Allgemeine Sicherheitsrichtlinien für Microsoft 365-Organisationen
Organisationen müssen bei der Bereitstellung von Microsoft 365 viele Punkte beachten. Die in diesem Artikel genannten Richtlinien für den bedingten Zugriff, den App-Schutz und die Gerätecompliance basieren auf den Empfehlungen von Microsoft und den drei Leitprinzipien von Zero Trust:
- Explizit verifizieren
- Verwenden der geringsten Rechte
- Von einer Sicherheitsverletzung ausgehen
Organisationen können diese Richtlinien unverändert übernehmen oder an ihre Anforderungen anpassen. Testen Sie Ihre Richtlinien nach Möglichkeit in einer Nichtproduktionsumgebung, bevor Sie sie für Ihre Produktionsbenutzer bereitstellen. Tests sind sehr wichtig, um mögliche Auswirkungen für Ihre Benutzer zu identifizieren und zu kommunizieren.
Wir gruppieren diese Richtlinien in drei Schutzebenen, je nachdem, in welcher Phase der Bereitstellung Sie sich befinden:
- Startpunkt – Grundlegende Steuerelemente, die die Multi-Faktor-Authentifizierung, sichere Kennwortänderungen und Richtlinien zum App-Schutz einführen.
- Enterprise – Erweiterte Steuerelemente, die die Gerätecompliance einführen.
- Spezialisierte Sicherheit – Richtlinien, die für bestimmte Datasets oder Benutzer jedes Mal die Multi-Faktor-Authentifizierung erfordern.
Das folgende Diagramm zeigt, für welche Schutzebene jede Richtlinie gilt und ob die Richtlinien für PCs oder Smartphones und Tablets oder für beide Gerätekategorien gelten.
Sie können dieses Diagramm als PDF-Datei herunterladen.
Tipp
Die zwingende Verwendung der Multi-Faktor-Authentifizierung (MFA) wird empfohlen, bevor Geräte in Intune registriert werden, um sicherzustellen, dass das Gerät im Besitz des beabsichtigten Benutzers ist. Sie müssen Geräte in Intune registrieren, bevor Sie Richtlinien für die Gerätecompliance erzwingen können.
Voraussetzungen
Berechtigungen
- Administratoren, die Richtlinien für bedingten Zugriff verwalten, müssen sich mindestens als Administrator für bedingten Zugriffbeim Azure-Portal anmelden können.
- Administratoren, die Richtlinien für den App-Schutz und die Geräte-Compliance verwalten, müssen sich bei Intune mindestens als Administrator anmelden können. Intune-Verwalter.
- Benutzer, die nur Konfigurationen ansehen müssen, können die Sicherheitsleser Rolle.
Weitere Informationen zu Rollen und Berechtigungen finden Sie im Artikel Integrierte Microsoft Entra-Rollen.
Benutzerregistrierung
Stellen Sie sicher, dass Ihre Benutzer sich für die mehrstufige Authentifizierung registrieren, bevor sie ihre Verwendung erfordert. Wenn Sie über Lizenzen verfügen, die Microsoft Entra ID P2 enthalten, können Sie die MFA-Registrierungsrichtlinie in Microsoft Entra ID Protection verwenden, um die Registrierung der Benutzer zu verlangen. Wir bieten communication templates die Sie herunterladen und anpassen können, um die Registrierung zu fördern.
Gruppen
Alle Microsoft Entra-Gruppen, die im Rahmen dieser Empfehlungen verwendet werden, müssen als Microsoft 365-Gruppe erstellt werden, nicht als Sicherheitsgruppe. Diese Vorgabe ist wichtig für die Bereitstellung von Vertraulichkeitsbezeichnungen, wenn Dokumente später in Microsoft Teams und SharePoint gesichert werden. Weitere Einzelheiten finden Sie im Artikel Informationen zu Gruppen und Zugriffsrechten in Microsoft Entra ID.
