Konfigurieren von Aktionen für nicht konforme Geräte in Intune
Im Rahmen einer Compliancerichtlinie, die Ressourcen Ihrer Organisation vor Geräten schützt, die Ihre Sicherheitsanforderungen nicht erfüllen, enthalten Konformitätsrichtlinien auch Aktionen bei Nichtkonformität. Aktionen bei Nichtkonformität sind eine oder mehrere zeitgeordnete Aktionen, die von einer Richtlinie zum Schutz von Geräten und Ihrer Organisation ausgeführt werden. Beispielsweise kann eine Aktion bei Nichtkonformität ein Gerät remote sperren, um sicherzustellen, dass es geschützt ist, oder eine Benachrichtigung an Geräte oder Benutzer senden, damit sie den nicht konformen Status besser verstehen und beheben können.
Wichtig
Microsoft Intune beendet den Support für die Android-Geräteadministratorverwaltung auf Geräten mit Zugriff auf Google Mobile Services (GMS) am 31. Dezember 2024. Nach diesem Datum sind die Geräteregistrierung, der technische Support sowie Behebungen von Programmfehlern und Sicherheitslücken nicht mehr verfügbar. Wenn Sie zurzeit die Verwaltung per Geräteadministrator verwenden, empfiehlt es sich, vor dem Ende des Supports zu einer anderen Android-Verwaltungsoption in Intune zu wechseln. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.
Übersicht
Standardmäßig enthält jede Konformitätsrichtlinie die Aktion bei Nichtkonformität von Gerät als nicht konform markieren mit einem Zeitplan von null Tagen (0). Wenn Intune feststellt, dass ein Gerät nicht konform ist, markiert Intune das Gerät sofort als „nicht konform“. Nachdem ein Gerät als nicht konform markiert wurde, kann Microsoft Entra bedingter Zugriff das Gerät blockieren.
Durch das Konfigurieren von Aktionen für Nichtkonformität können Sie flexibel entscheiden, was bei nicht konformen Geräten zu tun ist und wann dies zu tun ist. Sie können beispielsweise auswählen, dass das Gerät nicht sofort blockiert werden soll, und dem Benutzer eine Toleranzperiode einräumen, in der er dafür sorgen kann, dass das Gerät konform wird.
Für jede Aktion, die Sie festlegen, können Sie einen Zeitplan konfigurieren, der bestimmt, wann eine Aktion wirksam wird. Dieser Zeitplan entspricht einer Anzahl von Tagen, nachdem das Gerät als nicht konform markiert wurde. Sie können auch mehrere Instanzen einer Aktion konfigurieren. Wenn Sie mehrere Instanzen einer Aktion in einer Richtlinie festlegen, wird die Aktion zu diesem späteren geplanten Zeitpunkt erneut ausgeführt, wenn das Gerät nicht konform bleibt.
Nicht alle Aktionen sind für alle Plattformen verfügbar.
Hinweis
Im Microsoft Intune Admin Center wird der Zeitplan (Tage nach Nichtkonformität) in Tagen angezeigt. Es ist jedoch möglich, ein präzises Intervall (Stunden) mit Dezimalbruchteilen wie 0,25 (6 Stunden), 0,5 (12 Stunden), 1,5 (36 Stunden) usw. anzugeben. Auch wenn andere Werte möglich sind, können sie nur mit Microsoft Graph und nicht über das Admin Center konfiguriert werden. Der Versuch, andere Werte im Admin Center zu verwenden, z. B. 0,33 (8 Stunden), führt beim Versuch, die Richtlinie zu speichern, zu einem Fehler.
Verfügbare Aktionen bei Nichtkonformität
Im Folgenden finden Sie die verfügbaren Aktionen für die Nichtkonformität:
Gerät als nicht konform markieren: Standardmäßig wird diese Aktion für jede Konformitätsrichtlinie festgelegt und hat einen Zeitplan von null (0) Tagen, wobei Geräte sofort als nicht konform markiert werden.
