Anzeigen und Bearbeiten Ihrer Geräteschutzrichtlinien
In Microsoft 365 Business Premium werden Sicherheitseinstellungen für verwaltete Geräte über Geräteschutzrichtlinien im Microsoft Defender-Portal oder im Microsoft Intune Admin Center konfiguriert. Um die Einrichtung und Konfiguration zu vereinfachen, gibt es vorkonfigurierte Richtlinien, die dazu beitragen, die Geräte Ihres Unternehmens zu schützen, sobald sie integriert sind. Sie können die Standardrichtlinien verwenden, vorhandene Richtlinien bearbeiten oder eigene Richtlinien erstellen.
Diese Anleitung beschreibt, wie Sie:
- Verschaffen Sie sich einen Überblick über Ihre Standardrichtlinien
- Arbeiten Sie im Microsoft Defender-Portal oder im Microsoft Intune Admin Center mit Geräterichtlinien.
Informationen zu den standardmäßigen Geräteschutzrichtlinien
Microsoft 365 Business Premium umfasst zwei Haupttypen von Richtlinien zum Schutz der Geräte Ihrer Organisation:
Schutzrichtlinien der nächsten Generation, die bestimmen, wie Microsoft Defender Antivirus und andere Funktionen zum Schutz vor Bedrohungen konfiguriert werden.
Firewall-Richtlinien, die festlegen, welcher Netzwerkdatenverkehr zu und von den Geräten Ihrer Organisation fließen darf.
Zu den zusätzlichen Richtlinien gehören:
- Webinhaltsfilterung, mit der Ihr Sicherheitsteam den Zugriff auf Websites basierend auf Inhaltskategorien (z. B. nicht jugendfreie Inhalte, hohe Bandbreite, rechtliche Haftung und Freizeit) nachverfolgen und regulieren kann. Weitere Informationen finden Sie unter Filtern von Webinhalten in Microsoft Defender for Business.
- Kontrollierter Ordnerzugriff, der nur vertrauenswürdigen Apps den Zugriff auf geschützte Ordner auf Windows-Geräten zulässt. Stellen Sie sich diese Funktion als Ransomware-Schutz vor. Weitere Informationen finden Sie unter Einrichten oder Bearbeiten Ihrer Richtlinie für den kontrollierten Ordnerzugriff in Microsoft Defender for Business.
- Regeln zur Verringerung der Angriffsfläche , die dazu beitragen, die Orte und Möglichkeiten zu reduzieren, in denen Ihr Unternehmen anfällig für Cyberbedrohungen und Angriffe sein könnte. Weitere Informationen finden Sie unter Aktivieren von Regeln zur Verringerung der Angriffsfläche in Microsoft Defender for Business.
Diese Richtlinien sind Teil von Microsoft Defender for Business, das in Ihrem Microsoft 365 Business Premium-Abonnement enthalten ist. Informationen zum Arbeiten mit Richtlinien werden im Microsoft Defender-Portal oder im Microsoft Intune Admin Center bereitgestellt.
Arbeiten mit Geräterichtlinien im Microsoft Defender-Portal
Die folgenden Details gelten für die Arbeit mit Ihren Richtlinien im Microsoft Defender-Portal (https://security.microsoft.com).
Anzeigen vorhandener Geräteschutzrichtlinien in Microsoft Defender XDR
Wählen Sie im Microsoft Defender-Portal (https://security.microsoft.com) im Navigationsbereich Gerätekonfiguration aus. Richtlinien werden nach Betriebssystem (z. B. Windows-Client) und Richtlinientyp (z. B. Schutz der nächsten Generation und Firewall) organisiert.
Wählen Sie eine Betriebssystemregisterkarte aus (z. B. Windows-Clients), und überprüfen Sie dann die Liste der Richtlinien unter den Kategorien Schutz der nächsten Generation und Firewall.
Um weitere Details zu einer Richtlinie anzuzeigen, wählen Sie dessen Namen aus. Ein Seitenbereich wird geöffnet, der weitere Informationen zu dieser Richtlinie bereitstellt, z. B. welche Geräte durch diese Richtlinie geschützt sind.
Bearbeiten einer vorhandenen Geräteschutzrichtlinie in Microsoft Defender XDR
Wählen Sie im Microsoft Defender-Portal (https://security.microsoft.com) im Navigationsbereich Gerätekonfiguration aus. Richtlinien werden nach Betriebssystem (z. B. Windows-Client) und Richtlinientyp (z. B. Schutz der nächsten Generation und Firewall) organisiert.
Wählen Sie eine Betriebssystemregisterkarte aus (z. B. Windows-Clients), und überprüfen Sie dann die Liste der Richtlinien unter den Kategorien Schutz der nächsten Generation und Firewall.
Um eine Richtlinie zu bearbeiten, wählen Sie dessen Namen und dann Bearbeiten aus.
Überprüfen Sie die Informationen auf der Registerkarte Allgemeine Informationen. Bei Bedarf können Sie die Beschreibung bearbeiten. Wählen Sie dann Weiter aus.
Bestimmen Sie auf der Registerkarte Gerätegruppen, welche Gerätegruppen diese Richtlinie erhalten sollen.
