Schützen von Daten und Geräten mit Microsoft Intune

  • Artikel
  • 10 Minuten Lesedauer

Microsoft Intune kann Ihnen dabei helfen, Ihre verwalteten Geräte sicher und auf dem neuesten Stand zu halten und gleichzeitig die Daten Ihrer Organisation vor kompromittierten Geräten zu schützen. Der Schutz von Daten beinhaltet die Steuerung der Aktionen, die Benutzer mit den Daten einer Organisation sowohl auf verwalteten als auch auf nicht verwalteten Geräten durchführen. Zum Schutz von Daten gehört auch das Blockieren des Zugriffs auf Daten von Geräten, die möglicherweise kompromittiert wurden.

In diesem Artikel werden viele vorgefertigte Intune-Funktionen sowie Partnertechnologien erläutert, die Sie in Intune integrieren können. Wenn Sie sich damit vertraut gemacht haben, können Sie mehrere Funktionen kombinieren, um auf Ihrer Journey zur Zero Trust-Umgebung umfassendere Lösungen zu erstellen.

Über das Microsoft Intune Admin Center unterstützt Intune verwaltete Geräte, auf denen Android, iOS/iPad, macOS und Windows 10 ausgeführt werden.

Wenn Sie Configuration Manager zur Verwaltung lokaler Geräte verwenden, können Sie Intune-Richtlinien auf diese Geräte erweitern, indem Sie Mandantenanfügung oder Co-Verwaltung konfigurieren.

Intune kann auch mit Informationen von Geräten arbeiten, die Sie mit Drittanbieterprodukten verwalten, welche Gerätekonformität und Bedrohungsschutz für Mobilgeräte bieten.

Schützen von Geräten durch Richtlinien

Stellen Sie die Intune-Richtlinien für Gerätekonfiguration und Gerätekonformität bereit, um Geräte so zu konfigurieren, dass sie die Sicherheitsziele Ihrer Organisation erfüllen. Richtlinien unterstützen ein oder mehrere Profile. Dabei handelt es sich um separate Sätze plattformspezifischer Regeln, die Sie für Gruppen registrierter Geräte bereitstellen.

  • Mithilfe von Gerätekonfigurationsrichtlinien verwalten Sie Profile zur Definition der Einstellungen und Features, die Geräte in Ihrer Organisation verwenden. Konfigurieren Sie beispielsweise Geräte für Endpoint Protection, stellen Sie Zertifikate für die Authentifizierung bereit, oder legen Sie das Verhalten von Softwareupdates fest.

  • Mit Gerätekonformitätsrichtlinien erstellen Sie Profile für verschiedene Geräteplattformen, die Geräteanforderungen festlegen. Zu den Anforderungen gehören beispielsweise Betriebssystemversionen, die Verwendung der Datenträgerverschlüsselung oder die Einstufung in bestimmte Bedrohungsstufen, die von der Bedrohungsverwaltungssoftware definiert werden.

    Intune kann Geräte schützen, die nicht mit Ihren Richtlinien konform sind, und den Gerätebenutzer warnen, damit er die Konformität des Geräts herstellen kann.

    Wenn Sie der Lösung den bedingten Zugriff hinzufügen, konfigurieren Sie Richtlinien, die nur konformen Geräten den Zugriff auf Ihre Netzwerk- und Organisationsressourcen ermöglichen. Zugriffseinschränkungen können Dateifreigaben und Unternehmens-E-Mails umfassen. Richtlinien für bedingten Zugriff funktionieren auch mit den Gerätestatusdaten, die von in Intune integrierten Drittanbieter-Gerätekonformitätspartnern gemeldet werden.

Im Folgenden finden Sie einige der Sicherheitseinstellungen und -aufgaben, die Sie mithilfe der Geräterichtlinie verwalten können:

  • Geräteverschlüsselung:: Verwalten Sie BitLocker auf Windows 10-Geräten und FileVault unter macOS.

  • Authentifizierungsmethoden: Konfigurieren Sie, wie sich Ihre Geräte bei Ressourcen, E-Mail und Anwendungen Ihrer Organisation authentifizieren.