Wenn Sie den Standardzeitplan ändern, geben Sie eine Toleranzperiode an, in der ein Benutzer Probleme beheben oder konform werden kann, ohne als nicht konform gekennzeichnet zu werden.
Diese Aktion wird auf allen Plattformen unterstützt, die von Intune unterstützt werden.
E-Mail an Endbenutzer senden: Diese Aktion sendet eine E-Mail-Benachrichtigung an den Benutzer. Wenn Sie diese Aktion aktivieren:
- Wählen Sie eine Benachrichtigungsvorlage aus, die mit dieser Aktion gesendet wird. Sie erstellen eine Benachrichtigungsvorlage, bevor Sie dieser Aktion einen solchen zuweisen können. Wenn Sie die benutzerdefinierte Benachrichtigung erstellen, passen Sie das Nachrichtengebietsschema, den Betreff, den Nachrichtentext und das Firmenlogo, den Firmennamen und andere Kontaktinformationen an.
- Wählen Sie aus, ob die Nachricht an mehrere Empfänger gesendet werden soll, indem Sie eine oder mehrere Ihrer Microsoft Entra Gruppen auswählen.
Intune verwendet die im Profil des Endbenutzers hinterlegte E-Mail-Adresse und nicht den Benutzerprinzipalnamen (UPN). Wenn im Profil des Benutzers keine eindeutige E-Mail-Adresse definiert ist, sendet Intune keine Benachrichtigungs-E-Mail. Wenn die E-Mail gesendet wurde, bezieht Intune Einzelheiten zu dem nicht konformen Gerät in die E-Mail-Benachrichtigung ein.
Diese Aktion wird auf allen Plattformen unterstützt, die von Intune unterstützt werden.
Hinweis
Benachrichtigungs-E-Mails werden gesendet von: microsoft-noreply@microsoft.com
Vergewissern Sie sich, dass Sie keine Postfachrichtlinien haben, die die Zustellung von E-Mails von diesen Adressen verhindern, da Endbenutzer die E-Mail-Benachrichtigung sonst möglicherweise nicht erhalten.
Vor Dezember 2022 wurden Benachrichtigungs-E-Mails in der kommerziellen Cloud gesendet von: IntuneNotificationService@microsoft.com
Das nicht konforme Gerät remote sperren: Verwenden Sie diese Aktion, um eine Remotesperre eines Geräts auszugeben. Zum Entsperren des Geräts wird der Benutzer dann zur Eingabe einer PIN oder eines Kennworts aufgefordert. Weitere Informationen zur Funktion Remotesperre.
Folgende Plattformen unterstützen diese Aktion:
- Android-Geräteadministrator
- Android (AOSP)
- Android Enterprise:
- Vollständig verwaltet
- Dediziert
- Unternehmenseigenes Arbeitsprofil
- Persönliches Arbeitsprofil
- Android Enterprise-Kioskgeräte
- iOS/iPadOS
- macOS
Gerät zur Außerkraftsetzungsliste hinzufügen: Wenn diese Aktion auf einem Gerät ausgeführt wird, wird das Gerät im Intune Admin Center einer Liste der eingestellten, nicht konformen Geräte hinzugefügt. Sie können zuGerätekonformität> wechseln und die Registerkarte Nicht kompatible Geräte außer Kraft setzen auswählen, um die Liste anzuzeigen. Das Gerät wird jedoch erst eingestellt, wenn ein Administrator den Deaktivierungsprozess explizit initiiert hat. Wenn ein Administrator das Gerät aus dieser Liste ausmustert, werden alle Unternehmensdaten vom Gerät entfernt und das Gerät aus Intune Verwaltung entfernt.
Folgende Plattformen unterstützen diese Aktion:
- Android-Geräteadministrator
- Android (AOSP)
- Android Enterprise:
- Vollständig verwaltet
- Dediziert
- Unternehmenseigenes Arbeitsprofil
- Persönliches Arbeitsprofil
- iOS/iPadOS
- macOS
- Windows 10/11
Hinweis
Auf der Registerkarte Ausgewählte Geräte außer Kraft setzen werden nur Geräte angezeigt, für die die Aktion Gerät zum Außerkraftsetzen ausgelöst wurde. Eine Liste aller Geräte, die nicht konform sind, finden Sie im Bericht Nicht kompatible Geräte unter Überwachen der Gerätekonformitätsrichtlinie.