- Um die ausgewählte Gerätegruppe so beizubehalten, wie sie ist, wählen Sie Weiter aus.
- Um eine Gerätegruppe aus der Richtlinie zu entfernen, wählen Sie Entfernen aus.
- Um eine neue Gerätegruppe einzurichten, wählen Sie Neue Gruppe erstellen aus, und richten Sie dann Ihre Gerätegruppe ein. (Hilfe zu dieser Aufgabe finden Sie unter Gerätegruppen in Microsoft 365 Business Premium.)
- Um die Richtlinie auf eine andere Gerätegruppe anzuwenden, wählen Sie Vorhandene Gruppe verwenden aus.
Nachdem Sie angegeben haben, welche Gerätegruppen die Richtlinie erhalten sollen, wählen Sie Weiter aus.
Überprüfen Sie auf der Registerkarte Konfigurationseinstellungen die Einstellungen. Bei Bedarf können Sie die Einstellungen für Ihre Richtlinie bearbeiten. Hilfe zu dieser Aufgabe finden Sie in den folgenden Artikeln:
- Grundlegendes zu Konfigurationseinstellungen der nächsten Generation
- Firewallrichtlinieneinstellungen
Nachdem Sie ihre Schutzeinstellungen der nächsten Generation angegeben haben, wählen Sie Weiter aus.
Überprüfen Sie auf der Registerkarte Richtlinie überprüfen die allgemeinen Informationen, zielorientierte Geräte und Konfigurationseinstellungen.
- Nehmen Sie alle erforderlichen Änderungen vor, indem Sie Bearbeiten auswählen.
- Wenn Sie bereit sind, den Vorgang fortzusetzen, wählen Sie Richtlinie aktualisieren aus.
Erstellen einer neuen Geräteschutzrichtlinie in Microsoft Defender XDR
Wählen Sie im Microsoft Defender-Portal (https://security.microsoft.com) im Navigationsbereich Gerätekonfiguration aus. Richtlinien werden nach Betriebssystem (z. B. Windows-Client) und Richtlinientyp (z. B. Schutz der nächsten Generation und Firewall) organisiert.
Wählen Sie eine Betriebssystemregisterkarte aus (z. B. Windows Clients), und überprüfen Sie dann die Liste der Schutzrichtlinien der nächsten Generation.
Wählen Sie unter Schutz der nächsten Generation oder Firewall die Option +Hinzufügen aus.
Führen Sie auf der Registerkarte Allgemeine Informationen die folgenden Schritte aus:
- Geben Sie einen Namen und eine Beschreibung an. Diese Informationen helfen Ihnen und Ihrem Team, die Richtlinie später zu identifizieren.
- Überprüfen Sie die Richtlinienreihenfolge und bearbeiten Sie sie bei Bedarf. (Weitere Informationen finden Sie unter Richtlinienreihenfolge.)
- Wählen Sie Weiter aus.
Erstellen Sie auf der Registerkarte Gerätegruppen entweder eine neue Gerätegruppe, oder verwenden Sie eine vorhandene Gruppe. Richtlinien werden Geräten über Gerätegruppen zugewiesen. Hier sind einige Punkte, die Sie beachten sollten:
- Anfangs verfügen Sie möglicherweise nur über Ihre Standardgerätegruppe, die die Geräte enthält, die Personen in Ihrer Organisation verwenden, um auf Organisationsdaten und E-Mails zuzugreifen. Sie können Ihre Standardgerätegruppe beibehalten und verwenden.
- Erstellen Sie eine neue Gerätegruppe, um eine Richtlinie mit bestimmten Einstellungen anzuwenden, die sich von der Standardrichtlinie unterscheiden.
- Wenn Sie Ihre Gerätegruppe einrichten, geben Sie bestimmte Kriterien an, z. B. die Betriebssystemversion. Geräte, die die Kriterien erfüllen, sind in dieser Gerätegruppe enthalten, es sei denn, Sie schließen sie aus.
- Alle Gerätegruppen, einschließlich der von Ihnen definierten Standard- und benutzerdefinierten Gerätegruppen, werden in Microsoft Entra-ID gespeichert.
Weitere Informationen zu Gerätegruppen finden Sie unter Gerätegruppen in Microsoft Defender for Business.
Geben Sie auf der Registerkarte Konfigurationseinstellungen die Einstellungen für Ihre Richtlinie an, und wählen Sie dann Weiteraus. Weitere Informationen zu den einzelnen Einstellungen finden Sie unter Grundlegendes zu Konfigurationseinstellungen der nächsten Generation in Microsoft Defender for Business.
Überprüfen Sie auf der Registerkarte Richtlinie überprüfen die allgemeinen Informationen, zielorientierte Geräte und Konfigurationseinstellungen.
- Nehmen Sie alle erforderlichen Änderungen vor, indem Sie Bearbeiten auswählen.
- Wenn Sie bereit sind, den Vorgang fortzusetzen, wählen Sie Richtlinie erstellen aus.