    • Verwenden Sie Zertifikate für die Authentifizierung bei Anwendungen, bei Ressourcen Ihrer Organisation sowie zur Signierung und Verschlüsselung von E-Mails mithilfe von S/MIME. Sie können auch abgeleitete Anmeldeinformationen einrichten, wenn Ihre Umgebung die Verwendung von Smartcards erfordert.

    • Konfigurieren Sie Einstellungen, die zur Risikobegrenzung beitragen. Beispiele:

      • Fordern Sie die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) an, um eine zusätzliche Authentifizierungsebene für Benutzer hinzuzufügen.
      • Legen Sie die PIN- und Kennwortanforderungen fest, die erfüllt werden müssen, um Zugriff auf Ressourcen zu erhalten.
      • Aktivieren Sie Windows Hello for Business für Windows 10-Geräte.

  • Virtuelle private Netzwerke (VPNs): Weisen Sie Geräten mithilfe von VPN-Profilen VPN-Einstellungen zu, damit diese problemlos eine Verbindung mit dem Netzwerk Ihrer Organisation herstellen können. Intune unterstützt mehrere VPN-Verbindungstypen und Apps, die sowohl integrierte Funktionen für einige Plattformen als auch VPN-Apps von Erst- und Drittanbietern für Geräte enthalten.

  • Softwareupdates: Verwalten Sie, wie und wann Geräte Softwareupdates erhalten.

    • Verwalten Sie für iOS die Versionen von Gerätebetriebssystemen sowie die Zeiten, zu denen Geräte nach Updates suchen und diese installieren.
    • Für Windows 10 können Sie die Windows Update-Funktionalität für Geräte verwalten. Sie können beispielsweise konfigurieren, wann Geräte Updates suchen oder installieren, oder eine Gruppe Ihrer verwalteten Geräte auf einer bestimmten Featureversion beibehalten.

  • Sicherheitsbaselines: Stellen Sie Sicherheitsbaselines bereit, um auf Ihren Windows 10-Geräten einen Kernsicherheitsstatus einzurichten. Sicherheitsbaselines sind vorkonfigurierte Gruppen von Windows-Einstellungen, die von den maßgeblichen Produktteams empfohlen werden. Sie können Baselines wie bereitgestellt verwenden oder Instanzen bearbeiten, sodass sie Ihren Sicherheitszielen für Gerätezielgruppen entsprechen.

Schützen von Daten durch Richtlinien

Mit Intune verwaltete Apps und die App-Schutzrichtlinien von Intune können dazu beitragen, Datenlecks zu verhindern und die Daten Ihrer Organisation zu schützen. Diese Schutzmaßnahmen können auf bei Intune registrierte Geräte wie auch auf nicht registrierte Geräte angewendet werden.

  • Von Intune verwaltete Apps (oder kurz: verwaltete Apps) sind Apps, die in das Intune App SDK integriert oder vom Intune App Wrapping Tool umschlossen wurden. Diese Apps können mithilfe von Intune-App-Schutzrichtlinien verwaltet werden. Eine Liste der öffentlich verfügbaren verwalteten Apps finden Sie unter Durch Intune geschützte Apps.

    Benutzer können verwaltete Apps verwenden, um sowohl mit den Daten Ihrer Organisation als auch mit ihren eigenen persönlichen Daten zu arbeiten. Wenn App-Schutzrichtlinien jedoch die Verwendung einer verwalteten App erfordern, ist die verwaltete App die einzige App, die für den Zugriff auf die Daten Ihrer Organisation verwendet werden kann. App-Schutzregeln gelten nicht für die persönlichen Daten eines Benutzers.

  • App-Schutzrichtlinien sind Regeln, die sicherstellen, dass die Daten einer Organisation in einer verwalteten App jederzeit sicher sind und dort verbleiben. Die Regeln identifizieren die verwaltete App, die verwendet werden muss, und definieren, was mit den Daten geschehen kann, solange die App verwendet wird.

