Sicherheitseinstellungen

Die Sicherheit seinstellungen bieten Geräte-, App-, Daten- sowie Sicherungs- und Wiederherstellungseinstellungen für ein Windows-Gerät.

Verwenden Sie die Sicherheit seinstellungen, um die folgenden sicherheitsspezifischen Richtlinieneinstellungen zu konfigurieren.

  • Gerätesicherheit
  • Geräteverschlüsselung (BitLocker)
  • Datensicherheit
  • Authentifizierung und Kryptografie
  • App-Sicherheit
Tabelle 1. Gerätesicherheitseinstellungen
Richtlinieneinstellung Beschreibung Unterstützte Geräte
USB- oder SD-Karte inaktivieren Deaktiviert die Verwendung externer USB- oder SD-Karten auf dem Gerät.
  • Windows Phone 8+
  • Windows 10+ Professional, Schulung, Unternehmen
Entsperren durch Entwickler zulassen Entsperrt das Telefon, um die Bereitstellung der App auf dem Telefon zu aktivieren. Inaktivieren Sie diese Richtlinie, um die Ausführung nicht vertrauenswürdiger Apps zu verhindern.
Anmerkung: Wenn Sie diese Einstellung aktivieren, wird die Einstellung Installation von Apps aus dem Nicht-Windows-Store zulassen außer Kraft gesetzt.
  • Windows Phone 8.1+
  • Windows 10+ Professional, Schulung, Unternehmen
  • Windows Holographic
Benachrichtigungscenter in Sperranzeige des Geräts zulassen Aktiviert Action-Center-Benachrichtigungen auf dem Sperrbildschirm des Geräts. Windows Phone 8.1+
Grundstellung zulassen Wenn Sie diese Einstellung deaktivieren und den Netzwerkzugriff verlieren oder das Gerät nicht mehr erreichbar ist, müssen Sie das Gerät in einem von Microsoft autorisierten Servicecenter warten lassen. Obwohl die Setzen Sie diesen PC zurück Menü und das Fortgeschrittenes Start-up Optionen sind noch verfügbar, sie funktionieren möglicherweise nicht richtig. Das Deaktivieren dieser Einstellung hindert Sie nicht daran, das Gerät mithilfe eines Windows-Image von einem Wechselmedium wie einem USB-Stick oder einer CD wiederherzustellen.
Wichtig: Der Anbieter ist nicht für Schäden verantwortlich, die durch die Verwendung dieser Funktion am Gerät entstehen.
  • Windows Phone 8.1+
  • Windows 10+ Professional, Schulung, Unternehmen
Manuelles Aufheben der Registrierung zulassen Ermöglicht es dem Benutzer, das WorkPlace manuell vom Gerät zu löschen. Wenn Sie diese Einstellung inaktivieren, kann das Gerät Konnektivität permanent speichern oder verlieren und eine Wartung des Geräts in einem der autorisierten Microsoft-Service-Centers kann erforderlich sein.
  • Windows Phone 8.1+
  • Windows 10+ Professional, Schulung, Unternehmen
  • Windows Holographic
Tabelle 2. Einstellungen für die Geräteverschlüsselung ( BitLocker )
Richtlinieneinstellung Beschreibung Unterstützte Geräte
Verschlüsselung von Gerätelaufwerken erzwingen Aktiviert standardmäßig die interne Speicherverschlüsselung auf einem Gerät. Diese Einstellungen werden nicht auf Laufwerke angewendet, die bereits verschlüsselt sind. Die Standardeinstellung ist No. Der Status der Verschlüsselung wird in der Encryption Level Geräteansicht als angezeigt.
Aktivieren Sie im Edit Modus das Kontrollkästchen, um die Verschlüsselung von Gerätetreibern zu erzwingen, und zeigen Sie die folgenden Optionen an.
Hinweis: Unterstützt in MDM Extender Agent (MES) Version 4.37 und höher.
  • Verschlüsselungsmodus
    Der Administrator kann entweder Prompt User oder Silent BitLocker aus dem Dropdown-Menü auswählen. Prompt User Die Option fordert den Benutzer zur Aktivierung auf. Silent BitLocker Die Option wendet die Verschlüsselung stillschweigend ohne Benutzerinteraktion an.
    Hinweis: Silent BitLocker Die Verschlüsselung ist nicht für Geräte verfügbar, auf denen das Trusted Platform Module (TPM) nicht aktiviert ist.

    Wählen Sie Silent BitLocker aus, um die Option „Bitlocker-Benutzeroberfläche deaktivieren“ anzuzeigen. Diese Einstellung deaktiviert die Option für Benutzer, die Einstellungen für „ BitLocker “ über die Systemsteuerung und die UI-Option zu verwalten. Es verhindert, dass Benutzer den „ BitLocker ” manuell ein- oder ausschalten können.

