Hinzufügen von Endpoint Protection-Einstellungen in Intune
Mit Intune können Sie Gerätekonfigurationsprofile verwenden, um allgemeine Endpoint Protection-Sicherheitsfeatures auf Geräten zu verwalten, einschließlich:
- Firewall
- BitLocker
- Zulassen und Sperren von Apps
- Microsoft Defender und Verschlüsselung
Sie können z. B. ein Endpoint Protection-Profil erstellen, das nur macOS-Benutzern das Installieren von Apps aus dem Mac-App Store ermöglicht. Oder Sie aktivieren Windows SmartScreen, wenn Sie Apps auf Windows 10/11-Geräten ausführen.
Lesen Sie vor dem Erstellen eines Profils die folgenden Artikel, in denen die Endpoint Protection-Einstellungen erläutert werden, die Intune für jede unterstützte Plattform verwalten kann:
Erstellen eines Geräteprofils mit Endpoint Protection-Einstellungen
Wichtig
Die macOS Endpoint Protection-Vorlage ist veraltet. Vorhandene Richtlinien bleiben unverändert, aber Sie können mit dieser Vorlage keine neuen Richtlinien mehr erstellen. Es wird empfohlen, den Einstellungskatalog zu verwenden, um neue Konfigurationsrichtlinien für FileVault-, Firewall- und Systemrichtliniensteuerungs-Nutzlasten (Gatekeeper) zu erstellen. Weitere Informationen finden Sie unter macOS-Einstellungskatalog.
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Geräte>verwalten Konfiguration>>Erstellen aus.
Geben Sie die folgenden Eigenschaften ein:
Plattform: Wählen Sie die Plattform Ihrer Geräte aus. Folgende Optionen sind verfügbar:
- macOS
- Windows 10 und höher
Profile: Wählen Sie Vorlagen>Endpoint Protectionaus.
Wählen Sie Erstellen aus.
Geben Sie in Grundlagen die folgenden Eigenschaften ein:
- Name: Geben Sie einen aussagekräftigen Namen für die Richtlinie ein. Benennen Sie Ihre Richtlinien so, dass Sie diese später leicht wiedererkennen. Ein guter Richtlinienname enthält beispielsweise den Profiltyp und die Plattform.
- Beschreibung: Geben Sie eine Beschreibung der Richtlinie ein. Diese Einstellung ist optional, wird jedoch empfohlen.
Wählen Sie Weiter aus.
Die verfügbaren Konfigurationseinstellungen variieren je nach ausgewählter Plattform. Wählen Sie Ihre Plattform für detaillierte Einstellungen aus:
Wählen Sie Weiter aus.
Wählen Sie unter Zuweisungen die Benutzer oder Gruppen aus, denen Ihr Profil zugewiesen werden soll. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.
Wählen Sie Weiter aus.
Verwenden Sie auf der Seite Anwendbarkeitsregeln die Optionen Regel, Eigenschaftund Wert, um zu definieren, wie dieses Profil in zugewiesenen Gruppen angewendet wird. Intune wendet das Profil auf Geräte an, die die Regeln erfüllen, die Sie eingeben. Weitere Informationen zu Anwendbarkeitsregeln finden Sie unter Anwendbarkeitsregeln.
Wählen Sie Weiter aus.
Überprüfen Sie die Einstellungen unter Überprüfen + erstellen. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.
Hinzufügen benutzerdefinierter Firewallregeln für Windows 10/11-Geräte
Wenn Sie die Windows-Firewall als Teil eines Profils konfigurieren, das Endpunktschutzregeln für Windows 10/11 enthält, können Sie benutzerdefinierte Regeln für Firewalls konfigurieren. Mit benutzerdefinierten Regeln können Sie den vordefinierten Satz von Firewallregeln erweitern, die für Windows-Geräte unterstützt werden.
