Gerätekonformitätseinstellungen für Windows 10/11 in Intune

In diesem Artikel werden die verschiedenen Konformitätseinstellungen aufgeführt und beschrieben, die Sie auf Windows-Geräten in Intune konfigurieren können. Verwenden Sie als Teil Ihrer Mdm-Lösung (Mobile Device Management, Verwaltung mobiler Geräte) diese Einstellungen, um BitLocker zu erfordern, ein minimales und maximales Betriebssystem festzulegen, eine Risikostufe mit Microsoft Defender for Endpoint festzulegen und vieles mehr.

Diese Funktion gilt für:

  • Windows 10/11
  • Windows Holographic for Business
  • Surface Hub

Verwenden Sie als Intune-Administrator diese Konformitätseinstellungen, um Ihre Organisationsressourcen zu schützen. Weitere Informationen zu Konformitätsrichtlinien und deren Funktionsweise finden Sie unter Erste Schritte mit der Gerätekonformität.

Bevor Sie beginnen:

Erstellen Sie eine Konformitätsrichtlinie. Wählen Sie unter Plattform die Option Windows 10 und höher aus.

Geräteintegrität

Auswertungsregeln für den Windows-Integritätsnachweisdienst

  • BitLocker erforderlich:
    Die Windows BitLocker-Laufwerkverschlüsselung verschlüsselt alle Daten, die auf dem Windows-Betriebssystemvolume gespeichert sind. BitLocker verwendet das Trusted Platform Module (TPM), um das Windows-Betriebssystem und die Benutzerdaten zu schützen. Es hilft auch zu bestätigen, dass ein Computer nicht manipuliert wurde, auch wenn er unbeaufsichtigt bleibt, verloren geht oder gestohlen wird. Wenn der Computer mit einem kompatiblen TPM ausgestattet ist, verwendet BitLocker das TPM, um die Verschlüsselungsschlüssel zu sperren, die die Daten schützen. Daher kann erst auf die Schlüssel zugegriffen werden, wenn das TPM den Zustand des Computers überprüft.

    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Erforderlich : Das Gerät kann Daten, die auf dem Laufwerk gespeichert sind, vor unbefugtem Zugriff schützen, wenn das System ausgeschaltet ist oder sich im Ruhezustand befindet.

    Device HealthAttestation CSP – BitLockerStatus

    Hinweis

    Wenn Sie eine Gerätekonformitätsrichtlinie in Intune verwenden, beachten Sie, dass der Status dieser Einstellung nur zur Startzeit gemessen wird. Selbst wenn die BitLocker-Verschlüsselung abgeschlossen ist, ist daher ein Neustart erforderlich, damit das Gerät dies erkennt und konform wird. Weitere Informationen finden Sie im folgenden Microsoft-Supportblog zum Nachweis der Geräteintegrität.

  • Aktivieren des sicheren Starts auf dem Gerät erforderlich:

    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Erforderlich : Das System muss in einem vertrauenswürdigen Werkszustand gestartet werden. Die Kernkomponenten, die zum Starten des Computers verwendet werden, müssen über korrekte kryptografische Signaturen verfügen, die von der organization, die das Gerät hergestellt hat, als vertrauenswürdig eingestuft werden. Die UEFI-Firmware überprüft die Signatur, bevor sie den Computer starten lässt. Wenn Dateien manipuliert werden, wodurch ihre Signatur beschädigt wird, wird das System nicht gestartet.

    Hinweis

    Die Einstellung Sicherer Start muss auf dem Gerät aktiviert sein , wird auf einigen TPM 1.2- und 2.0-Geräten unterstützt. Für Geräte, die TPM 2.0 oder höher nicht unterstützen, wird die Richtlinie status in Intune als Nicht konform angezeigt. Weitere Informationen zu unterstützten Versionen finden Sie unter Nachweis der Geräteintegrität.

  • Codeintegrität erforderlich:
    Codeintegrität ist ein Feature, das die Integrität eines Treibers oder einer Systemdatei bei jedem Laden in den Arbeitsspeicher überprüft.

