem die der Nichtkonformität zugrunde liegenden Probleme behoben wurden, wird sein Status auf den neuen Konformitätsstatus aktualisiert. Wenn Sie den bedingten Zugriff verwenden, gelten diese Richtlinien auch, sobald ein Gerät als nicht konform markiert wird. Um eine Toleranzperiode so festzulegen, dass eine Nichtkonformitätsbedingung behoben werden kann, bevor das Gerät als nicht konform markiert wird, ändern Sie den Zeitplan für die Aktion Gerät als nicht konform markieren.

    Sie möchten den Benutzer außerdem in Ihrer Konformitätsrichtlinie benachrichtigen. Fügen Sie die Aktion E-Mail an Endbenutzer senden hinzu. Legen Sie für diese Aktion E-Mail senden den Zeitplan auf zwei Tage fest. Wird das Gerät oder der Endbenutzer an Tag zwei weiterhin als nicht konform ausgewertet, wird Ihre E-Mail an Tag zwei gesendet. Wenn Sie dem Benutzer an Tag fünf der Nichtkonformität erneut eine E-Mail senden möchten, fügen Sie eine weitere Aktion hinzu, und legen Sie den Zeitplan auf fünf Tage fest.

    Weitere Informationen zur Konformität und den integrierten Aktionen finden Sie in der Konformitätsübersicht.

  6. Klicken Sie zum Speichern Ihrer Änderungen auf Hinzufügen>OK.

Nächste Schritte

Überwachen von Intune-Richtlinien zur Gerätekompatibilität.