Wenn Sie ein oder mehrere Geräte aus der Liste außer Betrieb nehmen möchten, wählen Sie Geräte aus, die außer Betrieb genommen werden sollen, und wählen Sie dann Ausgewählte Geräte abkoppeln aus. Wenn Sie eine Aktion auswählen, die Geräte außer Betrieb nimmt, wird ein Dialogfeld angezeigt, in dem Sie die Aktion bestätigen können. Erst nach der Bestätigung der Absicht, die Geräte außer Betrieb zu nehmen, werden Unternehmensdaten auf ihnen gelöscht und sie werden aus der Intune-Verwaltung entfernt.
Weitere Optionen sind Alle Geräte abkoppeln, Status "Alle Geräte deaktivieren" und "Deaktivierte Geräte deaktivieren". Durch das Löschen des Status "Außerkraftsetzen" für ein Gerät wird das Gerät aus der Liste der Geräte entfernt, die außer Betrieb genommen werden können, bis die Aktion Add device to retire list (Gerät zum Außerkraftsetzen hinzufügen ) erneut auf dieses Gerät angewendet wird.
Weitere Informationen zum Außerbetriebnehmen von Geräten.
Senden von Pushbenachrichtigungen an Endbenutzer: Konfigurieren Sie diese Aktion so, dass über die Unternehmensportal-App oder Intune-App auf dem Gerät eine Pushbenachrichtigung bei Nichtkonformität an ein Gerät gesendet wird.
Folgende Plattformen unterstützen diese Aktion:
- Android-Geräteadministrator
- Android Enterprise:
- Vollständig verwaltet
- Dediziert
- Unternehmenseigenes Arbeitsprofil
- Persönliches Arbeitsprofil
- iOS/iPadOS
Die Pushbenachrichtigung wird gesendet, wenn ein Gerät zum ersten Mal mit Intune eincheckt, und es wird festgestellt, dass sie mit der Konformitätsrichtlinie nicht konform ist. Wenn ein Benutzer die Benachrichtigung auswählt, wird die Unternehmensportal-App oder Intune-App geöffnet und zeigt Informationen dazu an, warum er nicht konform ist. Der Benutzer kann dann Maßnahmen ergreifen, um das Problem zu beheben. Die Meldungsdetails zur Nichtkonformität werden von Intune generiert und können nicht angepasst werden.
Wichtig
Weder Intune noch die Unternehmensportal-App oder die Microsoft Intune-App kann die Zustellung von Pushbenachrichtigungen garantieren. Benachrichtigungen können, wenn überhaupt, erst mit mehrstündiger Verspätung eintreffen. Dies gilt auch, wenn Benutzer Pushbenachrichtigungen deaktiviert haben.
Verlassen Sie sich bei dringenden Nachrichten nicht auf diese Benachrichtigungsmethode.
Jede Instanz der Aktion sendet ein einziges Mal eine Benachrichtigung. Um dieselbe Benachrichtigung erneut von einer Richtlinie aus zu senden, konfigurieren Sie weitere Instanzen der Aktion in dieser Richtlinie, die jeweils einen anderen Zeitplan aufweisen.
Sie können z. B. die erste Aktion für null Tage planen und dann eine zweite Instanz der Aktion hinzufügen, die für drei Tage geplant ist. Diese Verzögerung vor der zweiten Benachrichtigung gibt dem Benutzer einige Tage Zeit, um das Problem zu beheben und die zweite Benachrichtigung zu vermeiden.
Um das Spamming von Benutzern mit zu vielen doppelten Nachrichten zu vermeiden, überprüfen und optimieren Sie, welche Konformitätsrichtlinien eine Pushbenachrichtigung bei Nichtkonformität enthalten, und überprüfen Sie die Zeitpläne, um zu vermeiden, dass sich wiederholte Benachrichtigungen für die gleiche zu häufig wiederholen.
