Freigeben über

Verwalten von Betriebssystemversionen mit Microsoft Intune

  • Artikel

Für moderne mobile Plattformen und Desktopplattformen werden ständig größere Updates, Patches und neue Versionen herausgegeben. Es gibt Steuerelemente, mit denen Sie Updates und Patches unter Windows vollständig verwalten können. Andere Plattformen wie iOS/iPadOS und Android verlangen, dass die Endbenutzer in diesen Vorgang involviert sind. Microsoft Intune verfügt über Funktionen, mit denen Sie Ihre Betriebssystemversionsverwaltung plattformübergreifend strukturieren können.

Intune kann Sie bei den folgenden häufig auftretenden Szenarios unterstützen:

  • Ermitteln, welche Betriebssystemversionen auf Ihren Benutzergeräten vorhanden sind
  • Den Zugriff auf Unternehmensdaten auf Geräten steuern, während Sie eine neue Betriebssystemversion prüfen
  • Benutzer ermutigen bzw. dazu verpflichten, auf die neuste Betriebssystemversion, die von Ihrer Organisation zugelassen wurde, zu aktualisieren
  • Ein organisationsweites Rollout einer neuen Betriebssystemversion verwalten

Betriebssystemversionskontrolle mithilfe von Registrierungseinschränkungen für die verwaltung mobiler Geräte Intune

Mit Einschränkungen bei der Geräteregistrierung können Sie die Registrierung von Geräten bei Intune basierend auf bestimmten Geräteattributen einschränken. Das Ziel besteht darin, Benutzern zu ermöglichen, nur Geräte zu registrieren, die den Erwartungen Ihrer Organisation entsprechen, und die Registrierung von Geräten zu verhindern, die nicht konform sind, wenn sie Zugriff auf Ressourcen Ihrer Organisation erhalten könnten. Sie können Geräteplattformeinschränkungsrichtlinien für die Registrierung für die folgenden Plattformen erstellen:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

Die Geräteplattformeinschränkungsrichtlinien für jeden Plattformtyp enthalten sowohl eine minimale als auch eine maximal zulässige Betriebssystemversion, wie in der folgenden Screenshotaufnahme einer iOS-Richtlinie zu sehen ist:

Seite mit Einschränkungen für die Plattformkonfiguration.

In der Praxis

Organisationen verwenden Gerätetypeinschränkungen, um den Zugriff auf Organisationsressourcen mithilfe der folgenden Einstellungen zu steuern:

  1. Verwenden Sie die Mindestversion des Betriebssystems, um sicherzustellen, dass nur aktuelle und unterstützte Plattformen in Ihrem organization registriert werden können.
  2. Lassen Sie das maximale Betriebssystem nicht angegeben (keine Beschränkung), oder legen Sie es auf die letzte Version fest, die Ihr organization für die Verwendung überprüft hat, um Zeit für interne Tests neuer Betriebssystemversionen zu erhalten.

Weitere Informationen finden Sie unter Plattformbeschränkung für Geräte erstellen.

Berichterstellung für Betriebssystemversionen und Konformität mit Intune Gerätekonformitätsrichtlinien

Intune Gerätekonformitätsrichtlinien bieten Ihnen die folgenden Tools:

  • Geben Sie Kompatibilitätsregeln an, die erforderliche Konfigurationen für Geräte definieren.
  • Zeigen Sie Konformitätsberichte an, um zu verstehen, welche Geräte nicht konform sind und welche Einstellungen in Ihren Richtlinien enthalten sind.
  • Reagieren Sie auf Nichtkonformitätsergebnisse über Richtlinien für Gerätequarantäne und bedingten Zugriff, die verhindern, dass nicht konforme Geräte auf Ressourcen Ihrer Organisation zugreifen.

Genauso wie Registrierungsbeschränkungen umfassen Gerätekonformitätsrichtlinien sowohl Mindest- als auch Maximalversionen von Betriebssystemen. Die Richtlinien verfügen außerdem über eine Kompatibilitätszeitachse, damit Ihren Benutzern eine Toleranzperiode eingeräumt wird, die sie nutzen sollen, um ihre Geräte entsprechend anzupassen. Gerätekonformitätsrichtlinien sorgen dafür, dass Ihre registrierten Endbenutzergeräte den Erwartungen Ihrer Organisation entsprechen.

