Erstellen einer Konformitätsrichtlinie in Microsoft Intune

Konformitätsrichtlinien für Geräte sind ein wichtiges Feature bei der Verwendung von Intune, um die Ressourcen Ihrer Organisation zu schützen. Sie können in Intune Regeln und Einstellungen erstellen, die Geräte erfüllen müssen, um als konform angesehen zu werden, z. B. die mindestens erforderliche Betriebssystemversion. Wenn das Gerät nicht konform ist, können Sie dann den Zugriff auf Daten und Ressourcen mit bedingtem Zugriff blockieren.

Sie können auch Maßnahmen ergreifen, sollte das Gerät nicht konform sein, z. B. eine Benachrichtigungs-E-Mail an den Benutzer senden. Eine Übersicht der Funktionsweise von Konformitätsrichtlinie und wie Sie diese verwenden können, finden Sie unter Erste Schritte mit den Gerätekonformitätsrichtlinien in Intune.

Inhalt dieses Artikels:

  • Liste der Voraussetzungen und Schritte zum Erstellen einer Konformitätsrichtlinie.
  • Zuweisen der Richtlinie an einen Benutzer und an eine Gerätegruppe.
  • Beschreibung zusätzlicher Funktionen, u. a. Bereichstags zum „Filtern“ Ihrer Richtlinien, und möglicher Maßnahmen für Geräte, die nicht konform sind.
  • Liste der Check-In-Aktualisierungszykluszeiten, wenn Geräte Richtlinienaktualisierungen erhalten.

Bevor Sie beginnen

Stellen Sie zum Verwenden von Konformitätsrichtlinien folgendes sicher:

  • Verwenden Sie folgende Abonnements:

    • Intune
    • Wenn Sie den bedingten Zugriff verwenden, benötigen Sie Microsoft Entra ID P1- oder P2-Edition. Microsoft Entra Preise listet auf, was Sie mit den verschiedenen Editionen erhalten. Die Intune-Compliance erfordert keine Microsoft Entra ID.
  • Verwenden Sie eine unterstützte Plattform:

    • Android-Geräteadministrator
    • Android AOSP
    • Android für Unternehmen
    • iOS
    • Linux : Ubuntu Desktop, Version 20.04 LTS und 22.04 LTS
    • macOS
    • Windows 10/11

Wichtig

Microsoft Intune endet am 30. August 2024 die Unterstützung für die Verwaltung von Android-Geräteadministratoren auf Geräten mit Zugriff auf Google Mobile Services (GMS). Nach diesem Datum sind geräteregistrierung, technischer Support, Fehlerbehebungen und Sicherheitskorrekturen nicht mehr verfügbar. Wenn Sie derzeit die Geräteadministratorverwaltung verwenden, empfiehlt es sich, zu einer anderen Android-Verwaltungsoption in Intune zu wechseln, bevor der Support endet. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.

  • Registrieren Sie Geräte in Intune (nur dann können Sie den Konformitätsstatus ermitteln).

  • Registrieren Sie Geräte für einen Benutzer oder registrieren Sie ohne einen Hauptbenutzer. Einzelne Geräte können nicht für mehrere Benutzer registriert werden.

Zusätzlich zu den in Intune integrierten Konformitätseinstellungen unterstützen die folgenden Plattformen das Hinzufügen benutzerdefinierter Konformitätseinstellungen zu Konformitätsrichtlinien:

  • Ubuntu Desktop, Version 20.04 LTS und 22.04 LTS
  • Windows 10/11

Bevor Sie benutzerdefinierte Einstellungen hinzufügen können, müssen Sie eine benutzerdefinierte JSON-Datei vorbereiten, die die Einstellungen definiert, auf denen Ihre benutzerdefinierte Konformität basieren soll, und ein Skript, das auf Geräten ausgeführt wird, um die im JSON definierten Einstellungen zu erkennen.