Im Folgenden finden Sie Beispiele für Schutz und Einschränkungen, die Sie mit App-Schutzrichtlinien und verwalteten Apps festlegen können:

  • Konfigurieren Sie den Schutz auf App-Ebene, z. B. eine PIN, die zum Öffnen einer App in einem Arbeitskontext erforderlich ist.
  • Steuern Sie die Freigabe der Daten einer Organisation zwischen Apps auf einem Gerät, z. B. das Blockieren der Kopier- und Einfügefunktion oder von Bildschirmaufnahmen.
  • Verhindern Sie das Speichern der Daten Ihrer Organisation an persönlichen Speicherorten.

Verwenden von Geräteaktionen zum Schützen von Geräten und Daten

Im Microsoft Intune Admin Center können Sie Geräteaktionen ausführen, die dazu beitragen, ein ausgewähltes Gerät zu schützen. Sie können eine Teilmenge dieser Aktionen als Massengeräteaktionen ausführen, die sich auf mehrere Geräte gleichzeitig auswirken. Außerdem können mehrere Remoteaktionen von Intune auch für gemeinsam verwaltete Geräte verwendet werden.

Geräteaktionen sind keine Richtlinien und werden bei Aufruf nur einmal wirksam. Sie gelten entweder sofort, falls das Gerät online zugänglich ist, oder wenn das Gerät das nächste Mal gestartet wird oder sich bei Intune eincheckt. Betrachten Sie diese Aktionen als Ergänzung zur Verwendung von Richtlinien, die Sicherheitskonfigurationen für einen Bestand von Geräten konfigurieren und verwalten.

Im Folgenden finden Sie Beispiele für Aktionen, die Sie ausführen können, um Geräte und Daten zu schützen:

Von Intune verwaltete Geräte:

  • BitLocker-Schlüsselrotation (nur Windows)
  • Deaktivieren der Aktivierungssperre (nur iOS)
  • Vollständige oder Schnellüberprüfung (nur Windows 10)
  • Remotesperre
  • Außerbetriebnahme (die Daten Ihrer Organisation werden vom Gerät entfernt, während personenbezogene Daten intakt bleiben)
  • Aktualisierung von Microsoft Defender-Sicherheitsinformationen
  • Zurücksetzen (das Gerät wird auf die Werkseinstellungen zurückgesetzt, und alle Daten, Apps und Einstellungen werden entfernt)

Von Configuration Manager verwaltete Geräte:

  • Zurückziehen
  • Wischen
  • Synchronisierung (erzwingt, dass ein Gerät sich sofort bei Intune eincheckt, um neue Richtlinien oder ausstehende Aktionen zu finden)

Integration in andere Produkte

Intune unterstützt die Integration von Partner-Apps aus Erst- und Drittanbieterquellen, die die integrierten Funktionen erweitern. Sie können Intune auch in mehrere Microsoft-Technologien integrieren.

Partnertechnologien

Intune kann Daten von integrierten Konformitätspartnern und Mobile Threat Defense-Partnern verwenden:

  • Konformitätspartner: Erfahren Sie mehr über Gerätekonformitätspartner mit Intune. Wenn Sie ein Gerät statt über Intune mithilfe eines anderen Partners zur Verwaltung mobiler Geräte verwalten, können Sie die zugehörigen Konformitätsdaten in Azure Active Directory integrieren. Nach der Integration können Richtlinien für bedingten Zugriff die Partnerdaten zusammen mit Konformitätsdaten aus Intune verwenden.

  • Mobile Threat Defense: Mobile Threat Defense-Apps können Geräte auf Bedrohungen überprüfen und Ihnen helfen, das Risiko zu ermitteln, das sich aus dem Zulassen des Gerätezugriffs auf die Ressourcen und Daten Ihrer Organisation ergibt. Anschließend können Sie diese Risikostufe in verschiedenen Richtlinien wie z. B. Richtlinien für bedingten Zugriff verwenden, um den Zugriff auf diese Ressourcen zu schützen.

