Die Einführung einer Default Device Compliance Policy in Microsoft Intune scheint zunächst ein Sicherheitsgewinn zu sein. Doch die Realität zeigt: Viele Unternehmen übersehen kritische Standardkonfigurationen, die ihre gesamte Compliance-Strategie unterlaufen können. Ein typisches Szenario verdeutlicht das Problem: Ein Unternehmen implementiert strikte Device Compliance Richtlinien für den Zugriff auf Microsoft 365, nur um festzustellen, dass nicht-konforme Geräte dennoch Zugang erhalten. Der Grund liegt in den oft missverstandenen Standardeinstellungen der Intune Default Device Compliance Policy.
Microsoft Intune aktiviert automatisch eine mandantenweite Default Device Compliance Policy, sobald Sie den Dienst abonnieren. Diese Richtlinie wirkt parallel zu allen individuell erstellten Compliance-Richtlinien und kann deren Wirksamkeit erheblich beeinträchtigen. Die kritische Einstellung "Geräte ohne zugewiesene Compliance-Richtlinie als konform markieren" ist standardmäßig auf "Konform" gesetzt.
Diese Konfiguration bedeutet konkret: Selbst wenn Sie keine explizite Device Compliance Policy erstellt oder zugewiesen haben, werden Geräte als konform betrachtet. Für Conditional Access-Richtlinien, die konforme Geräte voraussetzen, entsteht dadurch eine gefährliche Sicherheitslücke. Geräte können auf Unternehmensressourcen zugreifen, obwohl sie Ihre tatsächlichen Sicherheitsanforderungen nicht erfüllen.
Die Lösung erfordert eine bewusste Anpassung der Compliance Policy Settings. Navigieren Sie zu Endpoint Security, Device Compliance und ändern Sie die Einstellung auf "Nicht konform". Erst dann stellen Sie sicher, dass ausschließlich Geräte mit bestätigter Konformität Zugang erhalten.
Die Intune Device Compliance umfasst drei automatische Bewertungskriterien, die jedes verwaltete Gerät erfüllen muss. Das Verständnis dieser Komponenten ist entscheidend für eine funktionierende Compliance-Strategie.
Die erste Komponente überprüft, ob der Benutzer, der das Gerät registriert hat, weiterhin existiert und lizenziert ist. Wenn Sie einen Mitarbeiter aus dem System entfernen, dessen Gerät noch in Intune verwaltet wird, wird dieses automatisch als nicht-konform markiert.
Besonders problematisch wird dies bei IT-Administratoren, die Geräte initial einrichten. Verlässt der Administrator das Unternehmen, können hunderte von Geräten plötzlich nicht-konform werden. Die Lösung liegt in der rechtzeitigen Änderung des Primary Users über die Geräteeigenschaften in Intune, bevor Benutzerlöschungen vorgenommen werden.
Diese Komponente stellt sicher, dass jedem Gerät mindestens eine explizite Device Compliance Policy zugewiesen ist. Ohne eine solche Zuweisung kann Intune die tatsächliche Sicherheitslage des Geräts nicht bewerten. Hier zeigt sich die Wichtigkeit der korrekten Konfiguration der Standardeinstellung: Nur wenn Sie die Grundeinstellung auf "Nicht konform" ändern, werden Geräte ohne explizite Richtlinien korrekt als risikobehaftet eingestuft.
Die Erstellung spezifischer Compliance-Richtlinien sollte daher höchste Priorität haben. Definieren Sie mindestens grundlegende Anforderungen wie Betriebssystemversionen, Verschlüsselungsstandards oder Antivirus-Schutz. Weisen Sie diese Richtlinien Benutzergruppen zu, nicht Gerätegruppen, um systembedingte Compliance-Probleme zu vermeiden.
Die dritte Komponente überwacht, ob Geräte regelmäßig ihren Status an Intune melden. Standardmäßig gilt ein Gerät als nicht-konform, wenn es 30 Tage lang keinen Kontakt zu Intune hatte. Diese Gültigkeitsdauer können Sie in den Compliance Policy Settings zwischen einem und 120 Tagen konfigurieren.
Die "Is Active"-Bewertung erfolgt durch eine tägliche Hintergrundaufgabe auf dem Gerät. Problematisch wird es, wenn Geräte durch Netzwerkprobleme, Energiesparmodi oder fehlerhafte Synchronisation nicht regelmäßig einchecken. In solchen Fällen können Sie eine manuelle Synchronisation über die Company Portal App oder PowerShell-Befehle anstoßen.
Die Kombination von Device Compliance mit Conditional Access-Richtlinien verstärkt sowohl die Sicherheitswirkung als auch die potenziellen Ausfallrisiken. Wenn Ihre Conditional Access-Richtlinien konforme Geräte für den Zugriff auf Exchange Online, SharePoint oder Teams voraussetzen, führen Compliance-Probleme direkt zu Produktivitätsausfällen.
Ein häufiges Szenario: Ein Gerät verliert aufgrund der "Is Active"-Bewertung seinen Compliance-Status. Plötzlich kann der Benutzer nicht mehr auf Outlook oder Teams zugreifen. Die Fehlermeldung "Conditional Access policy requires a compliant device" verunsichert sowohl Anwender als auch IT-Support.
