Share via


Verwalten von Geräten mit Intune – Übersicht

Eine Kernkomponente der Sicherheit auf Unternehmensebene ist das Verwalten und Schützen von Geräten. Unabhängig davon, ob Sie eine Zero Trust-Sicherheitsarchitektur erstellen, Ihre Umgebung vor Ransomware härten oder Schutzmaßnahmen zur Unterstützung von Remotemitarbeitern aufbauen, die Verwaltung von Geräten ist Bestandteil der Strategie. Obwohl Microsoft 365 mehrere Tools und Methoden zum Verwalten und Schützen von Geräten enthält, werden in diesem Leitfaden die Empfehlungen von Microsoft mithilfe von Microsoft Intune erläutert. Dies ist der richtige Leitfaden für Sie, wenn Sie:

  • Planen Sie die Registrierung von Geräten bei Intune über Microsoft Entra Join (einschließlich Microsoft Entra Hybrid join).
  • Planen, Geräte manuell bei Intune zu registrieren.
  • Erlauben Sie BYOD-Geräten mit Plänen, Schutz für Apps und Daten zu implementieren, und/oder registrieren Sie diese Geräte bei Intune.

Wenn Ihre Umgebung pläne für die Co-Verwaltung einschließlich Microsoft Configuration Manager enthält, lesen Sie die Dokumentation zur Co-Verwaltung, um den besten Pfad für Ihre organization zu entwickeln. Wenn Ihre Umgebung Pläne für Windows 365 Cloud-PC enthält, lesen Sie die Windows 365 Enterprise-Dokumentation, um den besten Weg für Ihre Organisation zu entwickeln.

Schauen Sie sich dieses Video an, um einen Überblick über den Bereitstellungsprozess zu erhalten.

Warum Endpunkte verwalten?

Das moderne Unternehmen verfügt über eine unglaubliche Vielfalt von Endpunkten, die auf ihre Daten zugreifen. Dieses Setup erstellt eine riesige Angriffsfläche, und somit können Endpunkte leicht zum schwächsten Glied in Ihrer Zero Trust-Sicherheitsstrategie werden.

Vor allem aus der Notwendigkeit heraus, weil sich die Welt zu einem Remote- oder Hybridarbeitsmodell verlagerte, arbeiten Benutzer von überall und von jedem Gerät aus, mehr als je zuvor in der Geschichte. Angreifer passen ihre Taktiken schnell an, um diese Änderung auszunutzen. Viele Organisationen sehen sich bei der Bewältigung dieser neuen geschäftlichen Herausforderungen mit eingeschränkten Ressourcen konfrontiert. Nahezu über Nacht haben Unternehmen die digitale Transformation beschleunigt. Einfach gesagt, die Art und Weise, wie Menschen arbeiten, hat sich verändert. Wir erwarten nicht mehr, nur aus dem Büro und auf unternehmenseigenen Geräten auf die unzähligen Unternehmensressourcen zuzugreifen.

Das Gewinnen von Sichtbarkeit in die Endpunkte, die auf Ihre Unternehmensressourcen zugreifen, ist der erste Schritt in Ihrer Zero Trust-Gerätestrategie. In der Regel schützen Unternehmen PCs proaktiv vor Sicherheitsrisiken und Angriffen, während mobile Geräte häufig nicht überwacht werden und über keine Schutzmaßnahmen verfügen. Um sicherzustellen, dass Sie Ihre Daten nicht einem Risiko aussetzen, müssen wir jeden Endpunkt auf Risiken überwachen und präzise Zugriffssteuerungen verwenden, um die entsprechende Zugriffsebene basierend auf der Unternehmensrichtlinie bereitzustellen. Wenn beispielsweise ein persönliches Gerät per Jailbreak gehackt wurde, können Sie den Zugriff blockieren, um sicherzustellen, dass Unternehmensanwendungen nicht bekannten Sicherheitsrisiken ausgesetzt sind.