    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Erforderlich : Erfordert Codeintegrität, die erkennt, ob ein nicht signierter Treiber oder eine Systemdatei in den Kernel geladen wird. Außerdem wird erkannt, ob eine Systemdatei durch Schadsoftware geändert oder von einem Benutzerkonto mit Administratorrechten ausgeführt wird.

Weitere Ressourcen:

Geräteeigenschaften

Betriebssystemversion

Informationen zum Ermitteln von Buildversionen für alle Windows 10/11-Feature-Updates und kumulativen Updates (die in einigen der folgenden Felder verwendet werden können) finden Sie unter Windows-Versionsinformationen. Stellen Sie sicher, dass Sie das entsprechende Versionspräfix vor den Buildnummern angeben, z. B. 10.0 für Windows 10, wie in den folgenden Beispielen veranschaulicht.

  • Mindestversion des Betriebssystems:
    Geben Sie die mindestens zulässige Version im Zahlenformat major.minor.build.revision ein. Um den richtigen Wert abzurufen, öffnen Sie eine Eingabeaufforderung, und geben Sie ein ver. Der ver Befehl gibt die Version im folgenden Format zurück:

    Microsoft Windows [Version 10.0.17134.1]

    Wenn ein Gerät über eine frühere Version als die von Ihnen eingegebene Betriebssystemversion verfügt, wird es als nicht konform gemeldet. Ein Link mit Informationen zum Upgrade wird angezeigt. Der Endbenutzer kann sein Gerät aktualisieren. Nach dem Upgrade können sie auf Unternehmensressourcen zugreifen.

  • Maximale Betriebssystemversion:
    Geben Sie die maximal zulässige Version im Zahlenformat major.minor.build.revision ein. Um den richtigen Wert abzurufen, öffnen Sie eine Eingabeaufforderung, und geben Sie ein ver. Der ver Befehl gibt die Version im folgenden Format zurück:

    Microsoft Windows [Version 10.0.17134.1]

    Wenn ein Gerät eine höhere Betriebssystemversion als die eingegebene Version verwendet, wird der Zugriff auf organization Ressourcen blockiert. Der Endbenutzer wird aufgefordert, sich an seinen IT-Administrator zu wenden. Das Gerät kann erst auf organization Ressourcen zugreifen, wenn die Regel geändert wird, um die Betriebssystemversion zuzulassen.

  • Mindestens erforderliches Betriebssystem für mobile Geräte:
    Geben Sie die mindestens zulässige Version im Format "haupt.minor.build" ein.

    Wenn ein Gerät über eine frühere Version mit der von Ihnen eingegebenen Betriebssystemversion verfügt, wird es als nicht konform gemeldet. Ein Link mit Informationen zum Upgrade wird angezeigt. Der Endbenutzer kann sein Gerät aktualisieren. Nach dem Upgrade können sie auf Unternehmensressourcen zugreifen.

  • Maximal erforderliches Betriebssystem für mobile Geräte:
    Geben Sie die maximal zulässige Version in der Nummer "major.minor.build" ein.

    Wenn ein Gerät eine höhere Betriebssystemversion als die eingegebene Version verwendet, wird der Zugriff auf organization Ressourcen blockiert. Der Endbenutzer wird aufgefordert, sich an seinen IT-Administrator zu wenden. Das Gerät kann erst auf organization Ressourcen zugreifen, wenn die Regel geändert wird, um die Betriebssystemversion zuzulassen.

  • Gültige Betriebssystembuilds:
    Geben Sie eine Liste der minimalen und maximalen Betriebssystembuilds an. Gültige Betriebssystembuilds bieten zusätzliche Flexibilität im Vergleich zu minimalen und maximalen Betriebssystemversionen. Stellen Sie sich ein Szenario vor, in dem die Mindestversion des Betriebssystems auf 10.0.18362.xxx (Windows 10 1903) und die maximale Betriebssystemversion auf 10.0.18363.xxx festgelegt ist (Windows 10 1909). Diese Konfiguration kann es ermöglichen, dass ein Windows 10 1903-Gerät, auf dem keine aktuellen kumulativen Updates installiert sind, als kompatibel identifiziert wird. Mindest- und Maximalversionen des Betriebssystems sind möglicherweise geeignet, wenn Sie auf ein einzelnes Windows 10 Release standardisiert haben, aber möglicherweise nicht Ihre Anforderungen erfüllen, wenn Sie mehrere Builds mit jeweils bestimmten Patchebenen verwenden müssen. In einem solchen Fall sollten Sie stattdessen gültige Betriebssystembuilds nutzen, sodass mehrere Builds gemäß dem folgenden Beispiel angegeben werden können.