Arbeiten mit Geräterichtlinien im Microsoft Intune Admin Center
Verwenden Sie die folgenden Informationen zum Erstellen und Verwalten von Geräterichtlinien in Intune über Endpunktsicherheit im Microsoft Intune Admin Center (https://intune.microsoft.com).
Erstellen von Richtlinien in Intune
Wählen Sie im Microsoft Intune Admin Center (https://intune.microsoft.com) Endpunktsicherheit und den Typ der Richtlinie aus, die Sie konfigurieren möchten, und wählen Sie dann Richtlinie erstellen aus.
Wählen Sie aus den folgenden Richtlinientypen:
- Antivirus
- Datenträgerverschlüsselung
- Firewall
- Endpunkterkennung und -reaktion
- Verringerung der Angriffsfläche
- Kontoschutz
Geben Sie die folgenden Eigenschaften an:
- Plattform: Wählen Sie die Plattform aus, für die Sie die Richtlinie erstellen. Die verfügbaren Optionen hängen vom ausgewählten Richtlinientyp ab.
- Profil: Wählen Sie aus den verfügbaren Profilen für die ausgewählte Plattform aus. Informationen zu den Profilen finden Sie im entsprechenden Abschnitt in diesem Artikel für den von Ihnen gewählten Richtlinientyp.
Wählen Sie dann Erstellen aus.
Geben Sie auf der Seite Grundeinstellungen einen Namen und eine Beschreibung für das Profil ein, und klicken Sie dann auf Weiter.
Erweitern Sie auf der Seite Konfigurationseinstellungen jede Gruppe von Einstellungen und konfigurieren Sie die Einstellungen, die Sie mit diesem Profil verwalten möchten. Wählen Sie dann Weiter aus.
Wählen Sie auf der Seite Zuweisungen die Gruppen aus, die dieses Profil erhalten sollen. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen. Wählen Sie dann Weiter aus.
Klicken Sie, wenn Sie fertig sind, auf der Seite Bewerten + erstellen auf Erstellen. Das neue Profil wird in der Liste angezeigt, wenn Sie den Richtlinientyp für das Profil auswählen, das Sie erstellt haben.
Duplizieren einer Richtlinie in Intune
Wählen Sie im Microsoft Intune Admin Center (https://intune.microsoft.com) die Richtlinie aus, die Sie kopieren möchten. Wählen Sie als Nächstes Duplizieren aus, oder wählen Sie die Auslassungspunkte (...) rechts neben der Richtlinie aus, und wählen Sie Duplizieren aus.
Geben Sie einen neuen Namen für die Richtlinie ein und wählen Sie dann Speichern aus.
Bearbeiten einer Richtlinie in Intune
Wählen Sie im Microsoft Intune Admin Center (https://intune.microsoft.com) eine Richtlinie und dann Eigenschaften aus.
Wählen Sie Einstellungen aus, um eine Liste der Konfigurationseinstellungen in der Richtlinie zu erweitern. Sie können die Einstellungen in dieser Ansicht nicht ändern, aber Sie können überprüfen, wie sie konfiguriert werden.
Um die Richtlinie zu ändern, wählen Sie Bearbeiten für jede Kategorie, in der Sie eine Änderung vornehmen möchten:
- Grundlagen
- Aufgaben
- Bereichstags
- Konfigurationseinstellungen
Nachdem Sie Änderungen vorgenommen haben, wählen Sie Speichern aus, um Ihre Änderungen zu speichern. Änderungen an einer Kategorie müssen gespeichert werden, bevor Sie Änderungen an weiteren Kategorien vornehmen können.
Verwalten von Konflikten
Viele der Geräteeinstellungen, die Sie mit Endpoint-Sicherheitsrichtlinien verwalten können, sind auch über andere Richtlinientypen in Intune verfügbar. Diese anderen Richtlinientypen umfassen Gerätekonfigurationsrichtlinien und Sicherheitsbaselines. Da Einstellungen über mehrere verschiedene Richtlinientypen oder mehrere Instanzen desselben Richtlinientyps verwaltet werden können, sollten Sie darauf vorbereitet sein, Richtlinienkonflikte für Geräte zu identifizieren und zu lösen, die nicht den erwarteten Konfigurationen entsprechen.
Sicherheitsbaselines können einen nicht standardmäßigen Wert für eine Einstellung festlegen, um der empfohlenen Konfiguration zu entsprechen, die die Baseline adressiert.
Andere Richtlinientypen, einschließlich der Endpoint-Sicherheitsrichtlinien, legen standardmäßig den Wert Nicht konfiguriert fest. Diese anderen Richtlinientypen erfordern, dass Sie Einstellungen in der Richtlinie explizit konfigurieren.
Unabhängig von der Richtlinienmethode kann die Verwaltung derselben Einstellung auf demselben Gerät durch mehrere Richtlinientypen oder durch mehrere Instanzen desselben Richtlinientyps zu Konflikten führen, die vermieden werden sollten.
Wenn Richtlinienkonflikte auftreten, lesen Sie Problembehandlung für Richtlinien und Profile in Microsoft Intune.
Siehe auch
Verwalten der Endpunktsicherheit in Microsoft Intune
Bewährte Methoden zum Sichern von Microsoft 365 for Business-Pläne