(EPM) Rechteerhöhungsregeln beinhalten jetzt einen neuen Rechteerhöhungstyp für Dateien mit der Bezeichnung „Deny“
Woche vom 26. Mai 2025 (Service Release 2505)
Microsoft Intune Suite
Endpoint Privilege Management-Regeln verweigern explizit die Rechteerweiterung
Endpoint Privilege Management (EPM)-Regeln für Rechteerweiterungen enthalten jetzt den neuen Datei-Rechteerweiterungstyp „Verweigern“. Eine auf „Verweigern“ gesetzte EPM-Regel für Rechteerweiterungen blockiert die Ausführung der angegebenen Datei in einem Kontext mit erhöhten Rechten. Wir empfehlen zwar die Verwendung von Datei-Rechteerweiterungsregeln, um Benutzern die Rechteerweiterung bestimmter Dateien zu ermöglichen, doch eine Verweigerungsregel kann Ihnen helfen, sicherzustellen, dass bestimmte Dateien, wie z. B. bekannte und potenziell schädliche Software, nicht in einem Kontext mit erhöhten Rechten ausgeführt werden können.
Verweigerungsregeln unterstützen dieselben Konfigurationsoptionen wie andere Rechteerweiterungstypen, mit Ausnahme von untergeordneten Prozessen, die nicht verwendet werden.
Weitere Informationen zu EPM, das als Add-on-Funktion der Intune Suite verfügbar ist, finden Sie in der Übersicht zu Endpoint Privilege Management.
App-Verwaltung
Neu verfügbare geschützte Apps für Intune
Folgende geschützte Apps sind jetzt für Microsoft Intune verfügbar:
– Windows-App von Microsoft Corporation (Android)
– Microsoft Clipchamp von Microsoft Corporation (iOS)
– 4CEE Connect von 4CEE Development
– Mobile Helix Link für Intune von Mobile Helix
Gerätekonfiguration
DFCI-Profile für Windows-Geräte verwalten
Wir unterstützen jetzt die Verwendung von DFCI-Profilen zur Verwaltung der UEFI-Einstellungen (BIOS) für NEC-Geräte mit Windows 10 oder Windows 11. Nicht alle NEC-Geräte mit Windows sind für DFCI aktiviert. Fragen Sie Ihren Gerätehändler oder -hersteller nach geeigneten Geräten.
Sie können DFCI-Profile im Microsoft Intune Admin Center verwalten: Geräte > Geräte verwalten > Konfiguration > Erstellen > Neue Richtlinie > Plattform: Windows 10 und höher > Vorlagen > Geräte-Firmware-Konfigurationsschnittstelle (Profiltyp).
Geräteregistrierung
Benutzerdefinierte Benennungsvorlage für AOSP-Geräte
Verwenden Sie eine benutzerdefinierte Vorlage für die Benennung von benutzergebundenen und benutzerlosen AOSP-Geräten bei der Registrierung in Intune. Die Vorlage kann im Registrierungsprofil konfiguriert werden. Sie kann eine Kombination aus freiem Text und vordefinierten Variablen enthalten, wie z. B. Geräteseriennummer, Gerätetyp und bei benutzergebundenen Geräten den Benutzernamen des Besitzers.
Änderung der rollenbasierten Zugriffssteuerung für Geräteregistrierungslimits
Wir haben die rollenbasierte Zugriffssteuerung (RBAC) für Gerätelimits aktualisiert. Wenn Ihnen aktuell die Rolle „Richtlinien- und Profilmanager“ oder die in der Rolle integrierten Berechtigungen für Gerätekonfigurationen zugewiesen sind, haben Sie jetzt schreibgeschützten Zugriff auf die Richtlinien für Geräteregistrierungslimits. Zum Erstellen und Bearbeiten dieser Richtlinien müssen Sie Intune-Administrator sein.