  • Verschlüsselungsebene für Verschlüsselung von Gerätelaufwerken
    Der Administrator kann die Verschlüsselungsstufe für Geräte-Laufwerke aus den folgenden Werten auswählen.
    • AES 128-bit
    • AES 256-bit
    • XTS 128-bit
    • XTS 256-bit
Wichtig: Wenn das Laufwerk mit „ IBM® “ ( MaaS360® ) verschlüsselt ist, wird durch das Entfernen der Device Encryption (BitLocker) Richtlinie die Entschlüsselung des Laufwerks initiiert.
  • Windows 10+ Professional, Schulung, Unternehmen
Verschlüsselung austauschbarer Laufwerke erzwingen Erzwingt die Verschlüsselung auf Wechseldatenträgern während des Schreibens oder Speicherns von Inhalten auf Wechseldatenträgern. Windows 10+ Professional, Schulung, Unternehmen
Wiederanlaufnachricht für Systemlaufwerke überschreiben Überschreibt die Wiederanlaufnachricht des Standardsystemlaufwerks. Windows 10+ Professional, Schulung, Unternehmen
BitLocker-Wiederherstellungskennwort in Active Directory sichern Das Kennwort für die BitLocker-Wiederherstellung wird automatisch auf den über die Domäne verbundenen Geräten gesichert.
  • Für über Azure Active Directory verbundene Geräte wird das Kennwort unter den Gerätedaten im Azure-Portal angezeigt.
  • Für über lokales Active Directory verbundene Geräte wird das Kennwort unter dem Eigenschaftenabschnitt der Geräteansicht angezeigt.
 Windows 10+ Professional, Schulung, Unternehmen
BitLocker auf MaaS360 sichern BitLocker Der Wiederherstellungsschlüssel des Geräts wird unter „ MaaS360 ” gesichert. Der Benutzer kann den Wiederherstellungsschlüssel erhalten, indem er auf seinen Gerätedatensatz im Endbenutzerportal zugreift. Sie können ihn auch erhalten, indem Sie den Wiederherstellungsschlüssel per E-Mail über den Gerätedatensatz im Admin-Portal weitergeben. Windows 10+ Professional, Schulung, Unternehmen
Tabelle 3. Datensicherheitseinstellungen
Richtlinieneinstellung Beschreibung Unterstützte Geräte
Kopieren/Einfügen zulassen Ermöglicht dem Benutzer das Kopieren und Einfügen von Inhalten auf dem Gerät. Windows Phone 8.1+
Screenshots zulassen Ermöglicht Bildschirmaufnahmen auf dem Gerät. Windows Phone 8.1+
Speichern als Office-Dokumente zulassen Ermöglicht es einem Benutzer, Dateien auf dem Gerät als Microsoft Office-Datei zu speichern. Windows Phone 8.1+
Gemeinsame Nutzung von Office-Dokumenten zulassen Ermöglicht einem Benutzer die gemeinsame Nutzung von Microsoft Office-Dateien. Windows Phone 8.1+
Tabelle 4. Authentifizierungs- und Verschlüsselungseinstellungen
Richtlinieneinstellung Beschreibung Unterstützte Geräte
FIPS-Konformitätsrichtlinie zulassen Aktiviert die Federal Information Processing Standard (FIPS)-Richtlinie auf dem Gerät.
  • Windows Phone 10+
  • Windows 10+ Professional, Schulung, Unternehmen
SSO mit auf EAP-Zertifikaten basierender Authentifizierung zulassen Ermöglicht Single-Sign-On durch zertifikatsbasierte Authentifizierung über das Extensible Authentication Protocol (EAP) für den Zugriff auf interne Ressourcen. Windows 10+ Professional, Schulung, Unternehmen
Schnelle Verbindungswiederherstellung zulassen Ermöglicht eine schnelle EAP-Wiederverbindung, die für die Transport Layer Security ( TLS ) versucht wird.
  • Windows Phone 10+
  • Windows 10+ Professional, Education, Enterprise, Home
  • Windows Holographic
Sekundäres Authentifizierungsgerät zulassen Ermöglicht, dass sekundäre authentifizierte Geräte mit Windows arbeiten können.
  • Windows Phone 10+
  • Windows 10+ Professional, Education, Enterprise, Home
Tabelle 5. App-Sicherheitseinstellungen
Richtlinieneinstellung Beschreibung Unterstützte Geräte
Installation von Apps aus dem Nicht-Windows-Store zulassen Setzen Sie den Wert auf "Aktiviert" oder "Inaktiviert", oder legen Sie die Benutzersteuerung fest, um die Neuinstallation von Apps aus dem Nicht-Windows-Store zu ermöglichen oder zu inaktivieren. Diese Einstellung funktioniert mit der Richtlinieneinstellung Entsperren durch Entwickler zulassen.
Anmerkung: Diese Einstellung muss aktiviert sein, wenn Sie Mobile App Management für Unternehmens-Apps oder Browser mit Windows Phones verwenden.
  • Windows Phone 10+
  • Windows 10+ Professional, Schulung, Unternehmen
  • Windows Holographic
Automatisches Update von Windows Store-Apps zulassen Ermöglicht dem Benutzer die automatische Aktualisierung von Anwendungen aus dem Microsoft Store.
  • Windows 10+ Professional, Schulung, Unternehmen
  • Windows Holographic
Installierte Store-Apps nicht zulassen Ermöglicht das Zurücksetzen auf die Werkseinstellungen des Geräts. Windows 10+ Education, Enterprise
Nur privaten Speicher zulassen Aktiviert nur den Windows Store für Unternehmen. Der Verkaufskatalog ist inaktiviert.
  • Windows Phone 10+
  • Windows 10+ Education, Enterprise
Installation von Apps auf Systemlaufwerke beschränken Beschränkt die Installation von Apps auf Systemlaufwerke.
  • Windows Phone 10+
  • Windows 10+ Professional, Schulung, Unternehmen
App-Daten auf Systemdatenträger beschränken Die App-Daten sind auf den Systemdatenträger beschränkt.
  • Windows Phone 10+
  • Windows 10+ Professional, Schulung, Unternehmen