Freigeben über

Erstellen einer Konformitätsrichtlinie in Microsoft Intune

  • Artikel

Konformitätsrichtlinien für Geräte sind ein wichtiges Feature bei der Verwendung von Intune, um die Ressourcen Ihrer Organisation zu schützen. Sie können in Intune Regeln und Einstellungen erstellen, die Geräte erfüllen müssen, um als konform angesehen zu werden, z. B. die mindestens erforderliche Betriebssystemversion. Wenn das Gerät nicht konform ist, können Sie dann den Zugriff auf Daten und Ressourcen mit bedingtem Zugriff blockieren.

Sie können auch Aktionen bei Nichtkonformität ergreifen, z. B. das Senden einer Benachrichtigungs-E-Mail an den Benutzer. Eine Übersicht der Funktionsweise von Konformitätsrichtlinie und wie Sie diese verwenden können, finden Sie unter Erste Schritte mit den Gerätekonformitätsrichtlinien in Intune.

Inhalt dieses Artikels:

  • Liste der Voraussetzungen und Schritte zum Erstellen einer Konformitätsrichtlinie.
  • Zuweisen der Richtlinie an einen Benutzer und an eine Gerätegruppe.
  • Beschreibt andere Features, einschließlich Bereichstags zum "Filtern" Ihrer Richtlinien, und Schritte, die Sie auf Geräten ausführen können, die nicht konform sind.
  • Liste der Check-In-Aktualisierungszykluszeiten, wenn Geräte Richtlinienaktualisierungen erhalten.

Bevor Sie beginnen

Stellen Sie zum Verwenden von Konformitätsrichtlinien folgendes sicher:

  • Verwenden Sie folgende Abonnements:

    • Intune
    • Wenn Sie den bedingten Zugriff verwenden, benötigen Sie Microsoft Entra ID P1- oder P2-Edition. Microsoft Entra Preise listet auf, was Sie mit den verschiedenen Editionen erhalten. Intune Compliance erfordert keine Microsoft Entra ID.

  • Verwenden Sie eine unterstützte Plattform:

    • Android-Geräteadministrator
    • Android AOSP
    • Android für Unternehmen
    • iOS
    • Linux : Ubuntu Desktop, Version 20.04 LTS und 22.04 LTS
    • macOS
    • Windows 10/11

Wichtig

Die Verwaltung von Android-Geräteadministratoren ist veraltet und für Geräte mit Zugriff auf Google Mobile Services (GMS) nicht mehr verfügbar. Wenn Sie derzeit die Geräteadministratorverwaltung verwenden, wird empfohlen, zu einer anderen Android-Verwaltungsoption zu wechseln. Support- und Hilfedokumentationen bleiben für einige Geräte ohne GMS verfügbar, auf denen Android 15 und früher ausgeführt wird. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.

  • Registrieren Sie Geräte in Intune (nur dann können Sie den Konformitätsstatus ermitteln).

  • Registrieren Sie Geräte für einen Benutzer oder registrieren Sie ohne einen Hauptbenutzer. Einzelne Geräte können nicht für mehrere Benutzer registriert werden.

Zusätzlich zu den in Intune integrierten Konformitätseinstellungen unterstützen die folgenden Plattformen das Hinzufügen benutzerdefinierter Konformitätseinstellungen zu Konformitätsrichtlinien:

  • Ubuntu Desktop, Version 20.04 LTS und 22.04 LTS
  • Windows 10/11

Bevor Sie benutzerdefinierte Einstellungen hinzufügen können, müssen Sie eine benutzerdefinierte JSON-Datei vorbereiten, die die Einstellungen definiert, auf denen Ihre benutzerdefinierte Konformität basieren soll, und ein Skript, das auf Geräten ausgeführt wird, um die im JSON definierten Einstellungen zu erkennen.

