Problem gelöst: Wenn ein Intune gemanagtes Device die lokale Kennwortrichtlinie ignoriert

Kennen Sie das? Sie haben viel Zeit und Mühe in die Konfiguration Ihrer Intune Kennwortrichtlinien investiert, um die Sicherheit Ihrer Unternehmensgeräte zu gewährleisten. Doch dann die Überraschung: Ein oder mehrere Geräte, die eigentlich von Intune verwaltet werden sollen, scheinen diese Richtlinien zu ignorieren und halten sich an lokale oder scheinbar gar keine Anforderungen. Dieses Szenario ist nicht nur frustrierend, sondern stellt auch ein erhebliches Sicherheitsrisiko dar und kann die Compliance gefährden. Die gute Nachricht: Sie sind nicht allein mit diesem Problem, und es gibt bewährte Methoden, um der Ursache auf den Grund zu gehen und die Kontrolle zurückzugewinnen.

In diesem umfassenden Artikel tauchen wir tief in die Welt der Intune-Geräteverwaltung, lokaler Sicherheitsrichtlinien und der oft komplexen Interaktionen zwischen verschiedenen Richtlinienquellen ein. Wir werden die häufigsten Gründe beleuchten, warum ein von Intune verwaltetes Gerät Ihre Passwortrichtlinien scheinbar missachtet, und Ihnen einen detaillierten, schrittweisen Leitfaden zur Fehlerbehebung an die Hand geben. Machen wir uns bereit, dieses Problem ein für alle Mal zu lösen.

Intune, GPOs und lokale Richtlinien: Das Kräftemessen verstehen

Bevor wir uns der Fehlerbehebung widmen, ist es entscheidend, die Hierarchie und Funktionsweise der verschiedenen Richtlinienquellen zu verstehen, die ein Windows-Gerät beeinflussen können. Jedes Windows-Gerät verfügt über eine lokale Sicherheitsrichtlinie, die grundlegende Einstellungen wie Passwortkomplexität, Sperrzeiten und Audit-Einstellungen definiert. In traditionellen Umgebungen werden diese oft durch Group Policy Objects (GPOs) aus einem lokalen Active Directory überschrieben.

Mit dem Aufkommen von Cloud-Management durch Microsoft Intune (als Teil von Microsoft Endpoint Manager) kommt eine weitere mächtige Ebene hinzu. Intune nutzt Configuration Service Providers (CSPs), um Einstellungen auf Geräten zu konfigurieren. CSPs sind Schnittstellen, die es ermöglichen, bestimmte Konfigurationen auf Windows-Geräten über ein Mobile Device Management (MDM) System wie Intune zu verwalten. Das bedeutet, wenn Intune eine Kennwortrichtlinie sendet, spricht es direkt mit den CSPs des Betriebssystems, um die gewünschten Einstellungen zu applizieren.

Die allgemeine Regelung besagt, dass MDM-Richtlinien (Intune) in der Regel über lokale Richtlinieneinstellungen Priorität haben. Die Komplexität steigt jedoch, wenn Geräte hybrid an Azure AD und lokales AD angebunden sind oder wenn noch GPOs auf Geräten vorhanden sind, die jetzt von Intune verwaltet werden. Es ist ein häufiges Missverständnis, dass lokale Administratoren Intune-Richtlinien einfach außer Kraft setzen können. Tatsächlich sind die von Intune gesetzten Einstellungen oft so persistent, dass selbst lokale Änderungen wieder zurückgesetzt werden.

Die häufigsten Gründe für ignorierte Kennwortrichtlinien

Warum also scheint ein Intune-verwaltetes Gerät Ihre sorgfältig konfigurierten Kennwortrichtlinien zu ignorieren? Hier sind die Hauptursachen:

