• Artikel

Kompatibilitätsrichtlinien in Configuration Manager

 

Betrifft: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Die Informationen in diesem Thema gelten für System Center 2012 Configuration Manager SP1 oder höher und System Center 2012 R2 Configuration Manager oder höher.

Kompatibilitätsrichtlinien definieren in Configuration Manager die Regeln und Einstellungen, die ein Gerät erfüllen muss, damit es als mit bedingten Zugriffsrichtlinien kompatibel eingestuft wird. Kompatibilitätsrichtlinien ermöglichen Ihnen auch, Kompatibilitätsprobleme bei Geräten unabhängig von bedingten Zugriffsrechten zu überwachen und zu beheben.

System_CAPS_importantWichtig

Kompatibilitätsrichtlinien gelten nur für Geräte, die von Microsoft Intune verwaltet werden.

Diese Regeln umfassen Folgendes:

  • PIN und Kennwörter

  • Verschlüsselung

  • Ob das Gerät per Jailbreak oder Rooting manipuliert wurde

  • Ob der E-Mail-Dienst auf dem Gerät über eine Intune-Richtlinie verwaltet wird

  • Minimal erforderliche Betriebssystemversion: Diese hängt in der Regel von den Kompatibilitätsrichtlinien und Sicherheitsanforderungen Ihres Unternehmens ab. Mit einer solchen Festlegung kann der Zugriff auf Geräte verhindert werden, die aufgrund ihrer veralteten Betriebssystemversion ein potenzielles Sicherheitsrisiko darstellen.

  • Maximal zulässige Betriebssystemversion: Sie können festlegen, dass die neueste verfügbare Betriebssystemversion nicht unterstützt wird, weil z. B. Tests noch nicht abgeschlossen sind oder andere Gründe vorliegen. Sie können Geräte sperren, die eine neuere Version als die von Ihnen festgelegte nutzen. Solche Geräte können bis zur Änderung der Richtlinie nicht auf Unternehmensressourcen zugreifen.

System_CAPS_noteHinweis

Wenn Sie die Regeln für die Minimal- und Maximalversionen von Betriebssystemen nutzen möchten, müssen Sie die neueste Erweiterung für bedingten Zugriff für System Center 2012 R2 Configuration Manager SP1 verwenden.
System_CAPS_noteHinweis

Auf Windows-PCs wird die Windows-Betriebssystemversion 8.1 als Version 6.3 gemeldet (anstelle von 8.1). Wenn die Betriebssystem-Versionsregel für Windows auf die Version Windows 8.1 festgelegt ist, wird das betreffende Gerät als nicht kompatibel gemeldet, selbst wenn auf ihm Windows 8.1 installiert ist. Stellen Sie deshalb sicher, dass Sie in den Regeln für das minimal oder maximal zulässige Betriebssystem die richtige gemeldete Version von Windows festlegen. Die Versionsnummer muss derjenigen entsprechen, die durch den winver-Befehl zurückgegeben wird.

Bei Windows-Smartphones tritt dieses Problem nicht auf, dort wird als Version wie erwartet 8.1 gemeldet.

Sie stellen Kompatibilitätsrichtlinien für Benutzer- und Gerätegruppen bereit. Wenn Sie eine Konformitätsrichtlinie für einen Benutzer bereitstellen, wird die Konformität aller Geräte des Benutzers überprüft.

Die folgende Tabelle enthält die von Konformitätsrichtlinien unterstützten Gerätetypen. Zudem ist darin angegeben, wie nicht konforme Einstellungen gehandhabt werden, wenn die Richtlinie mit einer bedingten Zugriffsrichtlinie verwendet wird.

Gerätetyp

PIN- oder Kennwortkonfiguration

Geräteverschlüsselung

Per Jailbreak oder Rooting manipuliertes Gerät

E-Mail-Profil

Minimale Version des Betriebssystems

Maximale Version des Betriebssystems

Windows 8.1 und höher

Wiederhergestellt

N/V

N/V

N/V

Isoliert

Isoliert

Windows Phone 8.1 und höher

Wiederhergestellt

Wiederhergestellt

N/V

N/V

Isoliert

Isoliert

iOS 6.0 und höher

Wiederhergestellt

Wiederhergestellt (durch Festlegen der PIN)

Unter Quarantäne gestellt (keine Einstellung)

Isoliert

Isoliert

Isoliert

Android 4,0 und höher

Isoliert

Isoliert

Unter Quarantäne gestellt (keine Einstellung)

N/V

Isoliert

Isoliert

Samsung KNOX Standard 4.0 und höher

Isoliert

Isoliert

Unter Quarantäne gestellt (keine Einstellung)

N/V

Isoliert

Isoliert

Wiederhergestellt = Konformität wird vom Betriebssystem des Geräts erzwungen (z. B. wird der Benutzer gezwungen, eine PIN festzulegen). Es gibt keinen Fall, in dem die Einstellung nicht konform ist.