    Der größte unterstützte Wert für jedes der Felder version, major, minor und build ist 65535. Der größte Wert, den Sie eingeben können, ist beispielsweise 65535.65535.65535.65535.

    Beispiel:
    Die folgende Tabelle enthält ein Beispiel für einen Bereich für die zulässigen Betriebssystemversionen für verschiedene Windows 10 Releases. In diesem Beispiel wurden drei verschiedene Feature-Updates zugelassen (1809, 1909 und 2004). Insbesondere werden nur die Versionen von Windows, die kumulative Updates von Juni bis September 2020 angewendet haben, als konform betrachtet. Dies sind nur Beispieldaten. Die Tabelle enthält eine erste Spalte, die jeden Text enthält, den Sie den Eintrag beschreiben möchten, gefolgt von der minimalen und maximalen Betriebssystemversion für diesen Eintrag. Die zweite und dritte Spalte müssen den gültigen Betriebssystembuildversionen im Zahlenformat major.minor.build.revision entsprechen. Nachdem Sie einen oder mehrere Einträge definiert haben, können Sie die Liste als CSV-Datei (Comma-Separated Values) exportieren .

    Beschreibung Minimale Version des Betriebssystems Maximale Version des Betriebssystems
    Win 10 2004 (Jun-Sept 2020) 10.0.19041.329 10.0.19041.508
    Win 10 1909 (Jun-Sept 2020) 10.0.18363.900 10.0.18363.1110
    Win 10 1809 (Jun-Sept 2020) 10.0.17763.1282 10.0.17763.1490

    Hinweis

    Wenn Sie mehrere Bereiche von Betriebssystemversionsbuilds in Ihrer Richtlinie angeben und ein Gerät über einen Build außerhalb der konformen Bereiche verfügt, benachrichtigt Unternehmensportal den Gerätebenutzer, dass das Gerät mit dieser Einstellung nicht kompatibel ist. Beachten Sie jedoch, dass aufgrund technischer Einschränkungen in der Konformitätskorrekturmeldung nur der erste in der Richtlinie angegebene Betriebssystemversionsbereich angezeigt wird. Es wird empfohlen, die zulässigen Betriebssystemversionsbereiche für verwaltete Geräte in Ihrem organization zu dokumentieren.

Configuration Manager Compliance

Gilt nur für gemeinsam verwaltete Geräte, auf denen Windows 10/11 ausgeführt wird. Reine Intune-Geräte geben einen nicht verfügbaren status zurück.

  • Gerätekonformität von Configuration Manager anfordern:
    • Nicht konfiguriert (Standardeinstellung): Intune überprüft nicht, ob die Configuration Manager Einstellungen auf Konformität festgelegt sind.
    • Erforderlich: Alle Einstellungen (Konfigurationselemente) in Configuration Manager müssen konform sein.

Systemsicherheit

Kennwort

  • Anfordern eines Kennworts zum Entsperren mobiler Geräte:

    • Nicht konfiguriert (Standard): Diese Einstellung wird nicht auf Konformität oder Nichtkonformität ausgewertet.
    • Erforderlich : Benutzer müssen ein Kennwort eingeben, bevor sie auf ihr Gerät zugreifen können.
  • Einfache Kennwörter:

    • Nicht konfiguriert (Standard): Benutzer können einfache Kennwörter erstellen, z. B. 1234 oder 1111.
    • Blockieren : Benutzer können keine einfachen Kennwörter erstellen, z. B. 1234 oder 1111.
  • Kennworttyp:
    Wählen Sie den Typ des erforderlichen Kennworts oder der PIN aus. Folgende Optionen sind verfügbar:

    • Gerätestandard (Standard): Kennwort, numerische PIN oder alphanumerische PIN erforderlich
    • Numerisch : Kennwort oder numerische PIN erforderlich
    • Alphanumerisch : Erfordert ein Kennwort oder eine alphanumerische PIN.

