Security Baseline und Compliance-Richtlinien mit Intune verwalten

    , 30.11.2021
    Tags: , ,

    Microsoft IntuneDie Security Baseline umfasst Einstellungen für Gruppen­richt­linien oder MDM, die Micro­soft als Best Practice empfiehlt. Compliance-Richtlinien kon­fi­gurieren da­gegen Regeln und Ein­stellungen, die Benutzer und Geräte er­füllen müssen. Mit Microsoft Intune können Firmen Compliance- und Sicher­heits­richtlinien auf ihren End­geräten durch­setzen.

    Security Baselines sollen die Konfiguration sicherheits­relevanter Einstellungen für Windows oder Edge vereinfachen. Microsoft bietet sie als Paket für Gruppenrichtlinien, alternativ lassen sie sich über die Schnittstellen für das Mobile Device Management konfigurieren. Davon macht Intune Gebrauch.

    Dort können Sie die Baselines anzeigen, indem Sie zu Endpoint security => Security Baselines navigieren. Klicken Sie auf die Baseline, für die Sie ein Profil erstellen und anwenden möchten.

    Die vorgegebenen Security Baselines in Intune anzeigen

    Hier klickt man auf die Schaltfläche Create profile, so dass man mittels Profil eine bestimmte Baseline anpassen kann.

    Neues Profil für eine Security Baseline erstellen

    Nun startet der Assistent zum Erzeugen eines Profils. Diesem gibt man im ersten Schritt einen Namen.

    Auf der Seite Configuration settings können Sie die in der Baseline enthaltenen Einstellungen anzeigen und diese nach Bedarf für Ihr Unternehmen anpassen.

    Wie beim Import der GPOs wird man auch hier meistens nicht alle Vorgaben unbesehen übernehmen, weil dies unerwünschte Auswirkungen zum Beispiel auf ältere Anwendungen oder System haben könnte.

    Die einzelnen Einstellungen der Baseline lassen sich über das Profil anpassen bzw. auch deaktivieren.

    Vergeben Sie im Anschluss daran die gewünschten Scope Tags, die sie für eine granulare Eingrenzung des Management-Bereichs mittels rollenbasierter Zugriffskontrolle (RBAC) verwenden möchten. Fügen Sie danach auf dem Bildschirm Assignments die Gruppe(n) aus dem Azure AD hinzu, so dass  die Baseline auf die darin enthaltenen Geräte angewandt wird.

    Das Profil für die Security Baseline einer Gruppe zuweisen

    Zum Abschluss zeigt der Wizard eine Übersicht über die vorgenommenen Änderungen. Wenn diese korrekt sind, erzeugt man das Profil mit Klick auf Create.

    Überprüfen und erstellen Sie das Profil für die Security Baseline.

    Insgesamt lassen sich Security Baselines in Intune sehr schnell und einfach konfigurieren. Sie bieten daher eine gute Möglichkeit, die Best Practices für registrierte Endgeräte umzusetzen.

    Compliance-Richtlinie erstellen

    Mit Intune-Compliance-Richtlinien können Unternehmen:

    • Regeln und Einstellungen konfigurieren, die Benutzer und Geräte erfüllen müssen
    • Aktionen für Geräte festlegen, die nicht konform sind
    • Diese mit der Conditional Access kombinieren, die Benutzer und Geräte sperrt, wenn sie nicht konform sind

    Navigieren Sie zu Devices => Compliance policies. Auch hier bietet Intune einen Wizard-geführten Workflow, den man über die Schaltfläche Create Policy startet.

    Neue Compliance-Richtlinie in Intune erstellen

    Wählen Sie die Plattform aus, für die die Compliance-Richtlinie gelten soll. Klicken Sie auf Create.

    Auswahl der Plattform für die Compliance-Richtlinie, in unserem Beispiel Windows 10 oder höher

    Der erste Schritt besteht wieder darin, die neue Richtlinie zu benennen.

    Auf der Seite Compliance settings können Sie die in Intune enthaltenen Einstellungen anzeigen oder anpassen. Dazu gehört zum Beispiel, dass BitLocker, Secure Boot oder HVCI auf dem Gerät aktiviert sein müssen.

    Einstellungen für die Compliance-Policy konfigurieren

    Anschließend muss man festlegen, was mit Geräte oder Benutzern passiert, die nicht den Richtlinien entsprechen. Dies erfolgt auf der Seite Actions for noncompliance.

    Standardmäßig wird das Gerät als nicht konform eingestuft. Zusätzlich können Administratoren die Optionen Send email to end user und Retire the noncompliant device wählen.

    Aktionen, die bei der Abweichung von den Richtlinien greifen sollen

    Anschließend verknüpft man die Policy mit einer Gruppe, welche die gewünschten User oder Computer enthält.

    Zuweisen von Gruppen zu der Compliance-Richtlinie

    Überprüfen und erstellen Sie im abschließenden Dialog die neue Compliance-Richtlinie.

    Nach der Erstellung sehen Sie im Dashboard für die Compliance-Richtlinie, wie viele Geräte konform sind oder welche davon abweichen.

    Ein Dashboard zeigt den Compliance-Status der registrierten Geräte, denen die Policy zugewiesen wurde.

    Fazit

    Microsoft Intune Endpoint Security macht es sehr einfach, Compliance-Richtlinien zu definieren und an Rechner zuzuweisen, die im Azure AD direkt oder über eine hybride Konfiguration registriert sind.

    Die Integration mit Conditional Access erlaubt es zudem, Geräte aus dem Netzwerk fernzuhalten, wenn sie die nötigen Sicherheits­standards nicht erfüllen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.

    // Kontakt: Web, E-Mail, LinkedIn //

    Ähnliche Beiträge

    Weitere Links