Erwägen Sie Folgendes:
Bei einer einzelnen Richtlinie, die mehrere Instanzen einer für denselben Tag festgelegten Pushbenachrichtigung enthält, wird für diesen Tag nur eine einzige Benachrichtigung gesendet.
Wenn mehrere Konformitätsrichtlinien die gleichen Konformitätsbedingungen und die Pushbenachrichtigungsaktion mit demselben Zeitplan enthalten, sendet Intune mehrere Benachrichtigungen am selben Tag an dasselbe Gerät.
Hinweis
Die folgenden Aktionen bei Nichtkonformität werden für Geräte, die von einem Partner für die Gerätekonformitätsverwaltungverwaltet werden, nicht unterstützt:
- Senden einer E-Mail an Endbenutzer
- Remotesperre des nicht konformen Geräts
- Hinzufügen eines Geräts zur Außerbetriebnahmeliste
- Senden von Pushbenachrichtigungen an Endbenutzer
Bevor Sie beginnen
Sie können Aktionen für die Nichtkonformität hinzufügen, wenn Sie die Richtlinie für die Gerätekonformität konfigurieren, oder Sie fügen sie später durch Bearbeiten der Richtlinie hinzu. Sie können jeder Richtlinie zusätzliche Aktionen hinzufügen, damit sie Ihre Anforderungen erfüllen. Beachten Sie, dass jede Konformitätsrichtlinie automatisch die Standardaktion für Nichtkonformität enthält, die Geräte als nicht konform markiert, wobei ein Zeitplan auf null Tage festgelegt ist.
Um Gerätekonformitätsrichtlinien zum Blockieren von Geräten von Unternehmensressourcen zu verwenden, muss Microsoft Entra bedingter Zugriff eingerichtet werden. Anleitungen finden Sie unter Bedingter Zugriff in Microsoft Entra ID oder gängigen Methoden zur Verwendung des bedingten Zugriffs mit Intune.
Plattformspezifische Informationen zum Erstellen einer Gerätekonformitätsrichtlinie finden Sie hier:
Erstellen einer Benachrichtigungsvorlage
Um eine E-Mail an Ihre Benutzer zu senden, erstellen Sie eine Vorlage für eine Benachrichtigung und verknüpfen diese mit Ihrer Richtlinie als Aktion bei fehlender Konformität. Wenn ein Gerät nicht konform ist, werden die Einzelheiten, die Sie in die Vorlage eingeben, in den von Ihnen an die Benutzer gesendeten E-Mails gezeigt.
Eine Benachrichtigungsvorlage kann mehrere Nachrichten enthalten, die jeweils für ein anderes Gebietsschema gelten. Wenn Sie mehrere Nachrichten und Gebietsschemas angeben, erhalten nicht konforme Endbenutzer die entsprechende lokalisierte Nachricht basierend auf ihrer bevorzugten O365-Sprache.
Fügen Sie der Nachricht Variablen hinzu, um eine personalisierte E-Mail mit dynamischem Inhalt zu erstellen. In der folgenden Tabelle werden die Variablen beschrieben, die Sie in der Betreffzeile und dem Text der Nachricht verwenden können.
Variablenname | Zu verwendende Token | Beschreibung |
---|---|---|
Benutzername | {{UserName}} | Fügen Sie den Namen des primären Benutzers für das nicht kompatible Gerät hinzu. Beispiel: John Doe |
Gerätename | {{DeviceName}} | Fügen Sie den Namen des nicht konformen Geräts hinzu, wie es in Microsoft Intune aufgezeichnet wird. Beispiel: John's iPad |
Geräte-ID | {{DeviceId}} | Fügen Sie die Intune Geräte-ID hinzu, die zum nicht konformen Gerät gehört. Beispiel: 12ab345c-6789-def0-1234-000000000000 |
Betriebssystemversion des Geräts | {{OSAndVersion}} | Fügen Sie das Betriebssystem und die Version des nicht konformen Geräts hinzu. Beispiel: Android 12 |
So erstellen Sie die Vorlage
Melden Sie sich beim Microsoft Intune Admin Center an.