Gerätekonformität: Vorgehensweise bei nicht kompatiblen Geräten

In der Praxis

Organisationen verwenden Gerätekompatibilitätsrichtlinien für dieselben Szenarios wie die Registrierungsbeschränkungen. Diese Richtlinien sorgen dafür, dass Benutzer in Ihrer Organisation aktuelle und geprüfte Betriebssystemversionen verwenden. Wenn Benutzergeräte nicht mehr kompatibel sind, kann der Zugriff auf Organisationsressourcen solange per bedingtem Zugriff blockiert werden, bis die Geräte sich wieder innerhalb des für Ihre Organisation unterstützten Betriebssystembereichs befinden. Endbenutzer werden benachrichtigt, dass sie nicht konform sind, und ihnen werden die Schritte zur Wiederherstellung des Zugriffs bereitgestellt.

Weitere Informationen finden Sie unter Erste Schritte mit der Gerätekonformität.

Kontrollieren von Betriebssystemversionen mithilfe der Intune-App-Schutzrichtlinien

Mit den Intune-App-Schutzrichtlinien und den Zugriffseinstellungen für die Verwaltung mobiler Anwendungen (MAM) können Sie die Mindestversion des Betriebssystems auf Anwendungsebene festlegen. Dadurch können Sie die Benutzer über Updates informieren und dazu ermutigen bzw. verpflichten, ihr Betriebssystem auf eine vorgegebene Mindestversion zu aktualisieren.

Sie haben zwei Möglichkeiten:

  • Warnungen informieren Benutzer darüber, dass sie ein Upgrade durchführen sollten, wenn sie eine App, für die eine Anwendungsschutzrichtlinie oder Zugriffseinstellungen für die mobile Anwendungsverwaltung gelten, auf einem Gerät mit einer Betriebssystemversion öffnen, die niedriger ist als die vorgegebene Version. Der Zugriff auf die App und die Organisationsdaten ist zulässig.

    Abbildung des Dialogfelds

  • Blockierungen informieren Benutzer darüber, dass sie ein Upgrade vornehmen müssen, wenn sie eine Anwendung, für die Anwendungsschutzrichtlinien oder Zugriffseinstellungen für die mobile Anwendungsverwaltung gelten, auf einem Gerät öffnen, auf dem eine Betriebssystemversion installiert ist, die nicht der vorgegebenen Version entspricht. Der Zugriff ist für App- und Organisationsdaten nicht zulässig.

    Abbildung des Dialogfelds

In der Praxis

Heutzutage verwenden Organisationen Einstellungen für App-Schutzrichtlinien, wenn Apps geöffnet oder fortgesetzt werden, um Benutzer über die Notwendigkeit zu informieren, Apps aktuell zu halten. Eine mögliche Konfiguration wäre z.B., dass Benutzer des Vorgängers der aktuellen Version gewarnt werden und Benutzer, die eine frühere Version als den Vorgänger der aktuellen Version verwenden, blockiert werden.

Weitere Informationen finden Sie unter Erstellen und Zuweisen von App-Schutzrichtlinien.

Verwalten mehrerer Betriebssystemversionen mit Intune App-Schutzrichtlinien

In App-Schutzrichtlinien (APP) können Sie nur eine Mindestversion des Betriebssystems in den Einstellungen für bedingten Start konfigurieren, aber Sie können mehrere APPs mit unterschiedlichen Mindestbetriebssystemwerten erstellen. Da APPs jedoch Benutzergruppen zugewiesen sind, bedeutet dies, dass ein Benutzer mit mehreren Geräten, auf denen unterschiedliche Betriebssystemversionen ausgeführt werden, beim Zugriff auf geschützte Ressourcen mit widersprüchlichen Betriebssystemanforderungen konfrontiert werden kann.