Diese Artikelreihe führt Sie durch einen empfohlenen Prozess zum Verwalten von Geräten, die auf Ihre Ressourcen zugreifen. Wenn Sie die empfohlenen Schritte befolgen, erreicht Ihr Unternehmen einen sehr ausgefeilten Schutz für Ihre Geräte und die Ressourcen, auf welche die Geräte zugreifen.

Implementieren der Schutzebenen auf und für Geräte

Der Schutz der Daten und Apps auf Geräten und der Geräte selbst ist ein mehrschichtiger Prozess. Es gibt einige Schutzmaßnahmen, die Sie auf nicht verwalteten Geräten ergreifen können. Nachdem Sie Geräte für die Verwaltung registriert haben, können Sie komplexere Kontrollen implementieren. Wenn der Bedrohungsschutz über Ihre Endpunkte hinweg bereitgestellt wird, erhalten Sie noch mehr Erkenntnisse und die Möglichkeit, einige Angriffe automatisch abzuwehren. Wenn Ihr organization die Arbeit in das Identifizieren vertraulicher Daten, das Anwenden von Klassifizierungen und Bezeichnungen und das Konfigurieren Microsoft Purview Data Loss Prevention Richtlinien ausgeführt hat, können Sie einen noch präziseren Schutz für Daten auf Ihren Endpunkten erzielen.

Das folgende Diagramm veranschaulicht Bausteine, um einen Zero Trust-Sicherheitsstatus für Microsoft 365- und andere SaaS-Apps zu erreichen, die Sie in diese Umgebung einführen. Die Elemente, die sich auf Geräte beziehen, sind von 1 bis 7 nummeriert. Geräteadministratoren stimmen sich mit anderen Administratoren ab, um diese Schutzebenen zu erreichen.

Desc.

In dieser Abbildung:

  Schritt Beschreibung Lizenzierungsanforderungen
1 Konfigurieren des Startpunkts – Richtlinien für Zero Trust-Identität und Gerätezugriff Arbeiten Sie mit Ihrem Identitätsadministrator zusammen, um Appschutz-Richtlinien (App Protection Policies, APP) für den Datenschutz der Ebene 2 zu implementieren. Diese Richtlinien erfordern nicht, dass Sie Geräte verwalten. Sie konfigurieren die APP-Richtlinien in Intune. Ihr Identitätsadministrator konfiguriert eine Richtlinie für bedingten Zugriff, damit genehmigte Apps erforderlich sind. E3, E5, F1, F3, F5
2 Registrieren von Geräten bei Intune Diese Aufgabe erfordert mehr Planung und Zeit für die Implementierung. Microsoft empfiehlt die Verwendung von Intune zum Registrieren von Geräten, da dieses Tool eine optimale Integration bietet. Je nach Plattform gibt es mehrere Optionen Geräte zu registrieren. Windows-Geräte können beispielsweise mithilfe von Microsoft Entra Join oder mithilfe von Autopilot registriert werden. Sie müssen die Optionen für jede Plattform überprüfen und entscheiden, welche Registrierungsoption für Ihre Umgebung am besten geeignet ist. Weitere Informationen finden Sie unter Schritt 2. Registrieren von Geräten bei Intune. E3, E5, F1, F3, F5
3 Konfigurieren von Compliancerichtlinien Sie sollten sicherstellen, dass Geräte, die auf Ihre Apps und Daten zugreifen, die Mindestanforderungen erfüllen, z. B. dass die entsprechenden Geräte mit Kennwort oder PIN geschützt sind und das Betriebssystem auf dem neuesten Stand ist. Compliancerichtlinien sind die Möglichkeit, die Anforderungen zu definieren, welche die Geräte erfüllen müssen. Der Schritt 3. Einrichten von Compliancerichtlinien unterstützt Sie beim Konfigurieren dieser Richtlinien. E3, E5, F3, F5
4 Konfigurieren von Unternehmensrichtlinien (empfohlen) für Zero Trust-Identität und Gerätezugriff Nachdem Ihre Geräte registriert wurden, können Sie mit Ihrem Identitätsadministrator zusammenarbeiten, um Richtlinien für bedingten Zugriff zu optimieren, um fehlerfreie und konforme Geräte zu erfordern. E3, E5, F3, F5
5 Konfigurationsprofile bereitstellen Im Gegensatz zu Compliancerichtlinien für Geräte, die ein Gerät basierend auf den von Ihnen konfigurierten Kriterien einfach als kompatibel oder nicht kennzeichnen, ändern Konfigurationsprofile tatsächlich die Konfiguration der Einstellungen auf einem Gerät. Sie können Konfigurationsrichtlinien verwenden, um Geräte vor Cyberbedrohungen zu schützen. Siehe Schritt 5. Bereitstellen von Konfigurationsprofilen. E3, E5, F3, F5
6 Überwachung des Geräterisikos und der Einhaltung von Sicherheitsbasislinien In diesem Schritt verbinden Sie Intune mit Microsoft Defender für Endpunkt. Mit dieser Integration können Sie dann das Geräterisiko als Bedingung für den Zugriff überwachen. Geräte, die sich in einem riskanten Zustand befinden, werden blockiert. Sie können auch die Einhaltung von Sicherheitsbaselines überwachen. Siehe Schritt 6. Überwachen des Geräterisikos und der Compliance mit Sicherheitsbaselines. E5, F5
7 Implementieren der Verhinderung von Datenverlust (Data Loss Prevention, DLP) mit Information Protection-Funktionen Wenn Ihre Organisation sich mit der Identifizierung vertraulicher Daten und der Bezeichnung von Dokumenten befasst hat, können Sie mit Ihrem Information Protection-Administrator zusammenarbeiten, um vertrauliche Informationen und Dokumente auf Ihren Geräten zu schützen. E5- und F5-Compliance-Add-On