Geräteverwaltung
Plattformübergreifendes Geräteinventar
Android-, iOS- und Mac-Geräte werden dem Geräteinventar hinzugefügt. Intune erfasst jetzt standardmäßig Inventardaten, darunter 74 Apple- und 32 Android-Eigenschaften.
Verbesserte Sicherheit bei unbeaufsichtigten Remote-Hilfe-Sitzungen auf Android-Geräten
Bei unbeaufsichtigten Remote-Hilfe-Sitzungen auf Android-Geräten haben wir die Sicherheit und Benutzersensibilisierung während der Remote-Unterstützung verbessert, indem wir den Bildschirm des Geräts blockieren und Benutzer bei Interaktion benachrichtigen.
Diese Funktion ist für Zebra- und Samsung-Geräte verfügbar, die als dedizierte Android Enterprise-Unternehmensgeräte registriert sind.
Gerätesicherheit
Erkennung gerooteter Android Enterprise-Unternehmensgeräte
Konfigurieren Sie Compliance-Richtlinien, um zu erkennen, ob ein unternehmenseigenes Android Enterprise-Gerät gerootet ist. Wenn Microsoft Intune erkennt, dass ein Gerät gerootet ist, können Sie es als nicht konform markieren lassen. Diese Funktion ist jetzt für Geräte verfügbar, die als vollständig verwaltet, dediziert oder unternehmenseigen mit einem Arbeitsprofil registriert sind. Weitere Informationen finden Sie unter Geräte-Compliance-Einstellungen für Android Enterprise in Intune.
Gilt für:
- Android
Neues Endpunktsicherheitsprofil zur Konfiguration von Endpunkterkennung und -reaktion sowie Antivirus-Ausschlusseinstellungen auf Linux-Geräten
Im Rahmen des Intune-Szenarios für die Verwaltung der Endpunktsicherheitseinstellungen von Microsoft Defender können Sie ein neues Endpunkterkennungs- und -reaktionsprofil für Linux namens „Globale Ausschlüsse von Microsoft Defender (AV+EDR)“ verwenden. Damit können Sie nun Linux-Geräteausschlüsse sowohl für Microsoft Defender Endpunkterkennung und -reaktion (EDR) als auch für Antivirus (AV) verwalten.
Dieses Profil unterstützt Einstellungen für globale Ausschlusseinstellungen, wie in der Microsoft Defender-Dokumentation unter „Ausschlüsse unter Linux konfigurieren und validieren“ beschrieben. Diese Ausschlusskonfigurationen können sowohl für die Antivirus- als auch für die EDR-Engines auf dem Linux-Client gelten, um zugehörige EDR-Warnungen für den Echtzeitschutz ausgeschlossener Elemente zu stoppen. Ausschlüsse können über den vom Administrator in der Richtlinie explizit festgelegten Dateipfad, Ordner oder Prozess definiert werden.
Das neue Intune-Profil:
- Ist zusätzlich zur bestehenden Endpunktsicherheitsrichtlinie für Microsoft Defender Antivirus verfügbar.
– Wird für Geräte unterstützt, die Sie über das Microsoft Defender für Endpunkt-Sicherheitseinstellungsverwaltungsszenario verwalten.
– Wird nicht für Linux-Geräte unterstützt, die direkt von Intune verwaltet werden.
Weitere Informationen zu den verfügbaren Defender-Einstellungen finden Sie unter Conf.
Sicherheitseinstellungen in Microsoft Defender für Endpunkt unter Linux – Microsoft Defender für Endpunkt in der Defender für Endpunkt-Dokumentation.
Gilt für:
- Linux
Mandantenverwaltung
Datenerfassung von SimInfo-Entität auf Windows-Geräten
Sie können jetzt Daten von der SimInfo-Entität auf Windows-Geräten mit erweiterter Geräteinventur erfassen. Weitere Informationen finden Sie auf der Intune-Datenplattform. Gilt für:
- Windows