Zuweisen von Richtlinien
Richtlinien für bedingten Zugriff können Benutzern, Gruppen und Administratorrollen zugewiesen werden. Intune-Richtlinien für App-Schutz und Geräte-Compliance können zugewiesen werden nur Gruppen. Bevor Sie Ihre Richtlinien konfigurieren, identifizieren Sie, wer einbezogen und ausgeschlossen werden soll. In der Regel gelten Schutzrichtlinien auf Ebene des Startpunkts für alle Personen in der Organisation.
Hier ein Beispiel für die Gruppenzuweisung und Ausnahmen für die Anforderung von MFA nach Abschluss der Benutzer Benutzerregistrierung.
| Microsoft Entra-Richtlinie für bedingten Zugriff | Einbeziehen | Ausschließen | |
|---|---|---|---|
| Startpunkt | Multi-Faktor-Authentifizierung ist für die Anmeldung mit mittlerem oder hohem Risiko erforderlich | Alle Benutzer |
|
| Enterprise | Multi-Faktor-Authentifizierung ist für die Anmeldung mit niedrigem, mittlerem oder hohem Risiko erforderlich | Gruppe der leitenden Mitarbeiter |
|
| Spezialisierte Sicherheit | Multi-Faktor-Authentifizierung ist immer erforderlich | Gruppe für höchste Geheimhaltung beim Buckeye-Projekt |
|
Gehen Sie vorsichtig vor, wenn Sie eine höhere Schutzebene auf Gruppen und Benutzer anwenden. Durch die Sicherheit soll die Benutzererfahrung nicht unnötig kompliziert werden. Beispielsweise müssen Mitglieder der Gruppe Top Secret Project Buckeye jedes Mal MFA verwenden, wenn sie sich anmelden, auch wenn sie nicht an den speziellen Sicherheitsinhalten ihres Projekts arbeiten. Übermäßige Sicherheitsvorgaben können zu Frustration führen.
Sie sollten erwägen, phishing-resistente Authentifizierungsmethodenzu aktivieren, wie z. B. die Nutzung von Windows Hello for Business oder FIDO2-Sicherheitsschlüsseln, um einige Reibungsverluste, die durch bestimmte Sicherheitskontrollen entstehen, zu verringern.
Konten für den Notfallzugriff
Alle Organisationen sollten über mindestens ein Notfallzugriffskonto verfügen, dessen Verwendung überwacht wird und das aus Richtlinien ausgeschlossen ist. Diese Konten werden nur verwendet, wenn alle anderen Administratorkonten und Authentifizierungsmethoden gesperrt oder anderweitig nicht verfügbar sind. Weitere Informationen finden Sie im Artikel Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID.
Ausschlüsse
Es wird empfohlen, eine Microsoft Entra-Gruppe für Ausschlüsse für den bedingten Zugriff zu erstellen. Über diese Gruppe können Sie einem Benutzer den Zugriff ermöglichen, während Sie Zugriffsprobleme behandeln.
Warnung
Diese Gruppe wird nur als vorübergehende Lösung empfohlen. Überwachen Sie diese Gruppe kontinuierlich, und überprüfen Sie sie auf Änderungen. Stellen Sie auch sicher, dass die Ausschlussgruppe nur wie beabsichtigt verwendet wird.
So fügen Sie diese Ausschlussgruppe den vorhandenen Richtlinien hinzu
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
- Browsen Sie zu Schutz>Bedingter Zugriff.
- Wählen Sie eine vorhandene Richtlinie aus.
- Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
- Wählen Sie unter Ausschließen die Option Benutzer und Gruppen aus. Wählen Sie dann die Notfallzugriffskonten und die Ausschlussgruppe für den bedingten Zugriff Ihrer Organisation aus.