Configuration Manager

Sie können viele Intune-Richtlinien und Geräteaktionen verwenden, um die mithilfe von Configuration Manager verwalteten Geräte zu schützen. Um diese Geräte zu unterstützen, konfigurieren Sie die Co-Verwaltung oder Mandantenanfügung. Sie können auch beides zusammen mit Intune verwenden.

  • Über die Co-Verwaltung können Sie Windows 10-Geräte mit Configuration Manager und Intune gleichzeitig verwalten. Sie installieren den Configuration Manager-Client und registrieren das Gerät bei Intune. Das Gerät kommuniziert mit beiden Diensten.

  • Mandantenanfügung richtet die Synchronisierung zwischen Ihrer Configuration Manager-Site und Ihrem Intune-Mandanten ein. Diese Synchronisierung bietet Ihnen eine einzige Ansicht für alle Geräte, die Sie mit Microsoft Intune verwalten.

Nachdem sie eine Verbindung zwischen Intune und Configuration Manager hergestellt haben, sind Geräte aus Configuration Manager im Microsoft Intune Admin Center verfügbar. Anschließend können Sie Intune-Richtlinien für diese Geräte bereitstellen oder Geräteaktionen verwenden, um sie zu schützen.

Unter anderem können Sie folgende Schutzfunktionen anwenden:

  • Bereitstellung von Zertifikaten für Geräte durch Verwendung von Intune-SCEP- (Simple Certificate Enrollment-Protokoll) oder PKCS-Zertifikatprofilen (Private and Public Key Pair, Paar aus privatem und öffentlichem Schlüssel)
  • Verwenden einer Konformitätsrichtlinie
  • Verwenden von Endpunktsicherheitsrichtlinien wie Antivirus, Endpunkterkennung und -reaktion sowie Firewallregeln
  • Anwenden von Sicherheitsbaselines
  • Verwalten von Windows-Updates

Mobile Threat Defense-Apps

Mobile Threat Defense-Apps (MTD) überprüfen und analysieren Geräte aktiv auf Bedrohungen. Wenn Sie Mobile Threat Defense-Apps in Intune integrieren (verbinden) möchten, erhalten Sie die App-Bewertung einer Gerätebedrohungsstufe. Die Auswertung einer Gerätebedrohungsstufe ist ein wichtiges Tool zum Schutz der Ressourcen Ihrer Organisation vor kompromittierten mobilen Geräten.

Verwenden Sie Daten auf Bedrohungsebene mit Richtlinien für Gerätekonformität, App-Schutz und bedingten Zugriff. Diese Richtlinien verwenden die Daten, um nicht konforme Geräte am Zugriff auf die Ressourcen Ihrer Organisation zu hindern.

Gehen Sie mit einer integrierten MTD-App folgendermaßen vor:

  • Für registrierte Geräte:

    • Verwenden Sie Intune, um die MTD-App auf Geräten bereitzustellen und dann zu verwalten.
    • Stellen Sie Gerätekonformitätsrichtlinien bereit, die die gemeldete Gerätebedrohungsstufe zur Konformitätsauswertung verwenden.
    • Definieren Sie Richtlinien für bedingten Zugriff, die eine Gerätebedrohungsstufe berücksichtigen.
    • Definieren Sie App-Schutzrichtlinien, um basierend auf der Bedrohungsstufe des Geräts festzulegen, wann der Zugriff auf Daten blockiert oder zugelassen werden soll.

  • Bei Geräten, die sich nicht bei Intune registrieren, aber eine in Intune integrierte MTD-App ausführen, verwenden Sie die zugehörigen Daten auf Bedrohungsebene für Ihre App-Schutzrichtlinien, um den Zugriff auf die Daten Ihrer Organisation zu blockieren.

