Schritt 5. Bereitstellen von Geräteprofilen in Microsoft Intune
Microsoft Intune umfasst Einstellungen und Features, die Sie auf verschiedenen Geräten innerhalb Ihrer Organisation aktivieren oder deaktivieren können. Diese Einstellungen und Features werden zu "Konfigurationsprofilen" hinzugefügt. Sie können Profile für verschiedene Geräte und plattformen erstellen, einschließlich iOS/iPadOS, Android-Geräteadministrator, Android Enterprise und Windows. Verwenden Sie dann Intune, um das Profil auf die Geräte anzuwenden oder den Geräten zuzuweisen.
Dieser Artikel enthält Anleitungen für die ersten Schritte mit Konfigurationsprofilen.
Konfigurationsprofile bieten Ihnen die Möglichkeit, wichtige Schutzmaßnahmen zu konfigurieren und Geräte konform zu machen, damit sie auf Ihre Ressourcen zugreifen können. Vorgängig wurden diese Arten von Konfigurationsänderungen mithilfe von Gruppenrichtlinieneinstellungen in Active Directory Domain Services konfiguriert. Eine moderne Sicherheitsstrategie umfasst das Verschieben von Sicherheitskontrollen in die Cloud, wo die Durchsetzung dieser Kontrollen nicht von lokalen Ressourcen und dem Zugriff abhängig ist. Intune-Konfigurationsprofile sind die Möglichkeit, diese Sicherheitskontrollen in die Cloud zu bringen.
Um Ihnen eine Vorstellung zu geben, welche Art von Konfigurationsprofilen Sie erstellen können, lesen Sie Features und Einstellungen auf Ihren Geräten mithilfe von Geräteprofilen in Microsoft Intune anwenden.
Bereitstellen von Windows-Sicherheitsbaselines für Intune
Wenn Sie Ihre Gerätekonfigurationen an Microsoft-Sicherheitsbaselines ausrichten möchten, empfehlen wir ihnen als Ausgangspunkt die Sicherheitsbaselines in Microsoft Intune. Der Vorteil dieses Ansatzes besteht darin, dass Sie sich darauf verlassen können, dass Microsoft die Baselines auf dem neuesten Stand hält, wenn Windows 10- und 11-Features veröffentlicht werden.
So stellen Sie die Windows-Sicherheitsbaselines für Intune bereit, verfügbar für Windows 10 und Windows 11. Lesen Sie Verwenden von Sicherheitsbaselines zum Konfigurieren von Windows-Geräten in Intune, um mehr über die verfügbaren Baselines zu erfahren.
Stellen Sie für den Moment nur die am besten geeignete MDM-Sicherheitsbaseline bereit. Informationen zum Erstellen des Profils und auswählen der Baselineversion finden Sie unter Verwalten von Sicherheitsbaselineprofilen in Microsoft Intune.
Wenn Microsoft Defender für Endpunkt später eingerichtet ist und Sie Intune verbunden haben, stellen Sie die Defender für Endpunkt-Baselines bereit. Dieses Thema wird im nächsten Artikel dieser Reihe behandelt: Schritt 6. Überwachen des Geräterisikos und der Compliance mit Sicherheitsbaselines.
Es ist wichtig zu verstehen, dass diese Sicherheitsbaselines nicht CIS- oder NIST-konform sind, sondern ihre Empfehlungen genau Spiegel. Weitere Informationen finden Sie unter Sind die Intune-Sicherheitsbaselines konform mit CIS oder NIST?
Anpassen von Konfigurationsprofilen für Ihre Organisation
Zusätzlich zur Bereitstellung der vorkonfigurierten Baselines implementieren viele Unternehmen Konfigurationsprofile für eine präzisere Steuerung. Diese Konfiguration trägt dazu bei, die Abhängigkeit von Gruppenrichtlinienobjekten in der lokalen Active Directory-Umgebung zu verringern und Sicherheitskontrollen in die Cloud zu verschieben.
Die vielen Einstellungen, die Sie mithilfe von Konfigurationsprofilen konfigurieren können, können in vier Kategorien unterteilt werden, wie unten dargestellt.
Die folgende Tabelle beschreibt die Abbildung.
Kategorie | Beschreibung | Beispiele |
---|---|---|
Gerätefeatures | Steuert die Features auf dem Gerät. Diese Kategorie gilt nur für iOS/iPadOS- und macOS-Geräte. | Airprint, Benachrichtigungen, Sperrbildschirmnachrichten |
Geräteeinschränkungen | Steuert Sicherheit, Hardware, Datenfreigabe und weitere Einstellungen auf den Geräten | Eine PIN verlangen, Datenverschlüsselung |
Zugriffskonfiguration | Konfiguriert ein Gerät für den Zugriff auf die Ressourcen Ihrer Organisation | E-Mail-Profile, VPN-Profile, WLAN-Einstellungen, Zertifikate |
Benutzerdefiniert | Festlegen der benutzerdefinierten Konfiguration oder Ausführen von benutzerdefinierten Konfigurationsaktionen | Festlegen von OEM-Einstellungen, Ausführen von PowerShell-Skripts |
Verwenden Sie beim Anpassen von Konfigurationsprofilen für Ihre Organisation die folgenden Leitlinien:
- Vereinfachen Sie Ihre Strategie der Sicherheitsgovernance, indem Sie die Gesamtanzahl der Richtlinien klein halten.
- Gruppieren Sie Einstellungen in die oben aufgeführten Kategorien, oder in Kategorien, die für Ihre Organisation sinnvoll sind.
- Berücksichtigen Sie beim Verschieben von Sicherheitskontrollen von Gruppenrichtlinie Objects (GPO) in Intune Konfigurationsprofile, ob die von den einzelnen Gruppenrichtlinienobjekten konfigurierten Einstellungen weiterhin relevant sind und zu Ihrer allgemeinen Cloudsicherheitsstrategie beitragen müssen. Bedingter Zugriff und die vielen Richtlinien, die über Clouddienste hinweg konfiguriert werden können, einschließlich Intune, bieten einen komplexeren Schutz als in einer lokalen Umgebung, in der benutzerdefinierte Gruppenrichtlinienobjekte ursprünglich entworfen wurden.
- Verwenden Sie Gruppenrichtlinie Analytics, um Ihre aktuellen GPO-Einstellungen zu vergleichen und funktionen in Microsoft Intune zuzuordnen. Weitere Informationen finden Sie unter Analysieren Ihrer lokalen Gruppenrichtlinienobjekte (GPO) mit Gruppenrichtlinie Analytics in Microsoft Intune.
- Wenn Sie benutzerdefinierte Konfigurationsprofile verwenden, sollten Sie die hier aufgeführten Anleitungen verwenden: Erstellen eines Profils mit benutzerdefinierten Einstellungen in Intune.
Weitere Ressourcen
Wenn Sie nicht sicher sind, wo Sie mit Geräteprofilen beginnen sollen, könnte Folgendes hilfreich sein:
Wenn Ihre Umgebung lokale GPOs enthält, sind die folgenden Features ein guter Übergang zur Cloud:
Nächster Schritt
Wechseln Sie zu Schritt 6. Überwachen des Geräterisikos und der Compliance mit Sicherheitsbaselines.