1. Richtlinienkonflikte in Intune: Sie haben möglicherweise mehrere Intune Konfigurationsprofile oder Sicherheitsbaselines, die widersprüchliche Kennwortrichtlinien an dasselbe Gerät senden. Intune versucht, Konflikte aufzulösen, aber dies kann zu unvorhersehbarem Verhalten oder dazu führen, dass keine der Richtlinien korrekt angewendet wird.
2. Überlagerung durch Group Policy Objects (GPOs): Dies ist besonders relevant für hybrid beigetretene Geräte oder Geräte, die von einer traditionellen Domain in eine Intune-Verwaltung überführt wurden. Wenn GPOs noch aktive Kennwortrichtlinien auf diese Geräte anwenden, kann es zu einem Wettstreit mit Intune kommen, bei dem die GPO-Einstellungen manchmal die Oberhand gewinnen – oder umgekehrt, was zu Verwirrung führt.
3. Verzögerung bei der Richtlinienanwendung und Synchronisation: Intune-Richtlinien werden nicht sofort angewendet. Geräte müssen sich mit Intune synchronisieren, um neue oder aktualisierte Richtlinien zu empfangen. Eine schlechte Konnektivität, eine fehlerhafte Synchronisation oder ein nicht reagierender MDM-Agent auf dem Gerät können zu Verzögerungen führen.
4. Fehlkonfiguration der Intune-Richtlinie: Manchmal liegt das Problem einfach an einer unvollständigen oder falsch konfigurierten Richtlinie. Vielleicht wurde eine spezifische Einstellung vergessen oder ein falscher Wert zugewiesen.
5. Fehler im Gerät: Das Gerät selbst könnte ein Problem haben, das die korrekte Verarbeitung von CSPs verhindert. Dies kann von beschädigten Systemdateien bis hin zu Problemen mit dem MDM-Stack reichen.
6. Nicht alle Einstellungen durch Intune verwaltet: Intune bietet viele Einstellungen, aber nicht alle möglichen lokalen Richtlinieneinstellungen sind über Intune-Profile direkt konfigurierbar. Wenn eine lokale Einstellung nicht von Intune überschrieben wird, bleibt sie bestehen.

Schritt-für-Schritt-Anleitung zur Fehlerbehebung

Jetzt, da wir die potenziellen Ursachen kennen, gehen wir systematisch vor, um das Problem zu isolieren und zu beheben.

Schritt 1: Überprüfen Sie den Status der Intune-Richtlinie im Portal

Beginnen Sie im Microsoft Intune Admin Center (endpoint.microsoft.com). Dies ist Ihr zentrales Kontrollpanel:

1. Navigieren Sie zu Geräte > Alle Geräte und suchen Sie das betroffene Gerät.
2. Klicken Sie auf das Gerät und dann auf Gerätekonfiguration. Hier sehen Sie alle auf das Gerät angewendeten Profile.
3. Überprüfen Sie den Status der relevanten Kennwortrichtlinie. Ist der Status „Erfolgreich”, „Fehler” oder „Konflikt”? Ein „Fehler” oder „Konflikt” weist auf ein direktes Problem mit der Richtlinienanwendung hin.
4. Klicken Sie auf das spezifische Konfigurationsprofil und dann auf Gerätestatus, um detailliertere Informationen zu erhalten, welche Einstellungen erfolgreich angewendet wurden und welche nicht.
5. Überprüfen Sie auch die Sicherheitsbaselines (falls verwendet). Auch hier können Konflikte entstehen.

Schritt 2: Überprüfen Sie die lokale Richtlinie und den MDM-Diagnosebericht auf dem Gerät

Gehen Sie direkt auf das betroffene Gerät, um weitere Informationen zu sammeln:

