Intune Compliance-Richtlinien für Berliner KMU
Intune-Compliance-Richtlinien prüfen, ob ein Gerät bestimmte Sicherheitsanforderungen erfüllt, bevor es auf Unternehmensressourcen zugreifen darf. Sie sind damit ein zentrales Werkzeug, um technische Sicherheitsstandards automatisiert durchzusetzen — ohne manuelle Kontrolle jedes Einzelgeräts.
Compliance-Richtlinien vs. Konfigurationsprofile
Bevor wir in die Konfiguration einsteigen, ein wichtiger konzeptioneller Unterschied:
- Konfigurationsprofile stellen Einstellungen auf dem Gerät ein (z. B. BitLocker aktivieren, Firewall konfigurieren).
- Compliance-Richtlinien prüfen, ob diese Einstellungen vorhanden sind, und melden ein Gerät als konform oder nicht konform.
Nur konforme Geräte erhalten über Conditional Access Zugriff auf M365-Dienste. Die Kombination aus Konfigurationsprofil (Durchsetzung) und Compliance-Richtlinie (Prüfung) bildet einen vollständigen Kontrollkreis.
Empfohlene Compliance-Einstellungen für Windows-Geräte
| Einstellung | Empfehlung | Begründung |
|---|---|---|
| BitLocker | Erforderlich | Schutz bei Geräteverlust |
| Microsoft Defender Antivirus | Aktiviert und aktuell | Endpunktschutz als Mindestanforderung |
| Mindest-OS-Version | Windows 11 22H2 oder höher | Verhindert unsupported OS im Einsatz |
| Secure Boot | Erforderlich | Schutz gegen Boot-Kits |
| Firewall | Aktiviert | Netzwerksegmentierung auf Geräteebene |
| Kulanzfrist bei Non-Compliance | 3–5 Tage | Zeit für Nutzerkorrektur vor Zugangssperre |
| Bedrohungsstufe (Defender) | Niedrig oder Keine Bedrohung | Verhindert Zugriff bei aktivem Malware-Fund |
Integration mit Conditional Access
Eine Compliance-Richtlinie ohne Conditional Access ist wirkungslos — sie meldet den Status, blockiert aber nichts. Die richtige Architektur ist:
- Intune Compliance-Richtlinie definiert, was „konform“ bedeutet.
- Conditional-Access-Richtlinie erzwingt als Bedingung: Gerät muss als konform markiert sein.
- Nicht konforme Geräte werden automatisch vom Zugriff auf Exchange, SharePoint und Teams ausgesperrt.
Diese Verknüpfung ist der entscheidende Sicherheitsgewinn: Die Compliance-Richtlinie hat technische Konsequenzen, nicht nur einen Reportingwert.
Report-Only-Modus für den Rollout
Aktivieren Sie Compliance-Richtlinien zunächst im Report-Only-Modus. In diesem Modus werden Geräte ausgewertet und als konform oder nicht konform markiert — ohne dass der Zugang gesperrt wird. Das erlaubt Ihnen:
- Zu sehen, welche Geräte sofort konform wären
- Nicht konforme Geräte vorab zu korrigieren
- Rollout ohne unerwartete Zugangsprobleme
Nach einer Woche oder zwei im Report-Only-Modus aktivieren Sie die Durchsetzung schrittweise — zunächst für eine Pilotgruppe, dann für alle Geräte.
BYOD und MAM als paralleler Track
Für persönliche Geräte (BYOD), die nicht in Intune registriert sind, greift die MDM-basierte Compliance-Richtlinie nicht. Setzen Sie hier auf App-Schutzrichtlinien (MAM) als Ergänzung: Sie schützen Unternehmensdaten innerhalb von Microsoft-365-Apps, ohne das private Gerät vollständig zu verwalten. Die Kombination aus MDM-Compliance für verwaltete Geräte und MAM für BYOD deckt beide Szenarien ab.
Benötigen Sie Unterstützung beim Aufbau einer Intune-Compliance-Strategie für Ihr Berliner Unternehmen? Kontaktieren Sie uns für ein kostenloses Erstgespräch.
Weiterfuehrende Artikel