Unter Quarantäne = Das Betriebssystem des Geräts erzwingt keine Konformität (z. B. zwingen Android-Geräte den Benutzer nicht dazu, das Gerät zu verschlüsseln). Dies bedeutet:

  • Das Gerät wird blockiert, wenn dem Benutzer eine bedingte Zugriffsrichtlinie zugewiesen wird.

  • Das Unternehmensportal oder Webportal benachrichtigt den Benutzer bezüglich aller Konformitätsprobleme.

Schritt 1: Erstellen einer Kompatibilitätsrichtlinie

  1. Klicken Sie in der Configuration Manager-Konsole auf Bestand und Kompatibilität.

  2. Erweitern Sie im Arbeitsbereich Bestand und Kompatibilität die Kompatibilitätseinstellungen, und klicken Sie auf Kompatibilitätsrichtlinien.

  3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Kompatibilitätsrichtlinie erstellen.

  4. Geben Sie auf der Seite Allgemein des Assistenten zum Erstellen von Kompatibilitätsrichtliniendie folgenden Informationen an:

    Einstellung

    Weitere Informationen

    Name

    Geben Sie einen eindeutigen Namen für die Konformitätsrichtlinie ein. Sie können maximal 256 Zeichen verwenden.

    Beschreibung

    Geben Sie eine Beschreibung mit einem Überblick über das VPN-Profil ein, die der Bestimmung des Profils in der Configuration Manager-Konsole dient. Sie können maximal 256 Zeichen verwenden.

    Schweregrad der Nichtkompatibilität für Berichte

    Geben Sie den Schweregrad an, der gemeldet wird, wenn diese Kompatibilitätsrichtlinie als nicht kompatibel ausgewertet wird. Die folgenden Schweregrade sind verfügbar:

    • Kein Von Geräten, bei denen bei dieser Kompatibilitätsregel ein Fehler auftritt, wird kein Fehlerschweregrad für Configuration Manager-Berichte gemeldet.

    • Information Von Geräten, bei denen bei dieser Kompatibilitätsregel ein Fehler auftritt, wird der Fehlerschweregrad Informationen für Configuration Manager-Berichte gemeldet.

    • Warnung Von Geräten, bei denen bei dieser Kompatibilitätsregel ein Fehler auftritt, wird der Fehlerschweregrad Warnung für Configuration Manager-Berichte gemeldet.

    • Kritisch Von Geräten, bei denen bei dieser Kompatibilitätsregel ein Fehler auftritt, wird der Fehlerschweregrad Kritisch für Configuration Manager-Berichte gemeldet.

    • Kritisch mit Ereignis Von Geräten, bei denen bei dieser Kompatibilitätsregel ein Fehler auftritt, wird der Fehlerschweregrad Kritisch für Configuration Manager-Berichte gemeldet. Dieser Schweregrad wird zudem im Anwendungsereignisprotokoll als Windows-Ereignis protokolliert.

  5. Wählen Sie auf der Seite Unterstützte Plattformen die Geräteplattformen, für die diese Kompatibilitätsrichtlinie ausgewertet wird, oder klicken Sie auf Alle auswählen, um alle Geräteplattformen auszuwählen.

  6. Auf der Seite Regeln definieren Sie eine oder mehrere Regeln, die die Konfiguration bestimmen, die Geräte aufweisen müssen, um als kompatibel eingestuft zu werden. In der folgende Tabelle finden Sie die verfügbaren Regeln. Wenn Sie eine Kompatibilitätsrichtlinie erstellen, sind einige Regeln standardmäßig aktiviert, die Sie aber bearbeiten oder löschen können.

    Regelname

    Weitere Informationen

    Unterstützte Plattformen

    Kennworteinstellungen auf mobilen Geräten erforderlich

    Legen Sie fest, dass Benutzer ein Kennwort eingeben müssen, bevor sie auf ihr Gerät zugreifen können.

    (Standardmäßig aktiviert)

    • Windows Phone 8 und höher

    • iOS 6 und höher

    • Android 4,0 und höher

    • Samsung KNOX Standard 4.0 und höher

    Einfache Kennwörter zulassen

    Erlauben Sie, dass Benutzer einfache Kennwörter wie "1234" oder "1111" verwenden können.

    (Standardmäßig deaktiviert)

    • Windows Phone 8 und höher

    • iOS 6 und höher

    Minimale Kennwortlänge1

    Gibt die Mindestanzahl an Ziffern oder Zeichen an, die das Benutzerkennwort enthalten muss.