Bereitstellung
Es wird empfohlen, die Startpunktrichtlinien in der in dieser Tabelle aufgeführten Reihenfolge zu implementieren. Die MFA-Richtlinien für die Schutzebenen Enterprise und Spezialisierte Sicherheit können jedoch jederzeit implementiert werden.
Startpunkt
| Policy | Weitere Informationen | Lizenzierung |
|---|---|---|
| rfordern Sie MFA, wenn das Anmelderisiko mittel oder hoch ist | Verwenden Sie Risikodaten aus Microsoft Entra ID Protection, um MFA nur dann erforderlich zu machen, wenn Risiken erkannt werden. | Microsoft 365 E5 oder Microsoft 365 E3 mit dem E5-Add-On für Sicherheit |
| Blockieren Sie Clients, die die moderne Authentifizierung nicht unterstützen | Clients, die keine moderne Authentifizierungsmethode verwenden, können Richtlinien für den bedingten Zugriff umgehen. Daher ist es wichtig, sie zu blockieren. | Microsoft 365 E3 oder E5 |
| Benutzer mit hohem Risiko müssen das Kennwort ändern | Benutzer müssen ihr Kennwort beim Anmelden ändern, wenn eine Aktivität mit hohem Risiko für ihr Konto erkannt wird. | Microsoft 365 E5 oder Microsoft 365 E3 mit dem E5-Add-On für Sicherheit |
| Anwendungsschutzrichtlinien für den Datenschutz anwenden | Eine Intune-Richtlinie für den App-Schutz pro Plattform (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 oder E5 |
| Richtlinien für genehmigte Apps und den App-Schutz verlangen | Erzwingt Richtlinien zum Schutz mobiler Apps für Smartphones und Tablets mit iOS, iPadOS oder Android. | Microsoft 365 E3 oder E5 |
Enterprise
| Policy | Weitere Informationen | Lizenzierung |
|---|---|---|
| Festlegen, dass bei niedrigem, mittlerem oder hohem Anmelderisiko MFA verwendet werden muss | Verwenden Sie Risikodaten aus Microsoft Entra ID Protection, um MFA nur dann erforderlich zu machen, wenn Risiken erkannt werden. | Microsoft 365 E5 oder Microsoft 365 E3 mit dem E5-Add-On für Sicherheit |
| Richtlinien für die Gerätecompliance definieren | Legen Sie Mindestanforderungen für die Konfiguration fest. Eine Richtlinie für jede Plattform. | Microsoft 365 E3 oder E5 |
| Konforme PCs und mobile Geräte vorschreiben | Erzwingt die Konfigurationsanforderungen für Geräte, die auf Ihre Organisation zugreifen | Microsoft 365 E3 oder E5 |
Spezialisierte Sicherheit
| Policy | Weitere Informationen | Lizenzierung |
|---|---|---|
| Erfordern Sie immer MFA | Benutzer müssen MFA immer ausführen, wenn sie sich bei den Diensten Ihrer Organisation anmelden | Microsoft 365 E3 oder E5 |
App-Schutzrichtlinien
Richtlinien für den App-Schutz definieren, welche Apps zulässig sind und welche Aktionen sie mit den Daten Ihrer Organisation ausführen können. Es gibt viele Auswahlmöglichkeiten, und es kann für einige verwirrend sein. Die folgenden Basispläne sind die empfohlenen Konfigurationen von Microsoft, die auf Ihre Anforderungen zugeschnitten werden können. Wir stellen drei Zu befolgende Vorlagen bereit, denken jedoch, dass die meisten Organisationen die Stufen 2 und 3 auswählen.
Ebene 2 bezieht sich auf die Sicherheit der Ebenen Startpunkt oder Enterprise, während Ebene 3 für spezialisierte Sicherheit vorgesehen ist.
Ebene 1 Enterprise – grundlegender Datenschutz: Microsoft empfiehlt diese Konfiguration als Mindestdatenschutz für Unternehmensgeräte.