Klicken Sie auf Endpunktsicherheit>Gerätekonformität>Benachrichtigungen>Benachrichtigung erstellen.
Geben Sie der Vorlage auf der Seite Grundlagen einen Anzeigenamen, damit Sie sie leichter identifizieren können. Wählen Sie dann Weiter aus.
Fügen Sie auf der Seite Kopf- und Fußzeileneinstellungen Die Unternehmensdetails und das Logo hinzu.
Ihre Optionen:
- Email Kopfzeile – Firmenlogo anzeigen (Standard = Aktivieren): Laden Sie ein Logo hoch, um das Branding Ihrer organization den E-Mail-Vorlagen hinzuzufügen. Weitere Informationen zum Branding des Unternehmensportals finden Sie unter Anpassen des Unternehmensbrandings.
- Email Fußzeile – Firmenname anzeigen (Standardeinstellung = Aktivieren): Aktivieren Sie diese Einstellung, um Den Firmennamen in der E-Mail anzuzeigen. Informationen zum Firmennamen im Datensatz finden Sie unter Mandantenwert .
- Email Fußzeile – Kontaktinformationen anzeigen (Standard = Aktivieren): Aktivieren Sie diese Einstellung, um die Kontaktinformationen Ihrer organization wie Name, Telefonnummer und E-Mail-Adresse in der E-Mail anzuzeigen. Informationen zum Überprüfen der Kontaktinformationen im Datensatz finden Sie unter Mandantenwert .
- Email Fußzeile – Link zur Unternehmensportalwebsite anzeigen (Standardeinstellung = Deaktivieren): Aktivieren Sie diese Einstellung, um einen Link zur Unternehmensportal Website in die E-Mail einzuschließen. Informationen zum Websitelink, der benutzern angezeigt wird, finden Sie unter Mandantenwert .
Wählen Sie Weiter aus, um fortzufahren.
Konfigurieren Sie auf der Seite Benachrichtigungsvorlagen eine oder mehrere Nachrichten. Geben Sie für jede Nachricht die folgenden Details an:
- Gebietsschema: Wählen Sie die Sprache aus, die mit dem Gebietsschema des Gerätebenutzers korreliert.
- Betreff: Fügen Sie die Betreffzeile für die E-Mail hinzu. Sie können bis zu 78 Zeichen eingeben.
-
Unformatierter HTML-Editor: Aktivieren Sie den HTML-Editor, um Vorschläge beim Hinzufügen von HTML-Formatierung und Links zu Ihrer Nachricht zu erhalten. Sie können das
href
-Attribut verwenden, um einen Link hinzuzufügen (muss eine HTTPS-URL sein). Unterstützte HTML-Tags:<a>
,<strong>
,<b>
,<u>
,<ol>
, ,<ul>
,<p>
<li>
, ,<br>
,<code>
,<table>
,<tr>
<tbody>
, ,<td>
,<thead>
, .<th>
Sie müssen den HTML-Editor nicht verwenden und können unterstütztes HTML hinzufügen, ohne den Editor zu aktivieren. - Meldung: Erstellen Sie eine Nachricht, in der der Grund für die Nichtkonformität erläutert wird. Sie können bis zu 2.000 Zeichen eingeben.
Um eine Vorlage mit dynamischem Inhalt zu erstellen, fügen Sie das Token einer unterstützten Variablen in die Betreffzeile oder Nachricht ein. Eine Liste der unterstützten Variablen finden Sie in der Tabelle unter Erstellen einer Benachrichtigungsvorlage in diesem Artikel.
