Compliance-Richtlinien in Intune für Windows 11 sauber aufsetzen
Intune bewertet Geräte nicht nach Bauchgefühl, sondern nach Regeln. Deshalb wird hier eine Richtlinie für Windows 11 erstellt, einer Benutzergruppe zugewiesen und anschließend geprüft, ob das Gerät korrekt als konform erkannt wird.
Geprüft werden unter anderem:
- BitLocker
- Secure Boot
- Code Integrity
- Firewall
- TPM
- Antivirus
- Antispyware
- Microsoft Defender
- aktuelle Defender-Sicherheitsinformationen
- Echtzeitschutz
Die Richtlinie wird der Benutzergruppe z.B. INTUNE-App-Test-User zugewiesen.
- Öffne im Microsoft Intune Admin Center den Bereich Geräte.
- Klicke links auf Kompatibilität.
- Klicke oben auf Richtlinie erstellen.
- Wähle Windows 10 und höher und Windows 10/11-Konformitätsrichtlinie aus und klicke auf Erstellen.
- Trage als Namen WIN11-Compliance-Test ein und optional eine Beschreibung wie Test-Richtlinie für BitLocker und Defender.
- Klicke auf Weiter.
- Öffne Geräteintegritätsdienst und Systemsicherheit.
- Setze BitLocker, Sicherer Start und Codeintegrität auf Anfordern.
- Setze Firewall, Trusted Platform Module (TPM) verwenden, Antivirus und Antispyware auf Anfordern.
- Setze unter Defender auch Microsoft Defender-Antischadsoftware, Sicherheitsinformationen … auf dem neuesten Stand und Echtzeitschutz auf Anfordern.
- Lasse alle anderen Einstellungen auf Nicht konfiguriert.
- Klicke auf Weiter.
- Lasse bei Aktionen bei Inkompatibilität die Standardaktion Gerät als nicht konform markieren mit 0 Tagen / Sofort unverändert und Klicke auf Weiter.
- Klicke bei Zuweisungen auf Gruppen hinzufügen.
- Wähle die Benutzergruppe INTUNE-App-Test-User aus und klicke auf Auswählen.
- Klicke auf Weiter.
- Prüfe die Zusammenfassung und klicke auf Erstellen.
0 / 0 / 0 / 0 heißt hier erstmal nur:
Noch kein Gerät hat zu dieser Richtlinie zurückgemeldet.
- Intune Admin Center öffnen
- Geräte → Alle Geräte
- Den Laptop von
testuserauswählen
- Oben auf Synchronisieren klicken
- Anschließend den Compliance-Status oder die Richtlinie erneut prüfen
- F5 drücken oder die Webseite aktualisieren
Das hier zeigt:
- Konform: 1
- Nicht kompatibel: 0
-
Gesamt: 1
- Das Gerät hat die Richtlinie übernommen und erfüllt die festgelegten Compliance-Anforderungen.
- Klicke auf Bericht anzeigen, um das betroffene Gerät und den Benutzer zu sehen.
- Klicke auf Bericht anzeigen, um das betroffene Gerät und den Benutzer zu sehen.
- Klicke auf Status pro Einstellung, um jede einzelne Prüfung wie BitLocker, Secure Boot und Defender zu kontrollieren.
Hier wird jede einzelne Prüfung separat angezeigt, z. B.:
- Firewall
- Anti-Spyware
- Antivirus
- BitLocker
- Code Integrity
- Microsoft Defender Antimalware
- Real-time protection
- Secure Boot
- Microsoft Defender Antimalware security intelligence
- Trusted Platform Module (TPM)
Im Beispiel steht bei allen Einstellungen:
- Kompatible Geräte: 1
- Nicht kompatibel: 0
Das bestätigt, dass das Gerät jede konfigurierte Prüfung erfolgreich erfüllt.
Zusätzlich sollte die globale Mandanten-Einstellung angepasst werden.
- Öffne Endpunktsicherheit.
- Klicke auf Gerätekonformität.
- Öffne Einstellungen für Kompatibilitätsrichtlinie.
- Setze Geräte ohne zugewiesene Konformitätsrichtlinie auf Nicht konform.
- Klicke auf Speichern.
Konformitätsstatus am Laptop prüfen
- Öffne am Gerät die App Unternehmensportal.
Dann:
- Geräte auswählen
- Das betroffene Gerät öffnen
- Rechts den Bereich Gerätestatus ansehen
Im Beispiel erscheint die grüne Meldung:
„Kann auf Unternehmensressourcen zugreifen“
Bedeutung
Diese Meldung zeigt:
- das Gerät ist korrekt bei Intune registriert
- die Konformitätsrichtlinie wurde ausgewertet
- das Gerät erfüllt die Sicherheitsanforderungen
- das Gerät gilt als konform
Im Beispiel wurde erfolgreich sichergestellt, dass das Gerät nur dann als konform gilt, wenn folgende Anforderungen erfüllt sind:
- BitLocker aktiv
- Secure Boot aktiv
- Code Integrity aktiv
- Firewall aktiv
- TPM vorhanden
- Antivirus aktiv
- Antispyware aktiv
- Microsoft Defender aktiv
- aktuelle Sicherheitsinformationen vorhanden
- Echtzeitschutz aktiv
