Compliance Policys in Microsoft 365 Intune sind ein wichtiges Mittel, um die Sicherheit im Unternehmen zu gewährleisten. Durch Festlegen einiger Parameter wird sichergestellt, dass ein Gerät auch den Anforderungen des Unternehmens entspricht. Die Festplatte muss verschlüsselt sein, Defender soll aktiviert sein, eine bestimmte OS-Version wird erfordert, etc.
Die eigentliche Magie passiert aber erst, wenn Compliance Policys in Verbindung mit Conditional Access genutzt werden. Denn dann kann aktiv einem Gerät, welches nicht compliant ist, der Zugang zu bestimmten Unternehmensressourcen untersagt werden, bis das Gerät wieder den Anforderungen des Unternehmens entspricht.
Aber was macht eine Compliance Policy eigentlich?
Immer wieder stelle ich fest, dass einige Administratoren gar nicht genau wissen, was die Compliance Policy macht. Es wird oft davon ausgegangen, dass die Einstellungen in der Richtlinie geprüft werden, und wenn z.B. das Passwort nicht den Parametern aus der Compliance Richtlinie entspricht, ein Gerät als nicht compliant markiert wird. Das stimmt aber nur bedingt. Denn die Compliance Policy nimmt auch aktiv Einfluss auf die Einstellungen am Client. Wenn in der Policy z.B. Bitlocker als Required definiert wird, dann wird nicht nur geprüft, ob Bitlocker aktiviert ist, sondern es wird aktiv Bitlocker auch am Client eingeschaltet. Auch wird beim Setzen der Minimallänge des Passwortes über die Compliance Richtlinie dieses nicht geprüft, sondern es wird beim Setzen eines Passwortes dafür gesorgt, dass ein Passwort, welches nicht der Richtlinie entspricht, auch nicht gesetzt werden kann.
Besonders wichtig wird dies dann, wenn an anderer Stelle über Configuration Policys dieselben Einstellungen gesetzt werden. Denn dann hat stets die Einstellung der Compliance Policy Vorrang! Werden mehrere Compliance Policys mit demselben Setting auf ein Gerät angewandt, dann wird die restriktivste Einstellung angewandt. 1
Dies fällt oft erst auf, wenn beispielsweise auf bestimmten Clients Bitlocker deaktiviert werden soll, und dies nicht funktioniert, weil die Compliance Policy nicht angepasst wurde. Dies ist zum Beispiel bei Windows 365 / VDI der Fall. Ein Exclude aus der entsprechenden Bitlocker Policy reicht dann nicht aus. Es muss zusätzlich dafür gesorgt werden, dass diese Clients auch eine eigene Compliance Policy erhalten, in der Bitlocker als not configured gesetzt wird. Erst dann kann durch eine Configuration Policy Bitlocker auch aktiv ausgeschaltet werden.
Wem dieser Umstand bewusst ist, der tut sich beim Troubleshooting deutlich leichter und bedenkt dies schon beim Design der Richtlinien. Es macht also durchaus Sinn, die Settings der Compliance Policy gut zu kennen.