Ebene 2 Enterprise – erweiterter Datenschutz: Microsoft empfiehlt diese Konfiguration für Geräte, bei denen Benutzer auf vertrauliche oder sensible Informationen zugreifen. Diese Konfiguration sollte auf die meisten Mobilgerätebenutzer angewendet werden, die auf Unternehmensdaten oder Daten einer Bildungseinrichtung zugreifen. Einige der Steuerelemente wirken sich möglicherweise auf die Benutzererfahrung aus.
Ebene 3 Enterprise – hoher Datenschutz: Microsoft empfiehlt diese Konfiguration für Geräte, die in einer Organisation von einem größeren oder komplexeren Sicherheitsteam verwendet werden, oder für bestimmte Benutzer oder Gruppen, die ein besonders hohes Risiko haben (Benutzer, die streng vertrauliche Daten behandeln, deren nicht autorisierte Offenlegung erhebliche materielle Verluste für die Organisation verursacht). Organisationen, die wahrscheinlich von gut finanzierten und hoch entwickelten Angreifern angegriffen werden, sollten diese Konfiguration anstreben.
Erstellen von Richtlinien für den App-Schutz
Erstellen Sie in Microsoft Intune eine neue Richtlinie für den App-Schutz für jede Plattform (iOS und Android) mithilfe der Einstellungen für das Datenschutzframework. Gehen Sie dazu folgendermaßen vor:
- Erstellen Sie die Richtlinien manuell, indem Sie die Schritte in Erstellen und Bereitstellen von App-Schutzrichtlinien mit Microsoft Intune ausführen.
- Importieren Sie die JSON-Beispielvorlagen im Intune-Konfigurationsframework für Richtlinien für den App-Schutz mit den PowerShell-Skripts von Intune.
Konformitätsrichtlinien für Geräte
Intune-Richtlinien für die Gerätecompliance definieren die Anforderungen, die Geräte erfüllen müssen, damit sie als konform gelten.
Sie müssen eine Richtlinie für jede PC-, Smartphone- oder Tablet-Plattform erstellen. Dieser Artikel behandelt Empfehlungen für die folgenden Plattformen:
Erstellen von Richtlinien für die Gerätecompliance
Um Richtlinien für die Gerätecompliance zu erstellen, melden Sie sich beim Microsoft Intune Admin Center an, und navigieren Sie zu Geräte>Compliancerichtlinien>Richtlinien. Wählen Sie Richtlinie erstellen.
Eine Schritt-für-Schritt-Anleitung zum Erstellen von Compliancerichtlinien in Intune finden Sie unter Erstellen einer Konformitätsrichtlinie in Microsoft Intune.
Registrierung und Complianceeinstellungen für iOS/iPadOS
iOS/iPadOS unterstützt mehrere Registrierungsszenarien, von denen zwei im Rahmen dieses Frameworks behandelt werden:
- Registrierung von Geräten im Privatbesitz: Diese Geräte befinden sich im Privatbesitz und werden sowohl geschäftlich als auch für persönliche Zwecke verwendet.
- Automatisierte Registrierung von unternehmenseigenen Geräten: Diese Geräte gehören dem Unternehmen. Sie sind einem einzelnen Benutzer zugeordnet und werden ausschließlich für geschäftliche und nicht persönliche Zwecke verwendet.
Verwenden der unter Identitäts- und Gerätezugriffsrichtlinien von Zero Trust beschriebenen Prinzipien:
- Die Schutzebenen Startpunkt und Enterprise sind eng an den erweiterten Sicherheitseinstellungen der Ebene 2 ausgerichtet.
- Die Schutzebene spezialisierte Sicherheit entspricht weitgehend den Einstellungen für hohe Sicherheit der Ebene 3.