Weitere Informationen zur Verwendung von benutzerdefinierten Konformitätseinstellungen, einschließlich unterstützter Plattformen, Voraussetzungen und zum Konfigurieren der Kategorie Benutzerdefinierte Kompatibilität beim Erstellen einer Richtlinie, finden Sie unter Verwenden benutzerdefinierter Konformitätseinstellungen.

Erstellen der Richtlinie

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wechseln Sie zuGerätekonformität>, und wählen Sie Richtlinie erstellen aus.

  3. Wählen Sie aus den folgenden Optionen eine Plattform für diese Richtlinie aus:

    • Android-Geräteadministrator
    • Android (AOSP)
    • Android für Unternehmen
    • iOS/iPadOS
    • Linux : (Ubuntu Desktop, Version 20.04 LTS und 22.04 LTS)
    • macOS
    • Windows 8.1 und höher
    • Windows 10 und höher

    Für Android Enterprise können Sie auch einen Richtlinientyp auswählen:

    • Vollständig verwaltet
    • Dediziert
    • Unternehmenseigenes Arbeitsprofil
    • Persönliches Arbeitsprofil

    Wählen Sie dann Erstellen aus, um das Konfigurationsfenster Richtlinie erstellen zu öffnen.

  4. Geben Sie auf der Registerkarte Grundlagen einen Namen an, um die Richtlinie später identifizieren zu können. Ein geeigneter Richtlinienname ist z. B. iOS/iPadOS-Geräte mit Jailbreak als nicht konform markieren.

    Sie können auch eine Beschreibung angeben.

  5. Erweitern Sie auf der Registerkarte Konformitätseinstellungen die verfügbaren Kategorien, und konfigurieren Sie Einstellungen für Ihre Richtlinie. In den folgenden Artikeln werden die verfügbaren Konformitätseinstellungen für die einzelnen Plattformen beschrieben:

  6. Hinzufügen von benutzerdefinierten Einstellungen zu Richtlinien für unterstützte Plattformen.

    Tipp

    Dies ist ein optionaler Schritt, der nur für die folgenden Plattformen unterstützt wird:

    • Linux : Ubuntu Desktop, Version 20.04 LTS und 22.04 LTS
    • Windows 10/11 Bevor Sie einer Richtlinie benutzerdefinierte Einstellungen hinzufügen können, müssen Sie ein Erkennungsskript in Intune hochgeladen haben und eine JSON-Datei bereit haben, die die Einstellungen definiert, die Sie für die Konformität verwenden möchten. Weitere Informationen finden Sie unter Benutzerdefinierte Konformitätseinstellungen.

    Erweitern Sie auf der Seite Kompatibilitätseinstellungen die Kategorie Benutzerdefinierte Kompatibilität :

    Für Windows:

    1. Erweitern Sie auf der Seite Kompatibilitätseinstellungendie Option Benutzerdefinierte Konformität , und legen Sie Benutzerdefinierte Konformität auf Erforderlich fest.
    2. Wählen Sie unter Ermittlungsskript auswählen die Option Zum Auswählen klicken aus, und geben Sie dann ein Skript an, das zuvor dem Microsoft Intune Admin Center hinzugefügt wurde. Dieses Skript muss hochgeladen worden sein, bevor Sie mit dem Erstellen der Richtlinie beginnen.
    3. Wählen Sie für Hochladen und Überprüfen der JSON-Datei mit Ihren benutzerdefinierten Konformitätseinstellungen das Ordnersymbol aus, suchen Sie die JSON-Datei für Windows, die Sie mit dieser Richtlinie verwenden möchten, und fügen Sie sie hinzu. Hilfe zum JSON-Code finden Sie unter Erstellen eines JSON-Codes für benutzerdefinierte Konformitätseinstellungen.