Berücksichtigen Sie beim Planen von Profilen mit benutzerdefinierten Firewallregeln die folgenden Informationen, die sich darauf auswirken können, wie Sie Firewallregeln in Ihren Profilen gruppieren:
Jedes Profil unterstützt bis zu 150 Firewallregeln. Wenn Sie mehr als 150 Regeln verwenden, sollten Sie zusätzliche Profile erstellen, die jeweils auf 150 Regeln beschränkt sind.
Wenn eine einzelne Regel nicht angewendet werden kann, schlagen für alle Regeln sämtliche Profile fehl, und keine der Regeln wird auf das Gerät angewendet.
Wenn eine Regel nicht angewendet werden kann, werden für alle Regeln im Profil ein Fehler gemeldet. Intune kann nicht feststellen, welche Regel fehlgeschlagen ist.
Die Firewallregeln, die von Intune verwaltet werden können, werden im Artikel Windows-Firewall-Konfigurationsdienstanbieter ausführlich beschrieben. Eine Liste der benutzerdefinierten Firewalleinstellungen für Windows-Geräte, die von Intune unterstützt werden, finden Sie unter benutzerdefinierte Firewallregeln.
So fügen Sie einem Endpoint Protection-Profil benutzerdefinierte Firewallregeln hinzu
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Geräte>verwalten Konfiguration>>Erstellen aus.
Geben Sie die folgenden Eigenschaften ein:
Plattform: Wählen Sie Windows 10 und höher aus.
Profile: Wählen Sie Vorlagen>Endpoint Protectionaus.
Wählen Sie Erstellen aus.
Geben Sie in Grundlagen die folgenden Eigenschaften ein:
- Name: Geben Sie einen aussagekräftigen Namen für die Richtlinie ein. Benennen Sie Ihre Richtlinien so, dass Sie diese später leicht wiedererkennen. Ein guter Richtlinienname enthält beispielsweise den Profiltyp und die Plattform.
- Beschreibung: Geben Sie eine Beschreibung der Richtlinie ein. Diese Einstellung ist optional, wird jedoch empfohlen.
Wählen Sie Weiter aus.
Erweitern Sie unter Konfigurationseinstellungen die Option Windows-Firewall. Als Nächstes wählen Sie für Firewallregeln die Option Hinzufügen aus, um die Seite Regel erstellen zu öffnen.
Legen Sie Einstellungen für die Firewallregel fest, und klicken Sie dann auf Speichern, um sie zu speichern. Informationen zu den verfügbaren Optionen für benutzerdefinierte Firewallregeln in der Dokumentation finden Sie unter Benutzerdefinierte Firewallregeln.
- Die Regel wird auf der Seite Windows-Firewall in der Liste der Regeln angezeigt.
- Sie können Regeln ändern, indem Sie die gewünschte Regel aus der Liste auswählen, um die Seite Regel bearbeiten zu öffnen.
- Wenn Sie eine Regel aus einem Profil löschen möchten, klicken Sie erst auf die Auslassungspunkte (...) und anschließend auf Löschen.
- Sie können die Reihenfolge ändern, in der die Regeln angezeigt werden, indem Sie im oberen Bereich der Regelliste auf das Symbol mit den Pfeilen nach oben und unten klicken.
Wählen Sie Weiter aus.
Wählen Sie unter Zuweisungen die Gerätegruppen aus, denen dieses Profil zugewiesen werden soll. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.
Wählen Sie Weiter aus.
Verwenden Sie auf der Seite Anwendbarkeitsregeln die Optionen Regel, Eigenschaftund Wert, um zu definieren, wie dieses Profil in zugewiesenen Gruppen angewendet wird. Intune wendet das Profil auf Geräte an, die die Regeln erfüllen, die Sie eingeben. Weitere Informationen zu Anwendbarkeitsregeln finden Sie unter Anwendbarkeitsregeln.
Wählen Sie Weiter aus.
Überprüfen Sie die Einstellungen unter Überprüfen + erstellen. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.