Weitere Informationen zur Verwendung von benutzerdefinierten Konformitätseinstellungen, einschließlich unterstützter Plattformen, Voraussetzungen und zum Konfigurieren der Kategorie Benutzerdefinierte Kompatibilität beim Erstellen einer Richtlinie, finden Sie unter Verwenden benutzerdefinierter Konformitätseinstellungen.

Erstellen der Richtlinie

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wechseln Sie zu Geräte.

  3. Wählen Sie unter Geräte verwalten die Option Compliance aus. Wählen Sie dann Richtlinie erstellen aus.

  4. Wählen Sie aus den folgenden Optionen eine Plattform für diese Richtlinie aus:

    • Android-Geräteadministrator
    • Android (AOSP)
    • Android für Unternehmen
    • iOS/iPadOS
    • Linux : (Ubuntu Desktop, Version 20.04 LTS und 22.04 LTS, RedHat Enterprise Linux 8 oder RedHat Enterprise Linux 9)
    • macOS
    • Windows 10 und höher
    • Windows 8.1 und höher

    Für Android Enterprise wählen Sie auch einen Profiltyp aus. Ihre Optionen:

    • Vollständig verwaltetes, dediziertes und unternehmenseigenes Arbeitsprofil
    • Persönliches Arbeitsprofil

    Wählen Sie dann Erstellen aus, um die Konfigurationsseite zu öffnen.

  5. Geben Sie auf der Registerkarte Grundlagen einen Namen ein, mit dem Sie diese Richtlinie später identifizieren können. Ein geeigneter Richtlinienname ist z. B. iOS/iPadOS-Geräte mit Jailbreak als nicht konform markieren.

    Geben Sie optional eine Beschreibung für die Richtlinie ein.

  6. Erweitern Sie auf der Registerkarte Konformitätseinstellungen die verfügbaren Kategorien, und konfigurieren Sie Einstellungen für Ihre Richtlinie. In den folgenden Artikeln werden die verfügbaren Konformitätseinstellungen für die einzelnen Plattformen beschrieben:

  7. Optional können Sie benutzerdefinierte Einstellungen für unterstützte Plattformen hinzufügen.

    Tipp

    Dies ist ein optionaler Schritt, der für die folgenden Plattformen unterstützt wird:

    • Linux : Ubuntu Desktop, Version 20.04 LTS und 22.04 LTS
    • Windows 10 und höher
      Bevor Sie benutzerdefinierte Einstellungen zu einer Richtlinie hinzufügen können, müssen Sie ein Erkennungsskript in Intune hochgeladen und eine JSON-Datei bereit haben, die die Einstellungen definiert, die Sie für die Konformität verwenden möchten. Weitere Informationen finden Sie unter Benutzerdefinierte Konformitätseinstellungen.

    Erweitern Sie auf der Seite Kompatibilitätseinstellungen die Kategorie Benutzerdefinierte Kompatibilität :

    Für Windows:

    1. Erweitern Sie auf der Seite Kompatibilitätseinstellungendie Option Benutzerdefinierte Konformität , und legen Sie Benutzerdefinierte Konformität auf Erforderlich fest.
    2. Wählen Sie unter Ermittlungsskript auswählen die Option Zum Auswählen klicken aus, und geben Sie dann den Namen eines Skripts ein, das Sie zuvor dem Microsoft Intune Admin Center hinzugefügt haben. Dieses Skript muss hochgeladen werden, bevor Sie mit der Erstellung der Richtlinie beginnen. Wählen Sie Auswählen aus, um mit dem nächsten Schritt fortzufahren.
    3. Wählen Sie unter Hochladen und Überprüfen der JSON-Datei mit Ihren benutzerdefinierten Konformitätseinstellungen das Ordnersymbol aus, suchen Sie nach der JSON-Datei für Windows, die Sie mit dieser Richtlinie verwenden möchten, und fügen Sie sie hinzu. Hilfe zum JSON-Code finden Sie unter Erstellen eines JSON-Codes für benutzerdefinierte Konformitätseinstellungen.

    Für Linux:

    1. Wählen Sie auf der Seite Kompatibilitätseinstellungendie Option Einstellungen hinzufügen aus, um die Einstellungsauswahl zu öffnen.
    2. Wählen Sie Benutzerdefinierte Konformität aus. Schließen Sie dann die Einstellungsauswahl.
    3. Legen Sie Benutzerdefinierte Konformität erforderlich auf True fest. T
    4. Wählen Sie unter Ermittlungsskript auswählen die Option Skript auswählen aus. Wählen Sie dann ein Skript aus, das zuvor dem Microsoft Intune Admin Center hinzugefügt wurde. Dieses Skript muss hochgeladen werden, bevor Sie mit der Erstellung der Richtlinie beginnen.
    5. Wählen Sie für Regeldatei auswählen das Ordnersymbol aus, und suchen Sie dann die JSON-Datei für Linux, die Sie mit dieser Richtlinie verwenden möchten, und fügen Sie sie hinzu. Hilfe zum JSON-Code finden Sie unter Erstellen eines JSON-Codes für benutzerdefinierte Konformitätseinstellungen.

    Warten Sie, während Intune den JSON-Code überprüft. Probleme, die behoben werden müssen, werden auf dem Bildschirm angezeigt. Nach der Überprüfung des JSON-Inhalts werden die Regeln aus dem JSON-Code im Tabellenformat angezeigt.

  8. Wählen Sie auf der Registerkarte Aktionen für Nichtkonformität eine Abfolge von Aktionen aus, die automatisch auf Geräte angewendet werden sollen, die diese Konformitätsrichtlinie nicht erfüllen.

    Sie können mehrere Aktionen hinzufügen und Zeitpläne und Details für einige Aktionen konfigurieren. Sie können beispielsweise den Zeitplan der Standardaktion Gerät als nicht konform markieren so ändern, dass die Aktion nach einem Tag ausgeführt wird. Dann können Sie eine Aktion hinzufügen, mit der eine E-Mail mit einer Warnung an den Benutzer gesendet wird, wenn ein Gerät nicht konform ist. Sie können auch Aktionen hinzufügen, die Geräte sperren oder außer Betrieb nehmen, die nicht konform bleiben.

    Informationen zu den Aktionen, die Sie konfigurieren können – z. B. zum Senden von Benachrichtigungs-E-Mails an Ihre Benutzer –, finden Sie unter Aktionen für nicht konforme Geräte hinzufügen.

    Ein anderes Beispiel ist die Verwendung von Standorten: Sie können einer Konformitätsrichtlinie mindestens einen Standort hinzufügen. In diesem Fall gilt die Standardaktion für Nichtkonformität, wenn Sie mindestens einen Standort auswählen. Wenn ein Gerät nicht mit einem der ausgewählten Standorte verbunden ist, wird es als nicht konform betrachtet. Sie können den Zeitplan so konfigurieren, dass Ihren Benutzern eine Toleranzperiode eingeräumt wird (z.B. ein Tag).

  9. Wählen Sie auf der Registerkarte Bereich Tags aus, mit denen die Richtlinien für bestimmte Gruppen gefiltert werden können, wie etwa US-NC IT Team oder JohnGlenn_ITDepartment. Nachdem Sie die Einstellungen hinzugefügt haben, können Sie Ihrer Konformitätsrichtlinie ebenfalls eine Bereichsmarkierung hinzufügen.

    Weitere Informationen zur Verwendung von Bereichstags finden Sie unter Verwenden von Bereichsmarkierungen.

  10. Weisen Sie die Richtlinie auf der Registerkarte Zuweisungen Ihren Gruppen zu.

Wählen Sie Gruppen hinzufügen aus, und weisen Sie die Richtlinie einer oder mehreren Gruppen zu. Die Richtlinie wird auf diese Gruppen angewendet, wenn Sie die Richtlinie nach dem nächsten Schritt speichern.

Richtlinien für Linux unterstützen keine benutzerbasierten Zuweisungen und können nur Gerätegruppen zugewiesen werden.

  1. Überprüfen Sie die Einstellungen auf der Registerkarte Überprüfen + erstellen, und klicken Sie auf Erstellen, um die Konformitätsrichtlinie zu speichern.

    Die Benutzer oder Geräte, für die Ihre Richtlinie gilt, werden hinsichtlich der Konformität ausgewertet, wenn sie mit Intune eingecheckt werden.

Aktualisierungszykluszeit

Intune verwendet verschiedene Aktualisierungszyklen, um nach Updates der Konformitätsrichtlinien zu suchen. Wenn ein Gerät vor Kurzem registriert wurde, wird der Check-In häufiger durchgeführt. Unter Richtlinien- und Profilaktualisierungszyklen werden die geschätzten Aktualisierungszeiten aufgeführt.

Benutzer können jederzeit die Unternehmensportal-App öffnen und das Gerät synchronisieren, um sofort nach Richtlinienupdates zu suchen.

Zuweisung eines InGracePeriod-Status

Der InGracePeriod-Status für eine Konformitätsrichtlinie ist ein Wert. Der Wert wird durch die Kombination der Toleranzperiode eines Geräts und dem tatsächlichen Status eines Geräts in Bezug auf diese Konformitätsrichtlinie ermittelt.

Im Detail bedeutet das: Wenn ein Gerät den Status „NonCompliant“ für eine zugewiesene Richtlinie aufweist und:

  • dem Gerät keine Toleranzperiode zugewiesen ist, dann ist der zugewiesene Wert für die Konformitätsrichtlinie „NonCompliant“.
  • die Toleranzperiode des Geräts abgelaufen ist, dann lautet der zugewiesene Wert für die Konformitätsrichtlinie „NonCompliant“.
  • die Toleranzperiode des Geräts erst in der Zukunft abläuft, lautet der zugewiesene Wert für die Konformitätsrichtlinie „InGracePeriod“.

In der folgenden Tabelle werden diese Punkte zusammengefasst:

Tatsächlicher Konformitätsstatus Wert der zugewiesenen Toleranzperiode Effektiver Konformitätsstatus
NonCompliant Keine Toleranzperiode zugewiesen NonCompliant
NonCompliant Datum des Vortags NonCompliant
NonCompliant Datum des folgenden Tags InGracePeriod

Weitere Informationen zum Überwachen der Richtlinien zur Gerätekonformität finden Sie unter Überwachen von Intune-Richtlinien zur Gerätekonformität.

Zuweisen eines resultierenden Konformitätsrichtlinienstatus

Wenn ein Gerät mehrere Konfigurationsprofile hat und es über verschiedene Konformitätsstatus für mindestens zwei zugeordnete Konformitätsprofile verfügt, wird genau ein resultierender Konformitätsstaus zugewiesen. Diese Zuweisung basiert auf einem konzeptuellen Schweregrad, der den einzelnen Konformitätsstatus zugewiesen ist. Jeder Konformitätsstatus verfügt über den folgenden Schweregrad:

Status Severity
Unbekannt 1
NotApplicable 2
Kompatible 3
InGracePeriod 4
NonCompliant 5
Fehler 6

Hat ein Gerät mehrere Konformitätsrichtlinien, so wird dem Gerät der höchste Schweregrad aller Richtlinien zugewiesen.

Angenommen, einem Gerät sind z. B. drei Konformitätsrichtlinien zugewiesen: ein Status „Unknown“ (Unbekannt, Schweregrad = 1), ein Status „Compliant“ (Konform, Schweregrad = 3) und ein Status „InGracePeriod“ (Befristet, Schweregrad = 4). Der Status „InGracePeriod“ (Befristet) hat den höchsten Schweregrad. Deshalb haben alle drei Richtlinien den Konformitätsstatus „InGracePeriod“ (Befristet).

Nächste Schritte

Überwachen von Intune-Richtlinien zur Gerätekompatibilität.