1. Lokale Kennwortrichtlinie überprüfen: Öffnen Sie secpol.msc (Lokale Sicherheitsrichtlinie) und navigieren Sie zu Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinie. Notieren Sie sich die aktuell angezeigten Einstellungen. Beachten Sie, dass diese Ansicht möglicherweise nicht immer die endgültigen, von Intune durchgesetzten Einstellungen widerspiegelt, da Intune direkt die CSPs und nicht unbedingt nur die lokalen Richtlinien beeinflusst.
2. MDM-Diagnosebericht erstellen: Dies ist ein *extrem* nützliches Tool, um zu sehen, welche CSP-Einstellungen von Intune auf dem Gerät angewendet werden.
   • Öffnen Sie Einstellungen > Konten > Auf Arbeits- oder Schulkonto zugreifen.
   • Klicken Sie auf Ihr verwaltetes Konto und dann auf Informationen.
   • Scrollen Sie nach unten zum Abschnitt Erweiterte Diagnoseberichterstattung und klicken Sie auf Bericht erstellen.
   • Der Bericht wird als HTML-Datei generiert und enthält eine Fülle von Informationen über die auf das Gerät angewendeten CSP-Einstellungen. Suchen Sie in diesem Bericht nach Schlüsselwörtern wie „Password”, „MinPasswordLength”, „PasswordComplexity” oder „AccountLockout”. Überprüfen Sie, ob die hier angezeigten Werte mit den in Intune konfigurierten Werten übereinstimmen. Dies ist der *maßgebliche* Ort, um zu sehen, welche Intune-Einstellungen das Gerät tatsächlich empfangen und verarbeitet hat.
3. Synchronisation erzwingen: Manchmal reicht es aus, eine manuelle Synchronisation auszulösen. Gehen Sie auf dem Gerät zu Einstellungen > Konten > Auf Arbeits- oder Schulkonto zugreifen, klicken Sie auf Ihr verwaltetes Konto und dann auf Info. Klicken Sie dort auf Synchronisieren. Alternativ können Sie die Synchronisation auch über das Intune Admin Center starten (Gerät > Übersicht > Synchronisieren).
4. Ereignisprotokolle überprüfen: Öffnen Sie die Ereignisanzeige (Event Viewer) und navigieren Sie zu Anwendungs- und Dienstprotokolle > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Provider > Admin. Suchen Sie nach Fehlern oder Warnungen im Zusammenhang mit der Richtlinienanwendung oder Synchronisation.

Schritt 3: Identifizieren und Beheben von Richtlinienkonflikten

Basierend auf den Informationen aus Schritt 1 und 2, gehen Sie wie folgt vor:

1. Intune-Konflikte: Wenn im Intune Portal ein „Konflikt” angezeigt wird, müssen Sie die beteiligten Profile identifizieren. Intune zeigt in der Regel an, welche Profile miteinander in Konflikt stehen. Bearbeiten Sie die Profile, um sicherzustellen, dass nur eine Richtlinie die Kennwortanforderungen festlegt, oder dass sie konsistent sind. Löschen Sie redundante oder veraltete Profile.
2. GPO-Überlagerung: Wenn das Gerät hybrid verbunden ist oder früher GPOs angewendet wurden, überprüfen Sie, ob GPOs noch aktiv sind und Kennwortrichtlinien pushen. Sie können auf dem Gerät gpresult /r in der Eingabeaufforderung (als Administrator) ausführen, um alle angewendeten GPOs zu sehen. Für detailliertere Informationen zur Richtlinienanwendung können Sie rsop.msc verwenden. Wenn GPOs das Problem verursachen, haben Sie mehrere Optionen:
   • Migrieren Sie die GPO-Einstellungen zu Intune und deaktivieren Sie die entsprechenden GPOs für die betroffenen Geräte.
   • Nutzen Sie die MDM-WINS-Group-Policy-Funktion, die explizit festlegt, dass MDM-Richtlinien immer Vorrang vor GPOs haben. Dies ist eine CSP-Einstellung selbst (./Vendor/MSFT/Policy/Config/ControlPolicyConflict/MDMWinsOverGP).
   • Wenn Sie Co-Management verwenden, stellen Sie sicher, dass die Workloads für Geräterichtlinien korrekt auf Intune umgestellt sind.

Schritt 4: Überprüfen Sie die Konfiguration Ihrer Intune-Richtlinie

Manchmal sind es die kleinen Dinge:

1. Gehen Sie zurück zu Ihrem Intune Konfigurationsprofil oder der Sicherheitsbaseline, die die Kennwortrichtlinie enthält.
2. Überprüfen Sie jede einzelne Einstellung sorgfältig:
   • Minimale Kennwortlänge: Ist sie hoch genug eingestellt?
   • Kennwortkomplexität: Ist sie aktiviert und korrekt konfiguriert (z.B. erfordert Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen)?
   • Kennwortablaufzeit: Ist sie gesetzt?
   • Kennwortverlauf: Wird die Wiederverwendung alter Passwörter verhindert?
   • Kontosperrung: Sind Schwellenwert und Sperrdauer festgelegt?
3. Stellen Sie sicher, dass die Richtlinie der korrekten Benutzer- oder Gerätegruppe zugewiesen ist und dass das betroffene Gerät Mitglied dieser Gruppe ist.