    (Standardeinstellung: 6)

    • Windows Phone 8 und höher

    • Windows 8.1

    • iOS 6 und höher

    • Android 4,0 und höher

    • Samsung KNOX Standard 4.0 und höher

    Dateiverschlüsselung auf mobilem Gerät

    Erfordert die Verschlüsselung des Geräts, um eine Verbindung mit Ressourcen herzustellen.

    Geräte unter Windows Phone 8 werden automatisch verschlüsselt.

    System_CAPS_importantWichtig

    Geräte unter iOS werden verschlüsselt, wenn Sie die Einstellung Kennworteinstellungen auf mobilen Geräte erforderlich konfigurieren.

    (Standardmäßig aktiviert)

    • Windows Phone 8 und höher

    • Android 4,0 und höher

    • Samsung KNOX Standard 4.0 und höher

    Gerät darf nicht per Jailbreak oder Rooting manipuliert worden sein

    Bei aktivierter Einstellung sind Geräte, die per Jailbreak (iOS) bzw. Rooting (Android) manipuliert wurden, nicht konform.

    (Standardmäßig deaktiviert)

    • iOS 6 und höher

    • Android 4,0 und höher

    • Samsung KNOX Standard 4.0 und höher

    E-Mail-Profil muss von Intune verwaltet werden

    Wenn diese Option aktiviert ist, wird das Gerät als nicht kompatibel gemeldet, wenn der Benutzer ein E-Mail-Konto auf dem Gerät eingerichtet hat, das mit einem E-Mail-Profil übereinstimmt, das von einem IT-Administrator auf dem Gerät bereitgestellt wurde.Configuration Manager kann das vom Benutzer bereitgestellte Profil nicht überschreiben und daher nicht verwalten.

    Zur Sicherstellung der Kompatibilität muss der Benutzer die vorhandenen E-Mail-Einstellungen entfernen. Anschließend kann das verwaltete E-Mail-Profil von Configuration Manager installiert werden.

    Weitere Informationen zu E-Mail-Profilen finden Sie unter Aktivieren des Zugriffs auf Unternehmens-E-Mail mithilfe von E-Mail-Profilen in Microsoft Intune.

    (Standardmäßig deaktiviert)

    • iOS 6 und höher

    E-Mail-Profil

    Wenn E-Mail-Konto muss von Intune verwaltet werden aktiviert ist, klicken Sie auf Auswählen, um das E-Mail-Profil auszuwählen, von dem Geräte verwaltet werden müssen. Das E-Mail-Profil muss auf dem Gerät vorhanden sein.

    • iOS 6 und höher

    Minimal erforderliches Betriebssystem

    Wenn ein Gerät die Anforderungen für die minimal erforderliche Betriebssystemversion nicht erfüllt, wird es als nicht kompatibel gemeldet. Es wird ein Link zur Vorgehensweise beim Upgraden angezeigt. Die Endbenutzer können ein Upgrade des Gerätes durchführen und anschließend auf die Unternehmensressourcen zugreifen.

    • Windows Phone 8 und höher

    • Windows 8.1

    • iOS 6 und höher

    • Android 4,0 und höher

    • Samsung KNOX Standard 4.0 und höher

    Maximal zulässige Betriebssystemversion

    Wenn auf einem Gerät eine neuere Betriebssystemversion verwendet wird, als die Regel erlaubt, wird der Zugriff auf Unternehmensressourcen gesperrt, und der Benutzer wird gebeten, sich an den IT-Administrator zu wenden. Mit diesem Gerät kann solange nicht auf Unternehmensressourcen zugegriffen werden, bis die Regel geändert und die betreffende Betriebssystemversion zugelassen wird.

    • Windows Phone 8 und höher

    • Windows 8.1

    • iOS 6 und höher

    • Android 4,0 und höher

    • Samsung KNOX Standard 4.0 und höher

    1 Für Geräte, die Windows ausführen und mit einem Microsoft-Konto gesichert sind, ist keine korrekte Auswertung mit der Konformitätsrichtlinie möglich, wenn Minimale Kennwortlänge größer als 8 Zeichen oder die Minimale Anzahl von Zeichensätzen größer als 2 ist.

  7. Überprüfen Sie auf der Seite Zusammenfassung des Assistenten die von Ihnen festgelegten Einstellungen, und schließen Sie dann den Assistenten ab.

Die neue Richtlinie wird im Knoten Kompatibilitätsrichtlinien im Arbeitsbereich Bestand und Kompatibilität angezeigt.

