Skip to content
ViganoLabs Dokumentation

Compliance Grundlagen

Was “Compliance” in Intune bedeutet

Section titled “Was “Compliance” in Intune bedeutet”

Eine Compliance-Richtlinie bewertet Geräteeigenschaften und liefert einen Status (compliant / noncompliant / not evaluated). Dieser Status wird häufig in Conditional Access verwendet, um Zugriffe nur von “guten” Geräten zuzulassen.

Wichtig:

  • Compliance ist Bewertung.
  • Konfigurationsprofile/Security Baselines sind Durchsetzung.

Nur beides zusammen ergibt ein tragfähiges Sicherheitsniveau.

Minimal-Compliance (bewährter Startpunkt)

Section titled “Minimal-Compliance (bewährter Startpunkt)”

Ein pragmatisches Minimum enthält typischerweise:

  • Gerätesperre (PIN/Passcode) und minimale Komplexität
  • Verschlüsselung (z. B. BitLocker/FileVault)
  • OS-Version/Build-Minimum (und max. “Age”)
  • Jailbreak/Root Detection
  • Defender/AV-Status (je nach Plattform)

Die Kunst liegt weniger in den Regeln als in der Kommunikation: Nutzer müssen verstehen, wie sie noncompliance beheben.

Zusätzlich wichtig: Compliance ist nicht “instant”. Geräte brauchen Check-ins; gerade nach Rollouts entstehen sonst scheinbar zufällige Blockaden.

Zuweisung und Scope

Section titled “Zuweisung und Scope”
  • Beginne mit Pilotgruppen.
  • Trenne Plattformen (Windows/macOS/iOS/Android) und Ownership-Modelle (BYOD vs Corporate).
  • Verwende dynamische Gruppen nur, wenn du die Auswirkungen sicher verstehst.

Zusammenspiel mit Conditional Access

Section titled “Zusammenspiel mit Conditional Access”

Ein klassisches Pattern:

  • Benutzer dürfen auf M365 zugreifen
  • aber nur, wenn das Gerät compliant ist
  • und für Admin-Portale zusätzlich strengere Anforderungen gelten

Das ist nur stabil, wenn Compliance-Auswertungen verlässlich sind (Timing, MDM-Check-in).

Praktische Rollout-Reihenfolge:

  1. Compliance-Policies definieren und Pilotgruppen ausrollen.
  2. Support-Playbook bauen (häufigste Noncompliance-Gründe).
  3. Erst dann CA mit “require compliant device” aktivieren.

Troubleshooting: Warum ist ein Gerät noncompliant?

Section titled “Troubleshooting: Warum ist ein Gerät noncompliant?”
  • Zeitpunkt der letzten Bewertung (Device check-in)
  • Welche Regel schlägt fehl?
  • Ist es ein Konfigurationsproblem (fehlende Baseline) oder ein “echter” Zustand (z. B. veraltetes OS)?

Typischer Fehler: CA verlangt compliant device, aber Geräte sind noch nicht korrekt enrolled oder die Compliance-Policies sind zu früh enforced.

Wenn du Noncompliance als harten Blocker einsetzt, brauchst du eine klare Ausnahme-Story (befristet, kontrolliert, nachvollziehbar) – sonst umgehen Teams am Ende das Ziel (Shadow IT).