    Für Linux:

    1. Wählen Sie auf der Seite Kompatibilitätseinstellungendie Option Einstellungen hinzufügen aus, um den Bereich Einstellungsauswahl zu öffnen.
    2. Wählen Sie Benutzerdefinierte Konformität und dann 8 aus.
    3. Wählen Sie zurück auf der Seite Kompatibilitätseinstellungen die Umschaltfläche für Benutzerdefinierte Konformität erforderlich aus, um sie in True zu ändern.
    4. Wählen Sie für Ermittlungsskript auswählen die Option Wiederverwendbare Einstellungen festlegen aus, und geben Sie dann ein Skript an, das zuvor dem Microsoft Intune Admin Center hinzugefügt wurde. Dieses Skript muss hochgeladen worden sein, bevor Sie mit dem Erstellen der Richtlinie beginnen.
    5. Wählen Sie für Regeldatei auswählen das Ordnersymbol aus, und suchen Sie dann die JSON-Datei für Linux, die Sie mit dieser Richtlinie verwenden möchten, und fügen Sie sie hinzu. Hilfe zum JSON-Code finden Sie unter Erstellen eines JSON-Codes für benutzerdefinierte Konformitätseinstellungen.

    Der eingegebene JSON-Code wird überprüft, und alle Probleme werden angezeigt. Nach der Überprüfung des JSON-Inhalts werden die Regeln aus dem JSON-Code im Tabellenformat angezeigt.

  7. Geben Sie auf der Registerkarte Aktionen bei Nichtkonformität eine Reihe von Aktionen an, die automatisch auf Geräte angewendet werden, die diese Konformitätsrichtlinie nicht erfüllen.

    Sie können mehrere Aktionen hinzufügen und Zeitpläne sowie weitere Details für einige Aktionen konfigurieren. Sie können beispielsweise den Zeitplan der Standardaktion Gerät als nicht konform markieren so ändern, dass die Aktion nach einem Tag ausgeführt wird. Dann können Sie eine Aktion hinzufügen, mit der eine E-Mail mit einer Warnung an den Benutzer gesendet wird, wenn ein Gerät nicht konform ist. Sie können auch Aktionen hinzufügen, die Geräte sperren oder außer Betrieb nehmen, die nicht konform bleiben.

    Informationen zu den Aktionen, die Sie konfigurieren können – z. B. zum Senden von Benachrichtigungs-E-Mails an Ihre Benutzer –, finden Sie unter Aktionen für nicht konforme Geräte hinzufügen.

    Ein anderes Beispiel ist die Verwendung von Standorten: Sie können einer Konformitätsrichtlinie mindestens einen Standort hinzufügen. In diesem Fall gilt die Standardaktion für Nichtkonformität, wenn Sie mindestens einen Standort auswählen. Wenn ein Gerät nicht mit einem der ausgewählten Standorte verbunden ist, wird es als nicht konform betrachtet. Sie können den Zeitplan so konfigurieren, dass Ihren Benutzern eine Toleranzperiode eingeräumt wird (z.B. ein Tag).

  8. Wählen Sie auf der Registerkarte Bereich Tags aus, mit denen die Richtlinien für bestimmte Gruppen gefiltert werden können, wie etwa US-NC IT Team oder JohnGlenn_ITDepartment. Nachdem Sie die Einstellungen hinzugefügt haben, können Sie Ihrer Konformitätsrichtlinie ebenfalls eine Bereichsmarkierung hinzufügen.

    Weitere Informationen zur Verwendung von Bereichstags finden Sie unter Verwenden von Bereichsmarkierungen.

  9. Weisen Sie die Richtlinie auf der Registerkarte Zuweisungen Ihren Gruppen zu.

Klicken Sie auf + Einzuschließende Gruppen auswählen, und weisen Sie die Richtlinie einer oder mehreren Gruppen zu. Die Richtlinie wird auf diese Gruppen angewendet, wenn Sie die Richtlinie nach dem nächsten Schritt speichern.

Richtlinien für Linux unterstützen keine benutzerbasierten Zuweisungen und können nur Gerätegruppen zugewiesen werden.