Bereitstellen einer Konformitätsrichtlinie

  1. Klicken Sie in der Configuration Manager-Konsole auf Bestand und Kompatibilität.

  2. Erweitern Sie im Arbeitsbereich Bestand und Kompatibilität die Kompatibilitätseinstellungen, und klicken Sie auf Kompatibilitätsrichtlinien.

  3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Bereitstellung auf Bereitstellen.

  4. Klicken Sie im Dialogfeld Kompatibilitätsrichtlinien bereitstellen auf Durchsuchen, um die Benutzersammlung auszuwählen, für die Sie die Richtlinie bereitstellen möchten.

    Darüber hinaus können Sie Optionen auswählen, um Warnungen zu generieren, wenn die Richtlinie nicht befolgt wird. Sie können auch den Zeitplan konfigurieren, gemäß dem diese Richtlinie auf Kompatibilität ausgewertet wird.

  5. Klicken Sie abschließend auf OK.

Überwachen der Konformitätsrichtlinie

So zeigen Sie Kompatibilitätsergebnisse in der Configuration Manager-Konsole an

  1. Klicken Sie in der Configuration Manager-Konsole auf Überwachung.

  2. Klicken Sie im Arbeitsbereich Überwachung auf Bereitstellungen.

  3. Wählen Sie in der Liste Bereitstellungen die Kompatibilitätsrichtlinienbereitstellung aus, für die Sie die Kompatibilitätsinformationen prüfen möchten.

  4. Zusammenfassende Informationen zur Kompatibilität der Richtlinienbereitstellung finden Sie auf der Hauptseite. Wählen Sie zum Anzeigen ausführlicherer Informationen die Bereitstellung aus, und klicken Sie dann auf der Registerkarte Startseite in der Gruppe Bereitstellung auf Status anzeigen, um die Seite Bereitstellungsstatus anzuzeigen.

    Auf der Seite Bereitstellungsstatus sind die folgenden Registerkarten enthalten:

    - **Kompatibel**: Zeigt die Kompatibilität mit der Richtlinie basierend auf der Anzahl der betroffenen Bestände an. Sie können auf eine Regel klicken, um unter dem Knoten **Benutzer** oder **Geräte** im Arbeitsbereich **Bestand und Kompatibilität** einen temporären Knoten zu erstellen, in dem alle Benutzer oder Geräte enthalten sind, die mit dieser Regel kompatibel sind. Im Bereich **Bestandsdetails** werden die Benutzer oder Geräte angezeigt, die mit der Richtlinie kompatibel sind. Doppelklicken Sie auf einen Benutzer oder ein Gerät in der Liste, um weitere Informationen anzuzeigen.

- **Fehler**: Zeigt eine Liste aller Fehler für die ausgewählte Bereitstellung der Richtlinie basierend auf der Anzahl der betroffenen Bestände an. Sie können auf eine Regel klicken, um unter dem Knoten **Benutzer** oder **Geräte** im Arbeitsbereich **Bestand und Kompatibilität** einen temporären Knoten zu erstellen, in dem alle Benutzer oder Geräte enthalten sind, durch die mit dieser Regel Fehler generiert wurden. Wenn Sie einen Benutzer oder ein Gerät auswählen, werden im Bereich **Bestandsdetails** die Benutzer oder Geräte angezeigt, die vom ausgewählten Problem betroffen sind. Doppelklicken Sie auf einen Benutzer oder ein Gerät in der Liste, um weitere Informationen zum Problem anzuzeigen.

- **Nicht kompatibel**: Zeigt eine Liste aller nicht kompatiblen Regeln innerhalb der Richtlinie basierend auf der Anzahl der betroffenen Bestände an. Sie können auf eine Regel klicken, um unter dem Knoten **Benutzer** oder **Geräte** im Arbeitsbereich **Bestand und Kompatibilität** einen temporären Knoten zu erstellen, in dem alle Benutzer oder Geräte enthalten sind, die nicht mit dieser Regel kompatibel sind. Wenn Sie einen Benutzer oder ein Gerät auswählen, werden im Bereich **Bestandsdetails** die Benutzer oder Geräte angezeigt, die vom ausgewählten Problem betroffen sind. Doppelklicken Sie auf einen Benutzer oder ein Gerät in der Liste, um weitere Informationen zu diesem Problem anzuzeigen.

- **Unbekannt**: Zeigt eine Liste aller Benutzer und Geräte an, für die keine Kompatibilität mit der ausgewählten Richtlinienbereitstellung zusammen mit dem aktuellen Clientstatus von Geräten gemeldet wurde.

Nächste Schritte

Sie können die Konformitätsrichtlinien jetzt zusammen mit bedingten Zugriffsrichtlinien verwenden, um den Zugriff auf Dienste in Ihrer Organisation zu steuern.