Für solche Situationen sollten Sie definierte Eskalationspfade etablieren. Benutzer müssen wissen, dass eine manuelle Synchronisation über die Company Portal App oft schnelle Abhilfe schafft. IT-Teams benötigen Monitoring-Tools, um Compliance-Probleme proaktiv zu erkennen, bevor sie geschäftskritisch werden.
Die Zuweisung von Compliance-Richtlinien an Benutzergruppen statt Gerätegruppen folgt nicht nur Microsoft-Empfehlungen, sondern vermeidet auch das "System Account"-Problem. Wenn Sie Richtlinien direkt an Geräte zuweisen, kann es vorkommen, dass das Systemkonto selbst als nicht-konform bewertet wird, insbesondere wenn kein Benutzer angemeldet ist.
Bei der Zuweisung an "Alle Benutzer" stellen Sie sicher, dass jedes Gerät über seinen primären Benutzer die entsprechenden Richtlinien erhält. Diese Methode funktioniert auch bei gemeinsam genutzten Geräten besser, da die Compliance-Bewertung dem jeweiligen primären Benutzer zugeordnet wird.
Für Organisationen mit vielen gemeinsam genutzten Geräten, etwa im Bildungsbereich oder in Fertigungsumgebungen, kann allerdings die Gerätezuweisung praktischer sein. Hier müssen Sie die Systemkonto-Problematik durch regelmäßige Compliance-Überprüfungen und gegebenenfalls manuelle Korrekturen abfedern.
Das Intune Compliance Dashboard bietet verschiedene Ansichten für die Überwachung Ihres Device Compliance Status. Unter "Devices > Monitor > Compliance" erhalten Sie eine Übersicht über die drei Standardkomponenten der Default Device Compliance Policy mit kurzen Beschreibungen ihrer Funktionsweise.
Für detailliertes Troubleshooting nutzen Sie die gerätespezifischen Compliance-Berichte. Hier sehen Sie genau, welche Richtlinien ein Gerät erfüllt oder verfehlt. Bei Problemen mit der "Is Active"-Bewertung können Sie die letzten Check-in-Zeiten einsehen und gegebenenfalls die Gültigkeitsdauer temporär anpassen.
Die Audit Logs unter "Tenant Administration" dokumentieren alle Compliance-relevanten Ereignisse und helfen bei der Ursachenforschung für wiederkehrende Probleme. Besonders wertvoll sind diese Logs bei der Analyse von Massenausfällen oder systematischen Compliance-Problemen.
Eine durchdachte Intune Device Compliance-Strategie beginnt mit der Anpassung der Grundeinstellungen. Ändern Sie die Standardkonfiguration für Geräte ohne explizite Richtlinien auf "Nicht konform" und definieren Sie angemessene Gültigkeitszeiträume für die "Is Active"-Bewertung.
Erstellen Sie spezifische Compliance-Richtlinien für verschiedene Gerätekategorien und Sicherheitsanforderungen. Eine Grundrichtlinie könnte Mindestanforderungen an Betriebssystemversionen und Verschlüsselung definieren, während spezialisierte Richtlinien zusätzliche Anforderungen für sensitive Bereiche implementieren.
Implementieren Sie automatisierte Benachrichtigungen für nicht-konforme Geräte und definieren Sie Grace Periods für die Fehlerbehebung. Benutzer sollten ausreichend Zeit haben, Compliance-Probleme zu beheben, bevor der Zugriff auf Geschäftsressourcen gesperrt wird.
Dokumentieren Sie Ihre Compliance-Anforderungen transparent und stellen Sie Benutzern verständliche Anleitungen zur Problemlösung zur Verfügung. Je besser Ihre Anwender die Anforderungen verstehen, desto weniger Support-Aufwand entsteht bei Compliance-Problemen.
Die Default Device Compliance Policy von Microsoft Intune ist ein mächtiges Werkzeug für die Gerätesicherheit, erfordert jedoch bewusste Konfiguration und kontinuierliche Überwachung. Unternehmen, die die Standardeinstellungen unverändert übernehmen, riskieren Sicherheitslücken oder unerwartete Zugriffsprobleme.
Unsere Empfehlung: Investieren Sie die notwendige Zeit in die initiale Konfiguration und das Verständnis der drei Kernkomponenten. Ändern Sie die Grundeinstellung für nicht zugewiesene Geräte auf "Nicht konform", entwickeln Sie spezifische Compliance-Richtlinien für Ihre Umgebung und etablieren Sie klare Prozesse für Monitoring und Troubleshooting.
Eine korrekt implementierte Device Compliance-Strategie stärkt nicht nur Ihre Sicherheitsposition, sondern reduziert auch den operativen Aufwand durch weniger Support-Anfragen und klarere Verantwortlichkeiten. Die Default Device Compliance Policy wird so von einem potenziellen Stolperstein zu einem verlässlichen Fundament Ihrer modernen Arbeitsplatz-Sicherheit.