Complianceeinstellungen für persönlich registrierte Geräte
- Persönliche grundlegende Sicherheit (Ebene 1): Microsoft empfiehlt diese Konfiguration als Mindestsicherheitskonfiguration für persönliche Geräte, die Benutzer für den Zugriff auf Geschäfts- oder Schuldaten verwenden. Diese Konfiguration erfolgt durch Erzwingen von Kennwortrichtlinien, Einstellungen zum Sperren von Geräten und Deaktivieren bestimmter Gerätefunktionen, z. B. nicht vertrauenswürdiger Zertifikate.
- Persönliche erweiterte Sicherheit (Ebene 2): Microsoft empfiehlt diese Konfiguration für Geräte, bei denen Benutzer auf vertrauliche oder sensible Informationen zugreifen. Diese Konfiguration umfasst Steuerelemente für die Datenfreigabe. Diese Konfiguration gilt für die meisten mobilen Benutzer, die auf einem Gerät auf Geschäfts- oder Schuldaten zugreifen.
- Persönliche hohe Sicherheit (Ebene 3): Microsoft empfiehlt diese Konfiguration für Geräte, die von bestimmten Benutzern oder Gruppen mit einem besonders hohen Risiko verwendet werden (Benutzer, die streng vertrauliche Daten behandeln, deren nicht autorisierte Offenlegung erhebliche materielle Verluste für die Organisation verursacht). Diese Konfiguration umfasst strengere Kennwortrichtlinien, deaktiviert bestimmte Gerätefunktionen und erzwingt zusätzliche Datenübertragungseinschränkungen.
Complianceeinstellungen für die automatisierte Geräteregistrierung
- Überwachte grundlegende Sicherheit (Ebene 1): Microsoft empfiehlt diese Konfiguration als Mindestsicherheitskonfiguration für überwachte Geräte, die Benutzer für den Zugriff auf Geschäfts- oder Schuldaten verwenden. Diese Konfiguration erfolgt durch Erzwingen von Kennwortrichtlinien, Einstellungen zum Sperren von Geräten und Deaktivieren bestimmter Gerätefunktionen, z. B. nicht vertrauenswürdiger Zertifikate.
- Überwachte erweiterte Sicherheit (Ebene 2): Microsoft empfiehlt diese Konfiguration für Geräte, bei denen Benutzer auf vertrauliche oder sensible Informationen zugreifen. Diese Konfiguration umfasst Steuerelemente für die Datenfreigabe und blockiert den Zugriff auf USB-Geräte. Diese Konfiguration gilt für die meisten mobilen Benutzer, die auf einem Gerät auf Geschäfts- oder Schuldaten zugreifen.
- Überwachte hohe Sicherheit (Ebene 3): Microsoft empfiehlt diese Konfiguration für Geräte, die von bestimmten Benutzern oder Gruppen mit einem besonders hohen Risiko verwendet werden (Benutzer, die streng vertrauliche Daten behandeln, deren nicht autorisierte Offenlegung erhebliche materielle Verluste für die Organisation verursacht). Diese Konfiguration umfasst strengere Kennwortrichtlinien, deaktiviert bestimmte Gerätefunktionen, erzwingt zusätzliche Datenübertragungseinschränkungen und erfordert, dass Apps über das Apple Volume Purchase Program installiert werden.
Registrierung und Complianceeinstellungen für Android
Android Enterprise unterstützt mehrere Registrierungsszenarien, von denen zwei im Rahmen dieses Frameworks behandelt werden:
- Android Enterprise-Arbeitsprofil: Dieses Registrierungsmodell wird in der Regel für Geräte im Privatbesitz verwendet, bei denen die IT eine klare Trennung zwischen geschäftlichen und persönlichen Daten einrichten möchte. Richtlinien, die von der IT gesteuert werden, stellen sicher, dass geschäftliche Daten nicht in das persönliche Profil übertragen werden können.
- Android Enterprise – vollständig verwaltete Geräte: Diese Geräte gehören dem Unternehmen. Sie sind einem einzelnen Benutzer zugeordnet und werden ausschließlich für geschäftliche und nicht persönliche Zwecke verwendet.