    Bei Festlegung auf Alphanumerisch sind die folgenden Einstellungen verfügbar:

  • Minimale Kennwortlänge:
    Geben Sie die Mindestanzahl von Ziffern oder Zeichen ein, die das Kennwort aufweisen muss.

  • Maximale Inaktivität in Minuten, bevor ein Kennwort erforderlich ist:
    Geben Sie die Leerlaufzeit ein, bevor der Benutzer sein Kennwort erneut eingeben muss.

  • Kennwortablauf (Tage)::
    Geben Sie die Anzahl der Tage ein, bevor das Kennwort abläuft, und sie müssen ein neues kennwort (zwischen 1 und 730) erstellen.

  • Anzahl der vorherigen Kennwörter, um die Wiederverwendung zu verhindern:
    Geben Sie die Anzahl der zuvor verwendeten Kennwörter ein, die nicht verwendet werden können.

  • Kennwort anfordern, wenn das Gerät aus dem Leerlaufzustand zurückkehrt (Mobil und Holographic):

    • Nicht konfiguriert (Standard)
    • Erforderlich : Gerätebenutzer müssen das Kennwort jedes Mal eingeben, wenn das Gerät aus einem Leerlauf zurückkehrt.

    Wichtig

    Wenn die Kennwortanforderung auf einem Windows-Desktop geändert wird, sind Die Benutzer bei der nächsten Anmeldung betroffen, da das Gerät dann vom Leerlauf zum aktiven Gerät wechselt. Benutzer mit Kennwörtern, die die Anforderung erfüllen, werden weiterhin aufgefordert, ihre Kennwörter zu ändern.

Verschlüsselung

  • Verschlüsselung des Datenspeichers auf einem Gerät:
    Diese Einstellung gilt für alle Laufwerke auf einem Gerät.

    • Nicht konfiguriert (Standard)
    • Erforderlich : Verwenden Sie Erforderlich , um den Datenspeicher auf Ihren Geräten zu verschlüsseln.

    DeviceStatus CSP – DeviceStatus/Compliance/EncryptionCompliance

    Hinweis

    Die Einstellung Verschlüsselung des Datenspeichers auf einem Gerät überprüft generisch, ob eine Verschlüsselung auf dem Gerät vorhanden ist, genauer gesagt auf Der Ebene des Betriebssystemlaufwerks. Derzeit unterstützt Intune nur die Verschlüsselungsprüfung mit BitLocker. Um eine stabilere Verschlüsselungseinstellung zu erreichen, sollten Sie BitLocker anfordern verwenden, das den Windows-Geräteintegritätsnachweis nutzt, um BitLocker-status auf TPM-Ebene zu überprüfen. Beachten Sie jedoch bei der Nutzung dieser Einstellung, dass möglicherweise ein Neustart erforderlich ist, bevor das Gerät als konform angezeigt wird.

Gerätesicherheit

  • Firewall:

    • Nicht konfiguriert (Standard): Intune steuert weder die Windows-Firewall noch die vorhandenen Einstellungen.
    • Erforderlich : Aktivieren Sie die Windows-Firewall, und verhindern Sie, dass Benutzer sie deaktivieren.

    Firewall-CSP

    Hinweis

    • Wenn das Gerät nach einem Neustart sofort synchronisiert wird oder das Aufwachen sofort aus dem Standbymodus synchronisiert wird, kann diese Einstellung als Fehler gemeldet werden. Dieses Szenario wirkt sich möglicherweise nicht auf die gesamte Gerätekonformität status aus. Um die Compliance-status erneut zu bewerten, synchronisieren Sie das Gerät manuell.