Damit mehrere APPs mit unterschiedlichen Betriebssystemanforderungen auf denselben Benutzer ausgerichtet werden können, können Sie Filter erstellen , die für die APP auf eine bestimmte Betriebssystemversion ausgerichtet sind.

Es gibt zwei Arten von Filtern für Intune: Verwaltete Geräte und verwaltete Apps. APP unterstützt nur Filter für verwaltete Apps.

Erstellen von Filtern

Um Filter mit APPs zu verwenden, müssen Sie einen Filter für jede bestimmte Betriebssystemversion erstellen, auf die Sie abzielen möchten:

  1. Navigieren Sie zum Microsoft Intune Admin Center.

  2. Wählen Sie Mandantenverwaltungsfilter>>Verwaltete Appserstellen> aus.

  3. Geben Sie auf der Seite Grundlagen einen Namen für den Filter ein, der ihn leicht identifizierbar macht, und wählen Sie die Plattform aus, auf die Sie abzielen möchten, in diesem Beispiel iOS/iPadOS.

  4. Erstellen Sie auf der Seite Regeln einen Filter für die Hauptversion des Betriebssystems, die Sie als Ziel verwenden möchten, z. B. Property=osVersion(BETRIEBSSYSTEMversion), Operator=StartsWith, Value=18.

  • Optional: Sie können die Schaltfläche Vorschau verwenden, um das Gerät, den Benutzer und die App zu überprüfen, die dem angegebenen Filter entsprechen.
  1. Speichern Sie auf der Seite Überprüfen und erstellen den Filter, indem Sie Erstellen auswählen.

Wiederholen Sie diese Schritte, um zusätzliche Filter für jede Plattform und Hauptversion des Betriebssystems zu erstellen, die Sie als Ziel verwenden möchten, z. B. iOS 16 und 17.

Erstellen und Ziel einer APP mit einem Filter

  1. Navigieren Sie zum Microsoft Intune Admin Center.

  2. Wählen Sie Apps>aus App-Schutz Richtlinien>Richtlinie> erstellen Wählen Sie die Plattform aus, auf die Sie mit der APP abzielen möchten, z. B. iOS/iPadOS.

  3. Geben Sie auf der Seite Grundlagen einen Namen für die Richtlinie ein, der sie leicht identifizierbar macht.

  4. Füllen Sie die Seiten Für Apps, Datenschutz und Zugriffsanforderungen mit den Einstellungen für iOS-, Android- oder Windows-App-Schutzrichtlinien aus, die die Anforderungen für Ihre organization erfüllen. Konfigurieren Sie im Abschnitt Gerätebedingungen auf der Seite Bedingter Start (oder der Seite Integritätsprüfungen für Windows-APP) die Nebenversion des Betriebssystems oder patchen, die Sie als Mindestversion festlegen möchten. Beispiel: Einstellung=Mindestversion des Betriebssystems, Wert=18.2.1, Aktion=Zugriff blockieren/Daten zurücksetzen/Warn gemäß der aktion, die für Ihre organization erforderlich ist.

  5. Verwenden Sie auf der Seite Zuweisungen den zuvor erstellten Filter, um die Richtlinienzuweisung auf die richtige Hauptversion des Betriebssystems festzulegen.

  6. Speichern Sie auf der Seite Überprüfen und erstellen die Richtlinie, indem Sie Erstellen auswählen.

Im gezeigten Beispiel ist der Filter auf Geräte mit iOS 18 ausgerichtet, und die App-Einstellungen für den bedingten Start erfordern 18.2.1, um sicherzustellen, dass die APP nicht für Geräte gilt, die unter einer anderen Hauptversion von iOS ausgeführt werden.

Erstellen Sie zusätzliche APPs für jede Betriebssystemversion für instance:

  • Zweite Richtlinie für iOS 16: Bedingter Start, Gerätebedingungen, Mindestbetriebssystemversion=16.7.10, Filter, Betriebssystemversion, StartsWith=16.

  • Dritte Richtlinie für iOS 17: Bedingter Start, Gerätebedingungen, Mindestversion des Betriebssystems=17.7.2, Filtern der Betriebssystemversion, StartsWith=17.