Das Android Enterprise-Sicherheitskonfigurationsframework ist in verschiedene Konfigurationsszenarien unterteilt und bietet Anleitungen für das Arbeitsprofil und für vollständig verwaltete Szenarien.
Verwenden der unter Identitäts- und Gerätezugriffsrichtlinien von Zero Trust beschriebenen Prinzipien:
- Die Schutzebenen Startpunkt und Enterprise sind eng an den erweiterten Sicherheitseinstellungen der Ebene 2 ausgerichtet.
- Die Schutzebene spezialisierte Sicherheit entspricht weitgehend den Einstellungen für hohe Sicherheit der Ebene 3.
Complianceeinstellungen für Android Enterprise-Geräte mit Arbeitsprofil
- Wegen der Einstellungen, die für Geräte im Privatbesitz mit Arbeitsprofil verfügbar sind, gibt es kein Angebot für die grundlegende Sicherheit (Ebene 1). Die verfügbaren Einstellungen rechtfertigen keine Unterscheidung zwischen Ebene 1 und Ebene 2.
- Arbeitsprofil mit erweiterter Sicherheit (Ebene 2): Microsoft empfiehlt diese Konfiguration als Mindestsicherheitskonfiguration für persönliche Geräte, die Benutzer für den Zugriff auf Geschäfts- oder Schuldaten verwenden. Diese Konfiguration implementiert Kennwortanforderungen, trennt geschäftliche und persönliche Daten und überprüft den Android-Gerätenachweis.
- Arbeitsprofil mit hoher Sicherheit (Ebene 3): Microsoft empfiehlt diese Konfiguration für Geräte, die von bestimmten Benutzern oder Gruppen mit einem besonders hohen Risiko verwendet werden (Benutzer, die streng vertrauliche Daten behandeln, deren nicht autorisierte Offenlegung erhebliche materielle Verluste für die Organisation verursacht). Diese Konfiguration implementiert die Abwehr mobiler Bedrohungen oder Microsoft Defender for Endpoint, legt die mindestens erforderliche Android-Version fest, erzwingt strengere Kennwortrichtlinien und sorgt für eine strengere Trennung der geschäftlichen und persönlichen Nutzung.
Complianceeinstellungen für vollständig verwaltete Android Enterprise-Geräte
- Grundlegende Sicherheit für vollständig verwaltete Geräte (Ebene 1): Microsoft empfiehlt diese Konfiguration als Mindestsicherheitskonfiguration für Unternehmensgeräte. Diese Konfiguration sollte auf die meisten Mobilgerätebenutzer angewendet werden, die auf Unternehmensdaten oder Daten einer Bildungseinrichtung zugreifen. Diese Konfiguration implementiert Kennwortanforderungen, legt die mindestens erforderliche Android-Version fest und erzwingt bestimmte Geräteeinschränkungen.
- Erweiterte Sicherheit für vollständig verwaltete Geräte (Ebene 2): Microsoft empfiehlt diese Konfiguration für Geräte, bei denen Benutzer auf vertrauliche oder sensible Informationen zugreifen. Diese Konfiguration implementiert strengere Kennwortrichtlinien und deaktiviert Benutzer-/Kontofunktionen.
- Hohe Sicherheit für vollständig verwaltete Geräte (Ebene 3): Microsoft empfiehlt diese Konfiguration für Geräte, die von bestimmten Benutzern oder Gruppen verwendet werden, die ein besonders hohes Risiko haben. Diese Benutzer behandeln möglicherweise streng vertrauliche Daten, bei denen eine nicht autorisierte Offenlegung zu erheblichen materiellen Verlusten für die Organisation führen könnte. Diese Konfiguration erhöht die mindestens erforderliche Android-Version, implementiert die Abwehr mobiler Bedrohungen oder Microsoft Defender for Endpoint und erzwingt zusätzliche Geräteeinschränkungen.