    • Wenn eine Konfiguration (z. B. über eine Gruppenrichtlinie) auf ein Gerät angewendet wird, das die Windows-Firewall so konfiguriert, dass sie den gesamten eingehenden Datenverkehr zulässt, oder die Firewall deaktiviert, wird durch Festlegen der Firewall auf Erforderlichnicht konform zurückgegeben, auch wenn die Intune-Gerätekonfigurationsrichtlinie Firewall aktiviert. Dies liegt daran, dass das Gruppenrichtlinienobjekt die Intune-Richtlinie überschreibt. Um dieses Problem zu beheben, empfehlen wir, alle in Konflikt stehenden Gruppenrichtlinieneinstellungen zu entfernen oder Ihre Firewall-bezogenen Gruppenrichtlinieneinstellungen zur Intune-Gerätekonfigurationsrichtlinie zu migrieren. Im Allgemeinen wird empfohlen, die Standardeinstellungen beizubehalten, einschließlich des Blockierens eingehender Verbindungen. Weitere Informationen finden Sie unter Bewährte Methoden zum Konfigurieren der Windows-Firewall.

  • Trusted Platform Module (TPM):

    • Nicht konfiguriert (Standard): Intune überprüft das Gerät nicht auf eine TPM-Chipversion.
    • Erforderlich : Intune überprüft die TPM-Chipversion auf Konformität. Das Gerät ist konform, wenn die TPM-Chipversion größer als 0 (null) ist. Das Gerät ist nicht konform, wenn keine TPM-Version auf dem Gerät vorhanden ist.

    DeviceStatus CSP – DeviceStatus/TPM/SpecificationVersion

  • Antivirus:

    • Nicht konfiguriert (Standardeinstellung): Intune überprüft nicht, ob Antivirenlösungen auf dem Gerät installiert sind.
    • Erforderlich: Überprüfen Sie die Konformität mithilfe von Antivirenlösungen, die bei Windows-Sicherheit Center registriert sind, z. B. Symantec und Microsoft Defender. Wenn diese Einstellung auf Erforderlich festgelegt ist, ist ein Gerät, auf dem die Antivirensoftware deaktiviert oder veraltet ist, nicht konform.

    DeviceStatus CSP – DeviceStatus/Antivirus/Status

  • Antispyware:

    • Nicht konfiguriert (Standard): Intune überprüft nicht, ob auf dem Gerät antispyware-Lösungen installiert sind.
    • Erforderlich: Überprüfen Sie die Konformität mithilfe von Antispywarelösungen, die bei Windows-Sicherheit Center registriert sind, z. B. Symantec und Microsoft Defender. Wenn diese Einstellung auf Erforderlich festgelegt ist, ist ein Gerät, auf dem die Antischadsoftware deaktiviert oder veraltet ist, nicht konform.

    DeviceStatus CSP – DeviceStatus/Antispyware/Status

Defender

Die folgenden Konformitätseinstellungen werden mit Windows 10/11 Desktop unterstützt.

  • Microsoft Defender Antischadsoftware:

    • Nicht konfiguriert (Standard): Intune steuert weder den Dienst noch ändert er vorhandene Einstellungen.
    • Erforderlich: Aktivieren Sie den Microsoft Defender Antischadsoftwaredienst, und verhindern Sie, dass Benutzer ihn deaktivieren.
  • Microsoft Defender Mindestversion für Antischadsoftware:
    Geben Sie die mindestens zulässige Version Microsoft Defender Antischadsoftwarediensts ein. Geben Sie beispielsweise 4.11.0.0 ein. Wenn sie leer gelassen werden, kann eine beliebige Version des Microsoft Defender Antischadsoftwarediensts verwendet werden.

    Standardmäßig ist keine Version konfiguriert.

  • Microsoft Defender Antimalware Security Intelligence auf dem neuesten Stand:
    Steuert die Windows-Sicherheit Viren- und Bedrohungsschutzupdates auf den Geräten.

    • Nicht konfiguriert (Standard): Intune erzwingt keine Anforderungen.
    • Erforderlich: Erzwingen Sie, dass die Microsoft Defender Sicherheitsintelligenz auf dem neuesten Stand ist.

    Defender CSP – Defender/Health/SignatureOutOfDate CSP

    Weitere Informationen finden Sie unter Security Intelligence-Updates für Microsoft Defender Antivirus und andere Microsoft-Antischadsoftware.