Intune unterstützt die Integration in:

Microsoft Defender für Endpunkt

Als eigenständiges Tool bietet Microsoft Defender für Endpunkt mehrere sicherheitsbezogene Vorteile. Microsoft Defender für Endpunkt kann auch in Intune integriert werden und wird auf mehreren Geräteplattformen unterstützt. Mit der Integration erhalten Sie eine Mobile Threat Defense-App und fügen Intune Funktionen zum Schutz von Daten und Geräten hinzu. Zu diesen Leistungsbereichen gehören folgende:

  • Unterstützung für Microsoft Tunnel: Auf Android-Geräten ist Microsoft Defender für Endpunkt die Clientanwendung, die Sie mit Microsoft Tunnel verwenden, einer VPN-Gatewaylösung für Intune. Bei Verwendung als Microsoft Tunnel-Client-App benötigen Sie kein Abonnement für Microsoft Defender für Endpunkt.

  • Sicherheitsaufgaben: Anhand von Sicherheitsaufgaben können Intune-Administratoren die Funktionen zur Verwaltung von Bedrohungen und Sicherheitsrisiken von Microsoft Defender für Endpunkt nutzen. Funktionsweise:

    • Ihr Defender für Endpunkt-Team identifiziert gefährdete Geräte und erstellt die Sicherheitsaufgaben für Intune im Security Center von Defender für Endpunkt.
    • Diese Aufgaben werden in Intune zusammen mit Tipps zur Entschärfung angezeigt, die Intune-Administratoren zum Verringern des Risikos einsetzen können.
    • Wenn eine Aufgabe in Intune aufgelöst wird, wird dieser Status an das Security Center von Defender für Endpunkt zurückgegeben. Dort können die Ergebnisse der Entschärfung ausgewertet werden.

  • Endpunktsicherheitsrichtlinien: Die folgenden Intune-Endpunktsicherheitsrichtlinien erfordern die Integration in Microsoft Defender für Endpunkt. Wenn Sie die Mandantenanfügung verwenden, können Sie diese Richtlinen für Geräte bereitstellen, die Sie mit Intune oder Configuration Manager verwalten.

    • Antivirenrichtlinie: Verwalten Sie die Einstellungen für Microsoft Defender Antivirus und die Windows-Sicherheit Auf unterstützten Geräten wie Windows 10 und macOS.

    • Endpunkterkennungs- und -reaktionsrichtlinie: Verwenden Sie diese Richtlinie, um Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR) zu konfigurieren. Dies ist eine Funktion von Microsoft Defender für Endpunkt.

Bedingter Zugriff

Bedingter Zugriff ist eine Azure Active Directory-Funktion (Azure AD), die mit Intune arbeitet, um Geräte zu schützen. Für Geräte, die sich bei Azure AD registrieren, können Richtlinien für bedingten Zugriff Geräte- und Konformitätsdetails aus Intune verwenden, um Zugriffsentscheidungen für Benutzer und Geräte zu erzwingen.

Richtlinie für bedingten Zugriff können mit folgenden Richtlinien kombiniert werden:

  • Gerätekonformitätsrichtlinien können erfordern, dass ein Gerät als konform markiert sein muss, damit dieses Gerät für den Zugriff auf die Ressourcen Ihrer Organisation verwendet werden kann. Eine Richtlinie für bedingten Zugriff gibt Apps oder Dienste an, die Sie schützen möchten, die Bedingungen, unter denen auf die Apps oder Dienste zugegriffen werden kann, und die Benutzer, auf die die Richtlinie zutrifft.

  • App-Schutz Richtlinien können eine Sicherheitsebene hinzufügen, die sicherstellt, dass nur Client-Apps, die Intune App-Schutzrichtlinien unterstützen, auf Ihre Onlineressourcen wie Exchange oder andere Microsoft 365-Dienste zugreifen können.

Der bedingte Zugriff funktioniert auch mit folgenden Komponenten, um die Sicherheit von Geräten zu gewährleisten:

  • Microsoft Defender für Endpunkt- und Drittanbieter-MTD-Apps
  • Gerätekonformitätspartner-Apps
  • Microsoft Tunnel

Nächste Schritte

Planen Sie die Verwendung von Intune-Funktionen für den Schutz Ihrer Daten und Geräte, um Ihre Journey zur Zero Trust-Umgebung zu unterstützen. Um über die vorherigen Inlinelinks hinaus mehr über diese Funktionen zu erfahren, informieren Sie sich über Datensicherheit und -freigabe in Intune.