Wichtig
Achten Sie darauf, nur Intune unterstützte HTML-Tags und Attribute im Nachrichtentext zu verwenden. Intune senden Nachrichten, die andere Typen von Tags, Elementen oder Formaten als Nur-Text-Format anstelle des HTML-Formats enthalten. Dies schließt Nachrichten ein, die Folgendes enthalten:
- CSS
- Tags und Attribute, die in diesem Artikel nicht aufgeführt sind
Hinweis
Intune konvertiert Neuzeilenzeichen im Windows-Stil in
<br>
HTML-Tags werden jedoch alle anderen Typen von neuen Zeilenzeichen ignoriert, einschließlich derer für macOS und Linux. Um sicherzustellen, dass Zeilenumbrüche in Vorlagen ordnungsgemäß gerendert werden, empfiehlt es sich, das<br>
-Tag zu verwenden, um das Ende einer Zeile anzugeben.Aktivieren Sie für eine der Nachrichten das Kontrollkästchen Ist Standard . Intune sendet Ihre Standardnachricht an Benutzer, die keine bevorzugte Sprache festgelegt haben, oder wenn die Vorlage keine bestimmte Nachricht für ihr Gebietsschema enthält. Nur eine Nachricht kann als Standard festgelegt werden. Um eine Nachricht zu löschen, wählen Sie die Auslassungspunkte (...) und dann Löschen aus.
Wählen Sie Weiter aus, um fortzufahren.
Wählen Sie auf der Seite Bereichstags Tags aus, um die Sichtbarkeit und Verwaltung dieser Nachricht auf bestimmte Intune Administratorgruppen wie
US-NC IT Team
oderJohnGlenn_ITDepartment
zu beschränken. Weitere Informationen zu Bereichstags finden Sie unter Verwenden der RBAC und von Bereichstags für verteilte IT.Wählen Sie Weiter aus, um fortzufahren.
Überprüfen Sie auf der Seite Überprüfen + erstellen Ihre Konfigurationen, um sicherzustellen, dass die Benachrichtigungsvorlage einsatzbereit ist. Wählen Sie Erstellen aus, um die Erstellung der Benachrichtigung abzuschließen.
Anzeigen und Bearbeiten von Benachrichtigungen
Erstellte Benachrichtigungen sind auf der Seite Compliancerichtlinien>Benachrichtigungen verfügbar. Auf dieser Seite können Sie eine Benachrichtigung auswählen, um die Konfiguration anzuzeigen und folgende Aktionen auszuführen:
Wählen Sie Vorschau-E-Mail senden, um eine Vorschau der Benachrichtigungs-E-Mail an das Konto zu senden, das Sie zum Anmelden bei Intune verwendet haben.
Um die Vorschau-E-Mail erfolgreich senden zu können, muss Ihr Konto über Berechtigungen verfügen, die denen der folgenden Microsoft Entra-Gruppen oder Intune Rollen entsprechen: Intune Administrator (auch bekannt als Intune-Dienstadministrator) oder Richtlinien- und Profil-Manager.
Wählen Sie unter Grundlagen oder Bereichstags die Option Bearbeiten aus, um eine Änderung vorzunehmen.
Hinweis
Die Vorschau-E-Mail enthält nicht die Gerätevariablen, die in der Vorlage für Benachrichtigungsnachrichten angegeben sind.
Hinzufügen von Aktionen bei Nichtkonformität
Wenn Sie eine Konformitätsrichtlinie für Geräte erstellen, erstellt Intune automatisch eine Aktion für Nichtkonformität. Wenn ein Gerät Ihre Konformitätsrichtlinie nicht erfüllt, markiert diese Aktion das Gerät als nicht konform. Sie können anpassen, wie lange das Gerät als „nicht konform“ gekennzeichnet wird. Diese Aktion kann nicht entfernt werden.
Sie können beim Erstellen einer Konformitätsrichtlinie oder Aktualisieren einer vorhandenen Konformitätsrichtlinie weitere optionale Aktionen hinzufügen.
Melden Sie sich beim Microsoft Intune Admin Center an.
Wechseln Sie zuGerätekonformität>.
Wählen Sie eine Richtlinie und dann Eigenschaften aus.
Haben Sie noch keine Richtlinie? Erstellen Sie eine Richtlinie für Android, iOS, Windows oder eine andere Plattform.