Koordinieren der Endpunktverwaltung mit Richtlinien für Zero Trust-Identität und Gerätezugriff

Dieser Leitfaden ist eng mit den empfohlenen Richtlinien für Zero Trust-Identität und Gerätezugriff koordiniert. Sie arbeiten mit Ihrem Identitätsteam zusammen, um den Schutz durchzuarbeiten, den Sie mit Intune in Richtlinien für bedingten Zugriff in Microsoft Entra ID konfigurieren.

Hier sehen Sie eine Abbildung des empfohlenen Richtliniensatzes mit Schritthinweisen für die Arbeit, die Sie in Intune ausführen werden, und der zugehörigen Richtlinien für bedingten Zugriff, die Sie in Microsoft Entra ID koordinieren.

Zero Trust Identitäts- und Gerätezugriffsrichtlinien.

In dieser Abbildung:

  • In Schritt 1 Appschutz-Richtlinien (App Protection Policies, APP) für Ebene 2 implementieren konfigurieren Sie die empfohlene Ebene an Datenschutz mit APP-Richtlinien. Anschließend arbeiten Sie mit Ihrem Identitätsteam zusammen, um die zugehörige Regel für bedingten Zugriff so zu konfigurieren, dass dieser Schutz erforderlich ist.
  • In den Schritten 2, 3 und 4 registrieren Sie Geräte für die Verwaltung mit Intune, definieren Gerätekonformitätsrichtlinien und stimmen sich dann mit Ihrem Identitätsteam ab, um die zugehörige Regel für bedingten Zugriff so zu konfigurieren, dass nur der Zugriff auf kompatible Geräte zugelassen wird.

Registrierung von Geräten im Vergleich zum Onboarding von Geräten

Wenn Sie diese Anleitung befolgen, registrieren Sie Geräte mithilfe von Intune für die Verwaltung und integrieren Geräte für die folgenden Microsoft 365-Funktionen:

  • Microsoft Defender für Endpunkt
  • Microsoft Purview (zur Verhinderung von Datenverlusten an Endpunkten (DLP))

Die folgende Abbildung zeigt, wie dies mit Intune funktioniert.

Prozess für die Registrierung und das Onboarding von Geräten.