  • Echtzeitschutz:

    • Nicht konfiguriert (Standardeinstellung): Intune steuert dieses Feature nicht und ändert keine vorhandenen Einstellungen.
    • Erforderlich : Aktivieren Sie den Echtzeitschutz, der nach Schadsoftware, Spyware und anderer unerwünschter Software sucht.

    Richtlinien-CSP – Defender/AllowRealtimeMonitoring CSP

Microsoft Defender für Endpunkt

Microsoft Defender for Endpoint Regeln

Weitere Informationen zur Microsoft Defender for Endpoint Integration in Szenarien mit bedingtem Zugriff finden Sie unter Konfigurieren des bedingten Zugriffs in Microsoft Defender for Endpoint.

  • Fordern Sie an, dass das Gerät die Computerrisikobewertung oder darunter aufweist:
    Verwenden Sie diese Einstellung, um die Risikobewertung Ihrer Defense Threat Services als Bedingung für die Compliance zu verwenden. Wählen Sie die maximal zulässige Bedrohungsstufe aus:

    • Nicht konfiguriert (Standard)
    • Clear : Diese Option ist die sicherste, da das Gerät keine Bedrohungen aufweisen kann. Wenn das Gerät als bedrohungsgefährdend erkannt wird, wird es als nicht konform ausgewertet.
    • Niedrig : Das Gerät wird als konform bewertet, wenn nur Bedrohungen auf niedriger Ebene vorhanden sind. Alles, was höher ist, versetzt das Gerät in einen nicht konformen status.
    • Mittel : Das Gerät wird als konform ausgewertet, wenn vorhandene Bedrohungen auf dem Gerät niedrig oder mittel sind. Wenn für das Gerät allgemeine Bedrohungen erkannt werden, wird festgestellt, dass es nicht konform ist.
    • Hoch : Diese Option ist am wenigsten sicher und lässt alle Bedrohungsstufen zu. Dies kann hilfreich sein, wenn Sie diese Lösung nur für Berichtszwecke verwenden.

    Informationen zum Einrichten von Microsoft Defender for Endpoint als Defense Threat Service finden Sie unter Aktivieren von Microsoft Defender for Endpoint mit bedingtem Zugriff.

Windows Holographic for Business

Windows Holographic for Business verwendet die Windows 10- und höher-Plattform. Windows Holographic for Business unterstützt die folgende Einstellung:

  • Systemsicherheit>Verschlüsselung>Verschlüsselung des Datenspeichers auf dem Gerät.

Informationen zum Überprüfen der Geräteverschlüsselung auf dem Microsoft HoloLens finden Sie unter Überprüfen der Geräteverschlüsselung.

Surface Hub

Surface Hub verwendet die Windows 10- und höher-Plattform. Surface Hubs werden sowohl für Compliance als auch für bedingten Zugriff unterstützt. Um diese Features auf Surface Hubs zu aktivieren, empfiehlt es sich, die automatische Windows-Registrierung in Intune zu aktivieren (erfordert Microsoft Entra ID) und die Surface Hub-Geräte als Gerätegruppen festzulegen. Surface Hubs müssen Microsoft Entra eingebunden sein, damit Compliance und bedingter Zugriff funktionieren.

Anleitungen finden Sie unter Einrichten der Registrierung für Windows-Geräte.

Besondere Überlegungen für Surface Hubs mit Windows 10/11-Teambetriebssystem:
Surface Hubs, auf denen Windows 10/11-Teambetriebssystem ausgeführt wird, unterstützen derzeit nicht die Konformitätsrichtlinien für Microsoft Defender for Endpoint und Kennwörter. Legen Sie daher für Surface Hubs, auf denen Windows 10/11 Team Os ausgeführt wird, die folgenden beiden Einstellungen auf den Standardwert Nicht konfiguriert fest:

  • Legen Sie in der Kategorie Kennwort die Option Kennwort zum Entsperren mobiler Geräte erforderlich auf den Standardwert Nicht konfiguriert fest.

  • Legen Sie in der Kategorie Microsoft Defender for Endpoint Festlegen, dass das Gerät bei oder unter der Computerrisikobewertung sein muss auf den Standardwert Nicht konfiguriert festgelegt fest.

Nächste Schritte