Schritt 5: Neustart des Geräts und Überprüfung

Ein einfacher Neustart kann oft Wunder wirken, da er viele Dienste neu startet und Richtlinien neu verarbeiten lässt. Nach einem Neustart wiederholen Sie die Überprüfung der lokalen Kennwortrichtlinie und des MDM-Diagnoseberichts (Schritt 2), um festzustellen, ob die Intune-Richtlinie nun korrekt angewendet wird.

Schritt 6: Erweiterte Analyse und Notfallmaßnahmen

Wenn alle Stricke reißen und das Problem weiterhin besteht, könnte ein tiefergreifendes Geräteproblem vorliegen:

1. Neuen Benutzer anlegen: Erstellen Sie testweise einen neuen Benutzer auf dem Gerät und prüfen Sie, ob die Kennwortrichtlinie für diesen Benutzer angewendet wird. Dies kann helfen, ein Profil-spezifisches Problem auszuschließen.
2. Gerät neu registrieren: Wenn es sich um ein einzelnes, hartnäckiges Gerät handelt, kann das Aufheben der Intune-Registrierung und die erneute Registrierung manchmal die MDM-Kommunikation „bereinigen”. Achtung: Dies sollte nur als letzte Option für einzelne Geräte in Betracht gezogen werden.
3. Zurücksetzen des Geräts: Im schlimmsten Fall, wenn das Gerät stark beschädigt ist oder die Richtlinienanwendung dauerhaft fehlschlägt, kann ein Zurücksetzen des Geräts auf die Werkseinstellungen und eine Neuinstallation eine saubere Basis schaffen.

Best Practices für eine reibungslose Kennwortverwaltung mit Intune

Um zukünftige Probleme zu vermeiden und eine robuste Sicherheitslage zu gewährleisten, sollten Sie folgende Best Practices berücksichtigen:

• Konsolidierung: Verwenden Sie so wenige Konfigurationsprofile wie möglich für Kern-Sicherheitseinstellungen. Vermeiden Sie redundante oder sich überschneidende Richtlinien.
• Sicherheitsbaselines nutzen: Beginnen Sie mit den von Microsoft empfohlenen Sicherheitsbaselines in Intune. Diese sind bereits optimiert und bieten einen guten Ausgangspunkt für Ihre Sicherheitsanforderungen, einschließlich Kennwortrichtlinien.
• Testen, testen, testen: Wenden Sie neue oder geänderte Richtlinien immer zuerst auf eine kleine Pilotgruppe von Testgeräten an, bevor Sie sie flächendeckend ausrollen.
• Dokumentation: Führen Sie eine genaue Dokumentation darüber, welche Richtlinien welche Einstellungen konfigurieren und auf welche Gruppen sie angewendet werden.
• Überwachung der Compliance: Überprüfen Sie regelmäßig die Geräte-Compliance-Berichte in Intune, um Abweichungen von Ihren Richtlinien frühzeitig zu erkennen.
• Windows Hello for Business: Ziehen Sie die Implementierung von Windows Hello for Business in Betracht, um die Abhängigkeit von komplexen Passwörtern zu reduzieren und die Benutzererfahrung sowie die Sicherheit zu verbessern.

Fazit

Die Verwaltung von Kennwortrichtlinien auf Intune-gemamnagten Geräten kann komplex sein, insbesondere in Hybrid-Umgebungen. Wenn ein Gerät Ihre Intune-Richtlinien ignoriert, ist dies nicht nur ärgerlich, sondern ein ernstzunehmendes Sicherheitsproblem. Durch ein systematisches Vorgehen bei der Fehlerbehebung, angefangen bei der Überprüfung im Intune Admin Center über die Analyse des MDM-Diagnoseberichts bis hin zur detaillierten Untersuchung möglicher Richtlinienkonflikte, können Sie die Kontrolle wiedererlangen.

Denken Sie daran: Intune ist ein mächtiges Werkzeug, aber wie jedes Werkzeug erfordert es ein Verständnis seiner Funktionsweise und der potenziellen Fallstricke. Mit den hier vorgestellten Schritten und Best Practices sind Sie bestens gerüstet, um Ihre Geräte sicher zu halten und sicherzustellen, dass Ihre Intune Kennwortrichtlinien auf allen Ihren verwalteten Geräten zuverlässig durchgesetzt werden. Das Problem ist nicht unlösbar – es erfordert lediglich die richtige Herangehensweise und die Kenntnis der richtigen Tools.