Richtlinien für mobile Geräte in Microsoft Intune erstellen

    Überwachung der verschiedenen Richtlinien in IntuneSobald mobile Geräte in Intune regi­striert sind, gewährt ihnen der Admini­strator Zugriff auf Ressourcen im Netz­werk. Das kann er allerdings unter der Auflage tun, dass die Geräte be­stimmte Sicher­heits­richtlinien erfüllen. Uner­wünschte Geräte lassen sich aber schon bei der Regi­strierung ab­weisen.

    Mit Richtlinien kann man also festlegen, unter welchen Voraus­setzungen sich Geräte verbinden dürfen, um auf Unter­nehmens­daten zuzugreifen. Diese Bedingungen werden von Intune fortlaufend kontrolliert, und sollte ein Gerät nicht mehr mit den Richtlinien überein­stimmen, so wird ihm der Zugriff automatisch gesperrt.

    Ein Beispiel für eine solche Vorgabe könnte sein, dass die Komplexität eines Kennwortes nicht ausreicht. Ein wichtiges Kriterium für den Zugang zum Firmennetz wird außerdem häufig sein, ob ein iPhone einem Jailbrake unterzogen oder ein Android-Gerät gerootet worden ist.

    Neue Richtlinie anlegen

    Neue Richtlinien für verwaltete Geräte können in der Intune-Konsole unter Gerätekompatibilität => Richtlinien erstellt werden. Idealerweise wird man solche Compliance-Regeln schon vorab definieren, so dass Geräte, die sich danach registrieren, diesen von Anfang an unterworfen sind.

    Die Richtlinien finden sich unter dem Abschnitt Gerätekompatibilität

    Mit einem Klick auf Richtlinie erstellen öffnet sich der zuständige Wizard.

    Nach der Wahl der Plattform für eine neue Richtlinie kann man die Bedingungen definieren, die ein Gerät erfüllen muss.

    Unter Plattform wählt man das Betriebs­system aus, für welche diese Richtlinie greifen soll. Erst daraufhin werden auch die Einstellungen freigeschaltet, weil es von der Plattform abhängt, welche verfügbar sind.

    Einstellungen für eine Geräterichtlinie konfigurieren

    Hier aktiviert man die gewünschten Optionen. Beispielsweise kann ein Gerät blockiert werden, sollte ein Jailbreak vorliegen. Weitere Konfigurations­schritte führt man je nach Anforderungen aus.

    iPhones und iPads mit Jailbreak den Zugriff verwehren

    Sollte eine Richtlinie greifen und der Benutzer wird ausgesperrt, dann kann dieser unter Aktion bei Inkompatibilität darüber informiert werden, dass der Zugriff vom Admin blockiert wurde und wie er das Problem lösen kann.

    Richtlinie an Gruppe zuweisen

    Nachdem die Richtlinie gespeichert wurde, muss man sie einer Gruppe zuweisen, auf die sie zukünftig wirken soll. Dies können natürlich auch eigens dafür erstellte Gruppen sein. In meinem Beispiel möchte ich, dass alle Benutzer, welche ein iPhone nutzen, diese Richtlinie bekommen.

    Richtlinie an Benutzergruppen zuweisen

    Insgesamt folgt die Konfiguration der Richtlinie und die Zuweisung für alle unterstützten Betriebs­systeme immer nach dem gleichen Muster, nur die Einstellungen sind von Plattform zu Plattform unterschiedlich.

    Einschränkungen für die Registrierung

    Während die oben erläuterten Richtlinien erst greifen, nachdem sich ein Gerät registriert hat, sorgen die Registrierungs­beschränkungen schon vorab dafür, dass Benutzer bestimmte Geräte erst gar nicht ins System bringen können.

    Der entsprechenden Einstellungen finden sich unter Geräteregistrierung => Registrierungs­beschränkungen. Dort kann man festlegen, wie viele und welche Geräte bestimmte Benutzer regi­strieren dürfen. Die Obergrenze liegt per Voreinstellung bei 5 Geräten.

    Neue Registrierungsbeschränkung erstellen

    Legt man eine neue Einschränkung an, dann muss man für sie einen Namen vergeben und optional eine Beschreibung hinterlegen. Beim Einschränkungstyp wählt man zwischen Gerätelimit und Gerätetyp.

    Schränkt man den Gerätetyp ein, dann kann man sogar bestimmte OS-Versionen ausschließen.

    Beim ersten grenzt man die Zahl der Geräte ein, die Benutzer maximal registrieren dürfen, beim zweiten legt man fest, unter welchen Betriebs­systemen diese laufen dürfen. Dabei kann man in einem zweiten Schritt auch noch die zulässigen Versionen bestimmen.

    Registrierungs­beschränkung an Benutzer zuweisen

    Hat man die Registrierungs­beschränkung gespeichert, dann muss man sie wie oben einer Gruppe zuweisen, für deren Benutzer sie künftig gelten soll.

    Keine Kommentare