In der Abbildung sehen Sie Folgendes:

  1. Registrieren von Geräten in der Verwaltung mit Intune.
  2. Verwenden Sie Intune, um Geräte in Defender für Endpunkt zu integrieren.
  3. Geräte, die in Defender für Endpoint integriert sind, sind auch für Microsoft Purview-Funktionen, einschließlich Endpoint DLP, integriert.

Beachten Sie, dass nur Intune Geräte verwaltet. Onboarding bezieht sich auf die Fähigkeit eines Geräts, Informationen mit einem bestimmten Dienst zu teilen. Die folgende Tabelle fasst die Unterschiede zwischen dem Registrieren von Geräten in der Verwaltung und dem Onboarding von Geräten für einen bestimmten Dienst zusammen.

  Registrieren Onboarding
Beschreibung Die Registrierung gilt für die Verwaltung von Geräten. Geräte werden für die Verwaltung mit Intune oder Configuration Manager registriert. Beim Onboarding wird ein Gerät so konfiguriert, dass es mit einem bestimmten Satz von Funktionen in Microsoft 365 funktioniert. Derzeit gilt das Onboarding für Microsoft Defender für Endpunkt- und Microsoft-Compliance-Funktionen.

Auf Windows-Geräten umfasst das Onboarding das Umschalten einer Einstellung in Windows Defender, die es Defender ermöglicht, eine Verbindung mit dem Onlinedienst herzustellen und Richtlinien zu akzeptieren, die für das Gerät gelten.
Bereich Diese Geräteverwaltungstools verwalten das gesamte Gerät, einschließlich der Konfiguration des Geräts, um bestimmte Ziele wie Sicherheit zu erfüllen. Das Onboarding betrifft nur die zutreffenden Dienste.
Empfohlene Methode Microsoft Entra Join registriert Automatisch Geräte bei Intune. Intune ist die bevorzugte Methode für das Onboarding von Geräten in Windows Defender für Endpoint und somit für die Microsoft Purview-Funktionen.

Beachten Sie, dass Geräte, die mit anderen Methoden in Microsoft Purview-Funktionen integriert sind, nicht automatisch für Defender für Endpunkt registriert werden.
Andere Methoden Andere Registrierungsmethoden hängen von der Plattform des Geräts und davon ab, ob es BYOD ist oder von Ihrem organization verwaltet wird. Weitere Methoden zum Onboarding von Geräten sind, in der empfohlenen Reihenfolge:
  • Configuration Manager
  • Anderes Tool zur Verwaltung mobiler Geräte (wenn das Gerät von einem verwaltet wird)
  • Lokales Skript
  • VDI-Konfigurationspaket für das Onboarding von nicht persistenten Geräten einer virtuellen Desktopinfrastruktur (VDI)
  • Gruppenrichtlinien
  • Learning für Administratoren

    Die folgenden Ressourcen helfen Administratoren bei der Verwendung von Intune.

    • Vereinfachen der Geräteverwaltung mit Microsoft Intune Trainingsmodul

      Erfahren Sie, wie die Unternehmensmanagement-Lösungen über Microsoft 365 Benutzern eine sichere, personalisierte Desktopumgebung bieten und Organisationen dabei helfen, Updates für alle Geräte mit einer vereinfachten Administratorerfahrung einfach zu verwalten.

    • Auswerten von Microsoft Intune

      Microsoft Intune hilft Ihnen, die Geräte, Apps und Daten zu schützen, die die Personen in Ihrer organization verwenden, um produktiv zu sein. In diesem Artikel erfahren Sie, wie Sie Microsoft Intune einrichten. Das Setup umfasst das Überprüfen der unterstützten Konfigurationen, die Registrierung für Intune, das Hinzufügen von Benutzern und Gruppen, das Zuweisen von Lizenzen zu Benutzern, das Erteilen von Administratorberechtigungen und das Festlegen der Mobile Geräteverwaltung-Autorität (MDM).

    Nächster Schritt

    Wechseln Sie zu Schritt 1. Implementieren von App-Schutzrichtlinien.