Empfohlene Complianceeinstellungen für Windows 10 und höher
Die folgenden Einstellungen werden in Schritt 2: Complianceeinstellungen beim Erstellen von Compliancerichtlinien für Windows 10- und neuere Geräte konfiguriert. Diese Einstellungen entsprechen den Prinzipien, die unter Identitäts- und Gerätezugriffsrichtlinien von Zero Trust beschrieben werden.
Informationen zu Geräteintegrität > Auswertungsregeln für den Windows-Integritätsnachweisdienst finden Sie in der folgenden Tabelle.
| Eigenschaft | Wert |
|---|---|
| BitLocker erforderlich | Erforderlich |
| Die Funktion „Sicherer Start“ muss auf dem Gerät aktiviert sein | Erforderlich |
| Codeintegrität erfordern | Erforderlich |
Geben Sie für Geräteeigenschaften geeignete Werte für die Betriebssystemversionen basierend auf Ihren IT- und Sicherheitsrichtlinien an.
Wenn Sie sich in einer gemeinsam verwalteten Umgebung mit Configuration Manager befinden, wählen Sie für Konformität mit Configuration Manager die Option Erforderlich aus. Andernfalls wählen Sie Nicht konfiguriert aus.
Informationen zur Systemsicherheit finden Sie in der folgenden Tabelle.
| Eigenschaft | Wert |
|---|---|
| Kennwort zum Entsperren mobiler Geräte erforderlich | Erforderlich |
| Einfache Kennwörter | Blockieren |
| Kennworttyp | Gerätestandard |
| Minimale Kennwortlänge | 6 |
| Maximale Minuten der Inaktivität, bevor ein Kennwort erforderlich ist | 15 Minuten |
| Kennwortablauf (Tage) | 41 |
| Anzahl vorheriger Kennwörter, deren Wiederverwendung verhindert wird | 5 |
| Kennwort anfordern, wenn das Gerät aus dem Leerlauf zurückkehrt (mobil und Holographic) | Erforderlich |
| Verschlüsselung des Datenspeichers auf dem Gerät erfordern | Erforderlich |
| Firewall | Erforderlich |
| Virenschutz | Erforderlich |
| Antispyware | Erforderlich |
| Antischadsoftware Microsoft Defender | Erforderlich |
| Mindestversion der Antischadsoftware Microsoft Defender | Microsoft empfiehlt Versionen, die nicht älter als fünf Versionen gegenüber der neuesten Version sind. |
| Signatur der Antischadsoftware Microsoft Defender auf dem neuesten Stand | Erforderlich |
| Echtzeitschutz | Erforderlich |
Für Microsoft Defender for Endpoint
| Eigenschaft | Wert |
|---|---|
| Das Gerät muss der Risikobewertung des Computers entsprechen oder darunter liegen | Medium |
Richtlinien für bedingten Zugriff
Nachdem Ihre Richtlinien für den App-Schutz und die Gerätecompliance in Intune erstellt wurden, können Sie die Erzwingung mit Richtlinien für den bedingten Zugriff aktivieren.
Erzwingen von MFA auf Basis des Anmelderisikos
Befolgen Sie die Anweisungen in dem Artikel Verlangt eine mehrstufige Authentifizierung bei erhöhtem Anmeldungsrisiko um eine Richtlinie zu erstellen, die eine mehrstufige Authentifizierung auf der Grundlage des Anmeldungsrisikos vorschreibt.
Verwenden Sie beim Konfigurieren Ihrer Richtlinie die folgenden Risikostufen.
| Schutzebene | Erforderliche Werte für Risikostufe | Aktion |
|---|---|---|
| Startpunkt | Hoch, mittel | Beide überprüfen. |
| Enterprise | Hoch, mittel, niedrig | Alle drei überprüfen. |
Clients blockieren, die keine Multi-Faktor-Authentifizierung unterstützen
Befolgen Sie die Anweisungen in dem Artikel Blockieren der Legacy-Authentifizierung mit Conditional Access um die Legacy-Authentifizierung zu blockieren.