In der Praxis

Organisationen können mehrere APPs erstellen, die unterschiedliche Mindestversionen des Betriebssystems erfordern. Auf diese Weise können Sie die Zuweisung dieser APPs so filtern, dass sie nur für jede Hauptversion des Betriebssystems gelten. Dadurch wird sichergestellt, dass jede APP mit der spezifischen Betriebssystemversion kompatibel ist, der sie zugewiesen ist, und bietet einen maßgeschneiderten Ansatz für den App-Schutz.

Wenn Betriebssystemanbieter neue kleinere Betriebssystemupdates oder Patches veröffentlichen, können Sie auch jede APP mit der neuen Mindestversion des Betriebssystems aktualisieren. Dieser fortlaufende Aktualisierungsprozess stellt sicher, dass Ihre organization sicher bleibt, indem immer die neuesten Betriebssystemversionen verwendet werden. Wenn Sie Ihre Apps und Betriebssystemversionen auf dem neuesten Stand halten, können Sie sich vor Sicherheitsrisiken schützen und die Allgemeine Sicherheit erhöhen.

Verwalten eines Rollout einer neuen Betriebssystemversion

Sie können die in diesem Artikel beschriebenen Intune-Funktionen verwenden, um Geräte Ihrer Organisation innerhalb der von Ihnen definierten Zeitleiste auf eine neue Betriebssystemversion zu verschieben. Die folgenden Schritte stellen ein Beispiel für ein Bereitstellungsmodell dar, mit dem Sie die Benutzer innerhalb von sieben Tagen von Betriebssystem V1 auf eine Betriebssystem V2 verschieben können.

  1. Verwenden Sie Geräteregistrierungseinschränkungen , um das Betriebssystem v2 als Mindestversion für die Registrierung des Geräts zu verlangen. Damit wird gewährleistet, dass neue Benutzergeräte zum Zeitpunkt der Registrierung konform sind.
  2. Verwenden Sie Intune App-Schutzrichtlinien, um Benutzer zu warnen, wenn eine geschützte App geöffnet oder fortgesetzt wird, dass das neuere Betriebssystem v2 erforderlich ist.
  3. Verwenden Sie Gerätekonformitätsrichtlinien , um das Betriebssystem v2 als Mindestversion für die Kompatibilität eines Geräts festzulegen. Verwenden Sie Aktionen für Nichtkonformität, um eine Karenzzeit von sieben Tagen zuzulassen und Endbenutzern eine E-Mail-Benachrichtigung mit Ihren Zeitleiste und Anforderungen zu senden.
    • Diese Richtlinien können Endbenutzer darüber informieren, dass ihre Geräte per E-Mail, dem Intune-Unternehmensportal aktualisiert werden müssen und wann die App für Apps geöffnet wird, die mit einer App-Schutzrichtlinie aktiviert sind.
    • Sie können einen Konformitätsbericht ausführen, um Benutzer zu ermitteln, deren Geräte nicht kompatibel sind.
  4. Verwenden Sie Intune App-Schutzrichtlinien, um Benutzer zu blockieren, wenn eine App geöffnet oder fortgesetzt wird, wenn auf dem Gerät das Betriebssystem v2 nicht ausgeführt wird.
  5. Verwenden Sie Gerätekonformitätsrichtlinien, um eine die Betriebssystemversion V2 als Mindestversion für ein Gerät festzulegen, damit es konform ist.
    • In diesen Richtlinien wird festgelegt, dass Geräte aktualisiert werden müssen, damit sie weiterhin Zugriff auf Organisationsdaten haben. Geschützte Dienste werden blockiert, wenn sie auf Geräten mit bedingtem Zugriff verwendet werden. Apps, für die eine Appschutz-Richtlinie aktiviert ist, werden beim Öffnen oder beim Zugreifen auf Organisationsdaten blockiert.

Nächste Schritte

Verwenden Sie die folgenden Ressourcen, um die Betriebssystemversionen zu verwalten, die in Ihrem organization verwendet werden: