Freigeben über


Schritt 4: Konfigurieren von Gerätefeatures und -einstellungen zum Schützen von Geräten und Zugreifen auf Ressourcen

Bisher haben Sie Ihr Intune-Abonnement eingerichtet, App-Schutzrichtlinien erstellt und Gerätekonformitätsrichtlinien erstellt.

In diesem Schritt können Sie einen Mindest- oder Baselinesatz von Sicherheits- und Gerätefeatures konfigurieren, über die alle Geräte verfügen müssen.

Diagramm, das die ersten Schritte mit Microsoft Intune mit Schritt 4 zeigt, in dem Gerätefeatures und Sicherheitseinstellungen konfiguriert werden.

Dieser Artikel gilt für:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

Wenn Sie Gerätekonfigurationsprofile erstellen, stehen verschiedene Ebenen und Typen von Richtlinien zur Verfügung. Diese Ebenen sind die von Microsoft empfohlenen Mindestrichtlinien. Wissen Sie, dass Ihre Umgebung und Ihre Geschäftlichen Anforderungen unterschiedlich sein können.

  • Ebene 1 – Minimale Gerätekonfiguration: In dieser Ebene empfiehlt Microsoft, Richtlinien zu erstellen, die:

    • Konzentrieren Sie sich auf die Gerätesicherheit, einschließlich der Installation von Antivirensoftware, der Erstellung einer Richtlinie für sichere Kennwörter und der regelmäßigen Installation von Softwareupdates.
    • Gewähren Sie Benutzern Zugriff auf ihre Organisations-E-Mails und kontrollierten sicheren Zugriff auf Ihr Netzwerk, unabhängig davon, wo sie sich gerade befinden.
  • Ebene 2 – Erweiterte Gerätekonfiguration: In dieser Ebene empfiehlt Microsoft, Richtlinien zu erstellen, die:

    • Erweitern Sie die Gerätesicherheit, einschließlich der Konfiguration der Datenträgerverschlüsselung, der Aktivierung des sicheren Starts und des Hinzufügens weiterer Kennwortregeln.
    • Verwenden Sie die integrierten Features und Vorlagen, um weitere Einstellungen zu konfigurieren, die für Ihre Organisation wichtig sind, einschließlich der Analyse lokaler Gruppenrichtlinienobjekte (GPOs).
  • Ebene 3 – Hohe Gerätekonfiguration: In dieser Ebene empfiehlt Microsoft, Richtlinien zu erstellen, die:

    • Wechseln Sie zur kennwortlosen Authentifizierung, einschließlich der Verwendung von Zertifikaten, konfigurieren des einmaligen Anmeldens (Single Sign-On, SSO) für Apps, Aktivieren der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) und Konfigurieren von Microsoft Tunnel.
    • Fügen Sie zusätzliche Sicherheitsebenen hinzu, indem Sie den Allgemeinen Kriterienmodus von Android verwenden oder DFCI-Richtlinien für Windows-Geräte erstellen.
    • Verwenden Sie die integrierten Features, um Kioskgeräte, dedizierte Geräte, freigegebene Geräte und andere spezialisierte Geräte zu konfigurieren.
    • Bereitstellen vorhandener Shellskripts.

In diesem Artikel werden die verschiedenen Ebenen von Gerätekonfigurationsrichtlinien aufgeführt, die Organisationen verwenden sollten. Die meisten dieser Richtlinien in diesem Artikel konzentrieren sich auf den Zugriff auf Organisationsressourcen und die Sicherheit.

Diese Features werden in Gerätekonfigurationsprofilen im Microsoft Intune Admin Center konfiguriert. Wenn die Intune-Profile bereit sind, können sie Ihren Benutzern und Geräten zugewiesen werden.

Ebene 1: Erstellen Ihrer Sicherheitsbaseline

Um die Sicherheit ihrer Unternehmensdaten und -geräte zu gewährleisten, erstellen Sie verschiedene Richtlinien, die sich auf die Sicherheit konzentrieren. Sie sollten eine Liste der Sicherheitsfeatures erstellen, die alle Benutzer und/oder alle Geräte aufweisen müssen. Diese Liste ist Ihre Sicherheitsbaseline.

In Ihrer Baseline empfiehlt Microsoft mindestens die folgenden Sicherheitsrichtlinien:

  • Installieren Sie Antivirensoftware (AV), und suchen Sie regelmäßig nach Schadsoftware.
  • Verwenden von Erkennung und Reaktion
  • Aktivieren der Firewall
  • Regelmäßiges Installieren von Softwareupdates
  • Erstellen einer sicheren PIN/Kennwortrichtlinie

In diesem Abschnitt werden die Intune- und Microsoft-Dienste aufgeführt, die Sie zum Erstellen dieser Sicherheitsrichtlinien verwenden können.

Eine genauere Liste der Windows-Einstellungen und deren empfohlenen Werte erhalten Sie unter Windows-Sicherheitsbaselines.

Antivirus und Überprüfung

Installieren Sie Antivirensoftware und suchen Sie regelmäßig nach Schadsoftware.

Auf allen Geräten sollte Antivirensoftware installiert sein und regelmäßig auf Schadsoftware überprüft werden. Intune lässt sich in MtD-Dienste (Mobile Threat Defense) von Drittanbietern integrieren, die AV- und Bedrohungsüberprüfungen bereitstellen. Für macOS und Windows sind Antiviren- und Überprüfungsvorgänge in Intune mit Microsoft Defender für Endpunkt integriert.

Ihre Richtlinienoptionen:

Plattform Richtlinientyp
Android für Unternehmen – Mobile Threat Defense-Partner
– Microsoft Defender für Endpunkt für Android kann auf Schadsoftware suchen
iOS/iPadOS Mobile Threat Defense-Partner
macOS Intune Endpoint Security-Antivirenprofil (Microsoft Defender für Endpunkt)
Windows-Client – Intune-Sicherheitsbaselines (empfohlen)
– Intune Endpoint Security-Antivirenprofil (Microsoft Defender für Endpunkt)
– Mobile Threat Defense-Partner

Weitere Informationen zu diesen Features finden Sie unter:

Erkennung und Reaktion

Erkennen von Angriffen und Reagieren auf diese Bedrohungen

Wenn Sie Bedrohungen schnell erkennen, können Sie die Auswirkungen der Bedrohung minimieren. Wenn Sie diese Richtlinien mit bedingtem Zugriff kombinieren, können Sie Verhindern, dass Benutzer und Geräte auf Organisationsressourcen zugreifen, wenn eine Bedrohung erkannt wird.

Ihre Richtlinienoptionen:

Plattform Richtlinientyp
Android für Unternehmen – Mobile Threat Defense-Partner
: Microsoft Defender für Endpunkt unter Android
iOS/iPadOS – Mobile Threat Defense-Partner
: Microsoft Defender für Endpunkt unter iOS/iPadOS
macOS Nicht verfügbar
Windows-Client – Intune-Sicherheitsbaselines (empfohlen)
– Intune-Endpunkterkennungs- und -antwortprofil (Microsoft Defender für Endpunkt)
– Mobile Threat Defense-Partner

Weitere Informationen zu diesen Features finden Sie unter:

Firewall

Aktivieren der Firewall auf allen Geräten

Einige Plattformen verfügen über eine integrierte Firewall, auf anderen müssen Sie möglicherweise eine Firewall separat installieren. Intune kann in MtD-Dienste (Mobile Threat Defense) von Drittanbietern integriert werden, die eine Firewall für Android- und iOS-/iPadOS-Geräte verwalten können. Für macOS und Windows ist die Firewallsicherheit in Intune mit Microsoft Defender für Endpunkt integriert.

Ihre Richtlinienoptionen:

Plattform Richtlinientyp
Android für Unternehmen Mobile Threat Defense-Partner
iOS/iPadOS Mobile Threat Defense-Partner
macOS Intune Endpoint Security-Firewallprofil (Microsoft Defender für Endpunkt)
Windows-Client – Intune-Sicherheitsbaselines (empfohlen)
– Intune Endpoint Security-Firewallprofil (Microsoft Defender für Endpunkt)
– Mobile Threat Defense-Partner

Weitere Informationen zu diesen Features finden Sie unter:

Kennwortrichtlinie

Erstellen einer sicheren Kennwort-/PIN-Richtlinie und Blockieren einfacher Kennungen

PINs entsperren Geräte. Auf Geräten, die auf Organisationsdaten zugreifen, einschließlich persönlicher Geräte, sollten Sie starke PINs/Kennungen benötigen und biometrische Daten unterstützen, um Geräte zu entsperren. Die Verwendung von biometrischen Daten ist Teil eines kennwortlosen Ansatzes, der empfohlen wird.

Intune verwendet Geräteeinschränkungsprofile zum Erstellen und Konfigurieren von Kennwortanforderungen.

Ihre Richtlinienoptionen:

Plattform Richtlinientyp
Android für Unternehmen Intune-Profil für Geräteeinschränkungen zum Verwalten von:
– Gerätekennwort
– Arbeitsprofilkennwort
Android Open-Source Project (AOSP) Profil für Intune-Geräteeinschränkungen
iOS/iPadOS Profil für Intune-Geräteeinschränkungen
macOS Profil für Intune-Geräteeinschränkungen
Windows-Client – Intune-Sicherheitsbaselines (empfohlen):
Profil für Intune-Geräteeinschränkungen

Eine Liste der Einstellungen, die Sie konfigurieren können, finden Sie unter:

Softwareupdates

Regelmäßiges Installieren von Softwareupdates

Alle Geräte sollten regelmäßig aktualisiert und Richtlinien erstellt werden, um sicherzustellen, dass diese Updates erfolgreich installiert werden. Für die meisten Plattformen verfügt Intune über Richtlinieneinstellungen, die sich auf die Verwaltung und Installation von Updates konzentrieren.

Ihre Richtlinienoptionen:

Plattform Richtlinientyp
Geräte im Besitz der Android Enterprise-Organisation Systemupdateeinstellungen mithilfe des Intune-Geräteeinschränkungsprofils
Persönliche Android Enterprise-Geräte Nicht verfügbar

Kann Konformitätsrichtlinien verwenden, um eine Minimale Patchebene, eine minimale/maximale Betriebssystemversion und vieles mehr festzulegen.
iOS/iPadOS Intune-Updaterichtlinie
macOS Intune-Updaterichtlinie
Windows-Client – Richtlinie für
Intune-Featureupdates – Richtlinie für beschleunigte Intune-Updates

Weitere Informationen zu diesen Features und/oder den Einstellungen, die Sie konfigurieren können, finden Sie unter:

Ebene 1: Zugreifen auf Organisations-E-Mails, Herstellen einer VERBINDUNG mit VPN oder Wi-Fi

Dieser Abschnitt konzentriert sich auf den Zugriff auf Ressourcen in Ihrer Organisation. Diese Ressourcen enthalten:

  • E-Mail für Geschäfts-, Schul- oder Unikonten
  • VPN-Verbindung für Remotekonnektivität
  • Wi-Fi Verbindung für lokale Konnektivität

Diagramm, das ein E-Mail-, VPN- und Wi-Fi-Profil zeigt, das von Microsoft Intune auf Endbenutzergeräten bereitgestellt wird.

E-Mail

Viele Organisationen stellen E-Mail-Profile mit vorkonfigurierten Einstellungen auf Benutzergeräten bereit.

Automatisches Herstellen einer Verbindung mit Benutzer-E-Mail-Konten

Das Profil enthält die E-Mail-Konfigurationseinstellungen, die eine Verbindung mit Ihrem E-Mail-Server herstellen.

Abhängig von den einstellungen, die Sie konfigurieren, kann das E-Mail-Profil die Benutzer auch automatisch mit ihren individuellen E-Mail-Kontoeinstellungen verbinden.

Verwenden von E-Mail-Apps auf Unternehmensebene

E-Mail-Profile in Intune verwenden gängige und beliebte E-Mail-Apps wie Outlook. Die E-Mail-App wird auf Benutzergeräten bereitgestellt. Nachdem die App bereitgestellt wurde, stellen Sie das E-Mail-Gerätekonfigurationsprofil mit den Einstellungen bereit, die die E-Mail-App konfigurieren.

Das E-Mail-Gerätekonfigurationsprofil enthält Einstellungen, die eine Verbindung mit Exchange herstellen.

Zugreifen auf Geschäfts-, Schul- oder Uni-E-Mails

Das Erstellen eines E-Mail-Profils ist eine allgemeine Mindestbaselinerichtlinie für Organisationen mit Benutzern, die E-Mails auf ihren Geräten verwenden.

Intune verfügt über integrierte E-Mail-Einstellungen für Android-, iOS-/iPadOS- und Windows-Clientgeräte. Wenn Benutzer ihre E-Mail-App öffnen, können sie automatisch eine Verbindung herstellen, sich authentifizieren und ihre E-Mail-Konten ihrer Organisation auf ihren Geräten synchronisieren.

Jederzeit bereitstellen

Auf neuen Geräten wird empfohlen, die E-Mail-App während des Registrierungsprozesses bereitzustellen. Stellen Sie nach Abschluss der Registrierung die E-Mail-Gerätekonfigurationsrichtlinie bereit.

Wenn Sie über vorhandene Geräte verfügen, stellen Sie die E-Mail-App jederzeit bereit, und stellen Sie die E-Mail-Gerätekonfigurationsrichtlinie bereit.

Erste Schritte mit E-Mail-Profilen

Erste Schritte:

  1. Stellen Sie eine E-Mail-App auf Ihren Geräten bereit. Anleitungen finden Sie unter Hinzufügen von E-Mail-Einstellungen zu Geräten mit Intune.

  2. Erstellen Sie ein E-Mail-Gerätekonfigurationsprofil in Intune. Abhängig von der E-Mail-App, die Ihre Organisation verwendet, ist das E-Mail-Gerätekonfigurationsprofil möglicherweise nicht erforderlich.

    Anleitungen finden Sie unter Hinzufügen von E-Mail-Einstellungen zu Geräten mit Intune.

  3. Konfigurieren Sie im E-Mail-Gerätekonfigurationsprofil die Einstellungen für Ihre Plattform:

  4. Weisen Sie Das E-Mail-Gerätekonfigurationsprofil Ihren Benutzern oder Benutzergruppen zu.

VPN

Viele Organisationen stellen VPN-Profile mit vorkonfigurierten Einstellungen für Benutzergeräte bereit. Das VPN verbindet Ihre Geräte mit Ihrem internen Organisationsnetzwerk.

Wenn Ihre Organisation Clouddienste mit moderner Authentifizierung und sicheren Identitäten verwendet, benötigen Sie wahrscheinlich kein VPN-Profil. Cloudnative Dienste erfordern keine VPN-Verbindung.

Wenn Ihre Apps oder Dienste nicht cloudbasiert oder nicht cloudnativ sind, stellen Sie ein VPN-Profil bereit, um eine Verbindung mit Ihrem internen Organisationsnetzwerk herzustellen.

Arbeiten von überall aus

Das Erstellen eines VPN-Profils ist eine allgemeine Mindestbaselinerichtlinie für Organisationen mit Remotemitarbeitern und Hybrid Workern.

Da Benutzer von überall aus arbeiten, können sie das VPN-Profil verwenden, um eine sichere Verbindung mit dem Netzwerk Ihrer Organisation herzustellen, um auf Ressourcen zuzugreifen.

Intune verfügt über integrierte VPN-Einstellungen für Android-, iOS-/iPadOS-, macOS- und Windows-Clientgeräte. Auf Benutzergeräten wird Ihre VPN-Verbindung als verfügbare Verbindung angezeigt. Benutzer wählen sie aus. Abhängig von den Einstellungen in Ihrem VPN-Profil können sich Benutzer automatisch authentifizieren und eine Verbindung mit dem VPN auf ihren Geräten herstellen.

Verwenden von VPN-Apps auf Unternehmensebene

VPN-Profile in Intune verwenden gängige UNTERNEHMENS-VPN-Apps wie Check Point, Cisco, Microsoft Tunnel und mehr. Die VPN-App wird auf Benutzergeräten bereitgestellt. Nachdem die App bereitgestellt wurde, stellen Sie das VPN-Verbindungsprofil mit Einstellungen bereit, die die VPN-App konfigurieren.

Das VPN-Gerätekonfigurationsprofil enthält Einstellungen, die eine Verbindung mit Ihrem VPN-Server herstellen.

Jederzeit bereitstellen

Auf neuen Geräten wird empfohlen, die VPN-App während des Registrierungsprozesses bereitzustellen. Stellen Sie nach Abschluss der Registrierung die VPN-Gerätekonfigurationsrichtlinie bereit.

Wenn Sie über vorhandene Geräte verfügen, stellen Sie die VPN-App jederzeit bereit, und stellen Sie dann die VPN-Gerätekonfigurationsrichtlinie bereit.

Erste Schritte mit VPN-Profilen

Erste Schritte:

  1. Stellen Sie eine VPN-App auf Ihren Geräten bereit.

  2. Erstellen Sie ein VPN-Konfigurationsprofil in Intune.

  3. Konfigurieren Sie im VPN-Gerätekonfigurationsprofil die Einstellungen für Ihre Plattform:

  4. Weisen Sie Das VPN-Gerätekonfigurationsprofil Ihren Benutzern oder Benutzergruppen zu.

WLAN

Viele Organisationen stellen Wi-Fi Profile mit vorkonfigurierten Einstellungen auf Benutzergeräten bereit. Wenn Ihre Organisation nur Remotemitarbeiter hat, müssen Sie keine Wi-Fi Verbindungsprofile bereitstellen. Wi-Fi Profile sind optional und werden für die lokale Konnektivität verwendet.

Drahtlos verbinden

Wenn Benutzer von verschiedenen mobilen Geräten aus arbeiten, können sie das Wi-Fi-Profil verwenden, um drahtlos und sicher eine Verbindung mit dem Netzwerk Ihrer Organisation herzustellen.

Das Profil enthält die Wi-Fi Konfigurationseinstellungen, die automatisch eine Verbindung mit Ihrem Netzwerk und/oder SSID (Service Set Identifier) herstellen. Benutzer müssen ihre Wi-Fi Einstellungen nicht manuell konfigurieren.

Lokale Unterstützung mobiler Geräte

Das Erstellen eines Wi-Fi-Profils ist eine allgemeine Mindestbaselinerichtlinie für Organisationen mit mobilen Geräten, die lokal funktionieren.

Intune verfügt über integrierte Wi-Fi Einstellungen für Android-, iOS-/iPadOS-, macOS- und Windows-Clientgeräte. Auf Benutzergeräten wird Ihre Wi-Fi Verbindung als verfügbare Verbindung angezeigt. Benutzer wählen sie aus. Abhängig von den Einstellungen in Ihrem Wi-Fi-Profil können sich Benutzer automatisch authentifizieren und eine Verbindung mit dem Wi-Fi auf ihren Geräten herstellen.

Jederzeit bereitstellen

Auf neuen Geräten wird empfohlen, die Wi-Fi Gerätekonfigurationsrichtlinie bereitzustellen, wenn Geräte bei Intune registriert werden.

Wenn Sie über vorhandene Geräte verfügen, können Sie die Wi-Fi Gerätekonfigurationsrichtlinie jederzeit bereitstellen.

Erste Schritte mit Wi-Fi Profilen

Erste Schritte:

  1. Erstellen Sie ein Wi-Fi Gerätekonfigurationsprofil in Intune.

  2. Konfigurieren Sie die Einstellungen für Ihre Plattform:

  3. Weisen Sie Ihren Benutzern oder Benutzergruppen das Wi-Fi Gerätekonfigurationsprofil zu.

Ebene 2: Erweiterter Schutz und erweiterte Konfiguration

Diese Ebene erweitert das, was Sie in Ebene 1 konfiguriert haben, und erhöht die Sicherheit für Ihre Geräte. In diesem Abschnitt erstellen Sie richtlinien der Ebene 2, die weitere Sicherheitseinstellungen für Ihre Geräte konfigurieren.

Microsoft empfiehlt die folgenden Sicherheitsrichtlinien der Stufe 2:



  • Intune umfasst Hunderte von Einstellungen, mit denen Gerätefeatures und -einstellungen verwaltet werden können , z. B. das Deaktivieren der integrierten Kamera, das Steuern von Benachrichtigungen, das Zulassen von Bluetooth, das Blockieren von Spielen und vieles mehr.

    Sie können die integrierten Vorlagen oder den Einstellungskatalog verwenden, um die Einstellungen anzuzeigen und zu konfigurieren.

    • Vorlagen für Geräteeinschränkungen verfügen über viele integrierte Einstellungen, die verschiedene Teile der Geräte steuern können, einschließlich Sicherheit, Hardware, Datenfreigabe und mehr.

      Sie können diese Vorlagen auf den folgenden Plattformen verwenden:

      • Android
      • iOS/iPadOS
      • macOS
      • Windows
    • Verwenden Sie den Einstellungskatalog , um alle verfügbaren Einstellungen anzuzeigen und zu konfigurieren. Sie können den Einstellungskatalog auf den folgenden Plattformen verwenden:

      • iOS/iPadOS
      • macOS
      • Windows
    • Verwenden Sie die integrierten administrativen Vorlagen, ähnlich wie bei der lokalen Konfiguration von ADMX-Vorlagen. Sie können die ADMX-Vorlagen auf der folgenden Plattform verwenden:

      • Windows
  • Wenn Sie lokale Gruppenrichtlinienobjekte verwenden und wissen möchten, ob diese Einstellungen in Intune verfügbar sind, verwenden Sie die Gruppenrichtlinienanalyse. Dieses Feature analysiert Ihre Gruppenrichtlinienobjekte und kann sie abhängig von der Analyse in eine Intune-Einstellungskatalogrichtlinie importieren.

    Weitere Informationen findest du unter Analysieren ihrer lokalen Gruppenrichtlinienobjekte und importieren sie in Intune.

Ebene 3: Hoher Schutz und hohe Konfiguration

Diese Ebene erweitert das, was Sie in den Ebenen 1 und 2 konfiguriert haben. Sie fügt zusätzliche Sicherheitsfeatures hinzu, die in Organisationen auf Unternehmensebene verwendet werden.


  1. Einrichten von Microsoft Intune
  2. Hinzufügen, Konfigurieren und Schützen von Apps
  3. Planen von Konformitätsrichtlinien
  4. 🡺 Konfigurieren von Gerätefeatures (Sie sind hier)
  5. Registrieren von Geräten