Benutzer mit hohem Risiko müssen das Kennwort ändern
Befolgen Sie die Anweisungen im Artikel Erfordern eines sicheren Kennwortwechsels bei erhöhtem Benutzerrisiko, um Benutzer mit kompromittierten Anmeldeinformationen dazu zu bringen, ihr Kennwort zu ändern.
Verwenden Sie diese Richtlinie in Kombination mit dem Microsoft Entra-Kennwortschutz. Dieser erkennt und blockiert bekannte unsichere Kennwörter und ihre Varianten zusätzlich zu Ausdrücken, die sich speziell auf Ihre Organisation beziehen. Durch Verwendung des Microsoft Entra-Kennwortschutzes wird sichergestellt, dass geänderte Kennwörter sicherer sind.
Erfordern genehmigte Apps oder App-Schutzrichtlinien
Sie müssen eine Richtlinie für den bedingten Zugriff erstellen, damit die in Intune erstellten Richtlinien für den App-Schutz erzwungen werden. Das Erzwingen von Richtlinien für den App-Schutz erfordert eine Richtlinie für den bedingten Zugriff und eine entsprechende Richtlinie für den App-Schutz.
Um eine Richtlinie für bedingten Zugriff zu erstellen, die genehmigte Apps oder App-Schutz erfordert, führen Sie die Schritte in Anfordern genehmigter Client-Apps oder App-Schutzrichtlinieaus. Diese Richtlinie erlaubt nur Konten in mobilen Apps, die durch Richtlinien für den App-Schutz geschützt sind, den Zugriff auf Microsoft 365-Endpunkte.
Das Blockieren der Legacyauthentifizierung für andere Client-Apps auf iOS- und Android-Geräten stellt sicher, dass diese Clients die Richtlinien für den bedingten Zugriff nicht umgehen können. Wenn Sie den Anweisungen in diesem Artikel folgen, haben Sie bereits das Blockieren von Clients, die moderne Authentifizierungsmethoden nicht unterstützen, konfiguriert.
Erfordert kompatible PCs und Mobilgeräte
Befolgen Sie die Anweisungen in dem Artikel Einhaltung der Zugangskontrolle access durch das verlangen zu verlangen, dass Geräte, die auf Ressourcen zugreifen, als konform mit den Intune-Compliance-Richtlinien Ihres Unternehmens gekennzeichnet werden.
Achtung
Stellen Sie sicher, dass Ihr Gerät konform ist, bevor Sie diese Richtlinie aktivieren. Andernfalls könnten Sie sich aussperren und benötigen einen Kontoinhaber für den Notzugang um den Zugang wiederherzustellen.
Hinweis
Sie können Ihre neuen Geräte auch dann bei Intune registrieren, wenn Sie Markieren des Geräts als kompatibel erforderlich für Alle Benutzer und Alle Cloud-Apps in Ihrer Richtlinie auswählen. Die Steuerung Markieren des Geräts als konform erforderlich blockiert die Intune-Registrierung und den Zugriff auf die Microsoft Intune-Anwendung für das Webunternehmensportal nicht.
Abonnementaktivierung
Organisationen, die das Abonnement-Aktivierung Funktion, die es Benutzern ermöglicht, von einer Windows-Version auf eine andere zu wechseln, sollten die Universal Store Service-APIs und die Webanwendung, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f, von ihrer Richtlinie zur Gerätekonformität ausschließen.
Erfordern Sie immer MFA
Befolgen Sie die Anweisungen in dem Artikel Mehrstufige Authentifizierung für alle Benutzer erforderlich um von Ihren Benutzern eine mehrstufige Authentifizierung zu verlangen.
Nächste Schritte
Informationen zu Richtlinienempfehlungen für Gast- und externe Benutzer