  1. Überprüfen Sie die Einstellungen auf der Registerkarte Überprüfen + erstellen, und klicken Sie auf Erstellen, um die Konformitätsrichtlinie zu speichern.

    Die Benutzer oder Geräte, für die Ihre Richtlinie gilt, werden hinsichtlich der Konformität ausgewertet, wenn sie mit Intune eingecheckt werden.

Aktualisierungszykluszeit

Intune verwendet verschiedene Aktualisierungszyklen, um nach Updates der Konformitätsrichtlinien zu suchen. Wenn ein Gerät vor Kurzem registriert wurde, wird der Check-In häufiger durchgeführt. Unter Richtlinien- und Profilaktualisierungszyklen werden die geschätzten Aktualisierungszeiten aufgeführt.

Benutzer können jederzeit die Unternehmensportal-App öffnen und das Gerät synchronisieren, um sofort nach Richtlinienupdates zu suchen.

Zuweisung eines InGracePeriod-Status

Der InGracePeriod-Status für eine Konformitätsrichtlinie ist ein Wert. Der Wert wird durch die Kombination der Toleranzperiode eines Geräts und dem tatsächlichen Status eines Geräts in Bezug auf diese Konformitätsrichtlinie ermittelt.

Im Detail bedeutet das: Wenn ein Gerät den Status „NonCompliant“ für eine zugewiesene Richtlinie aufweist und:

  • dem Gerät keine Toleranzperiode zugewiesen ist, dann ist der zugewiesene Wert für die Konformitätsrichtlinie „NonCompliant“.
  • die Toleranzperiode des Geräts abgelaufen ist, dann lautet der zugewiesene Wert für die Konformitätsrichtlinie „NonCompliant“.
  • die Toleranzperiode des Geräts erst in der Zukunft abläuft, lautet der zugewiesene Wert für die Konformitätsrichtlinie „InGracePeriod“.

In der folgenden Tabelle werden diese Punkte zusammengefasst:

Tatsächlicher Konformitätsstatus Wert der zugewiesenen Toleranzperiode Effektiver Konformitätsstatus
NonCompliant Keine Toleranzperiode zugewiesen NonCompliant
NonCompliant Datum des Vortags NonCompliant
NonCompliant Datum des folgenden Tags InGracePeriod

Weitere Informationen zum Überwachen der Richtlinien zur Gerätekonformität finden Sie unter Überwachen von Intune-Richtlinien zur Gerätekonformität.

Zuweisen eines resultierenden Konformitätsrichtlinienstatus

Wenn ein Gerät mehrere Konfigurationsprofile hat und es über verschiedene Konformitätsstatus für mindestens zwei zugeordnete Konformitätsprofile verfügt, wird genau ein resultierender Konformitätsstaus zugewiesen. Diese Zuweisung basiert auf einem konzeptuellen Schweregrad, der den einzelnen Konformitätsstatus zugewiesen ist. Jeder Konformitätsstatus verfügt über den folgenden Schweregrad:

Status Severity
Unbekannt 1
NotApplicable 2
Kompatible 3
InGracePeriod 4
NonCompliant 5
Fehler 6

Hat ein Gerät mehrere Konformitätsrichtlinien, so wird dem Gerät der höchste Schweregrad aller Richtlinien zugewiesen.

Angenommen, einem Gerät sind z. B. drei Konformitätsrichtlinien zugewiesen: ein Status „Unknown“ (Unbekannt, Schweregrad = 1), ein Status „Compliant“ (Konform, Schweregrad = 3) und ein Status „InGracePeriod“ (Befristet, Schweregrad = 4). Der Status „InGracePeriod“ (Befristet) hat den höchsten Schweregrad. Deshalb haben alle drei Richtlinien den Konformitätsstatus „InGracePeriod“ (Befristet).

Nächste Schritte

Überwachen von Intune-Richtlinien zur Gerätekompatibilität.