Hinweis
Für Geräte, die von Drittanbieterpartnern für Gerätekonformität verwaltet werden und auf Gerätegruppen ausgerichtet sind, können derzeit keine Aktionen bei Nichtkonformität festgelegt werden.
Wählen Sie Aktionen für Nichtkonformität>Bearbeiten aus.
Wählen Sie Ihre Aktion aus:
Senden einer E-Mail an den Benutzer: Senden Sie dem Benutzer eine E-Mail, wenn das Gerät nicht konform ist. Ferner gilt Folgendes:
- Wählen Sie die zuvor erstellte Nachrichtenvorlage aus
- Geben Sie durch die Auswahl von Gruppen zusätzliche Empfänger ein
Remotesperren des nicht konformen Geräts: Sperren Sie das Gerät, wenn es nicht konform ist. Durch diese Aktion wird der Benutzer zur Eingabe einer PIN oder eines Kennworts gezwungen, um das Gerät zu entsperren.
Gerät zur Außerkraftsetzungsliste hinzufügen: Wenn das Gerät nicht konform ist, entfernen Sie alle Unternehmensdaten vom Gerät, und entfernen Sie das Gerät aus Intune Verwaltung.
Senden von Pushbenachrichtigungen an Endbenutzer: Konfigurieren Sie diese Aktion so, dass über die Unternehmensportal-App oder Intune-App auf dem Gerät eine Pushbenachrichtigung bei Nichtkonformität an ein Gerät gesendet wird.
Konfigurieren eines Zeitplans: Geben Sie die Anzahl von Tagen (0 bis 365) nach der Nichtkonformität ein, um die Aktion auf Benutzergeräten auszulösen. Nach Ablauf dieser Nachfrist können Sie eine Richtlinie für bedingten Zugriff erzwingen. Wenn Sie als Anzahl von Tagen 0 (null) eingeben, wird der bedingte Zugriff sofort wirksam. Wenn beispielsweise ein Gerät nicht konform ist, können Sie mithilfe des bedingten Zugriffs sofort den Zugriff auf E-Mails, SharePoint und andere Organisationsressourcen blockieren.
Wenn Sie eine Konformitätsrichtlinie erstellen, wird automatisch die Aktion Gerät als nicht konform markieren erstellt und auf 0 Tage (sofort) festgelegt. Wenn sich das Gerät bei dieser Aktion mit Intune eincheckt und die Richtlinie auswertet, Intune das Gerät sofort als nicht konform markieren, wenn es mit dieser Richtlinie nicht konform ist. Wenn der Client zu einem späteren Zeitpunkt nach der Behebung der Probleme eincheckt, die zu einer Nichtkonformität führen, wird sein status auf seine neue Compliance-status aktualisiert. Wenn Sie den bedingten Zugriff verwenden, gelten diese Richtlinien auch, sobald ein Gerät als nicht konform markiert wird. Um eine Toleranzperiode so festzulegen, dass eine Nichtkonformitätsbedingung behoben werden kann, bevor das Gerät als nicht konform markiert wird, ändern Sie den Zeitplan für die Aktion Gerät als nicht konform markieren.
Sie möchten den Benutzer außerdem in Ihrer Konformitätsrichtlinie benachrichtigen. Fügen Sie die Aktion E-Mail an Endbenutzer senden hinzu. Legen Sie für diese Aktion E-Mail senden den Zeitplan auf zwei Tage fest. Wenn das Gerät oder der Endbenutzer am zweiten Tag immer noch als nicht konform ausgewertet wird, wird Ihre E-Mail am zweiten Tag gesendet. Wenn Sie dem Benutzer an Tag fünf der Nichtkonformität erneut eine E-Mail senden möchten, fügen Sie eine weitere Aktion hinzu, und legen Sie den Zeitplan auf fünf Tage fest.
Weitere Informationen zur Konformität und den integrierten Aktionen finden Sie in der Konformitätsübersicht.
Klicken Sie zum Speichern Ihrer Änderungen auf Hinzufügen>OK.