
In dieser ausführlichen Anleitung zeige ich Ihnen, wie Sie UAC (Benutzerkontensteuerung) mit Intune konfigurieren. Ich werde eine neue Einstellungskatalogrichtlinie erstellen und UAC für Windows-Benutzer mithilfe der Optionen konfigurieren, die in der Kategorie „Sicherheitsoptionen für lokale Richtlinien“ verfügbar sind.
Laut Microsoft ist die Benutzerkontensteuerung eine Windows-Sicherheitsfunktion, die das Betriebssystem vor unbefugten Änderungen schützen soll. Wenn Änderungen am System eine Genehmigung auf Administratorebene erfordern, benachrichtigt UAC den Benutzer und bietet ihm die Möglichkeit, die Änderung zu genehmigen oder abzulehnen.
Um UAC zu konfigurieren, können Sie verschiedene Methoden wie Microsoft Intune, CSP, Gruppenrichtlinie und Registrierung verwenden. Für Geräte, die von einer MDM-Lösung wie Intune verwaltet werden, nutzen Sie den Einstellungskatalog, um UAC-Einstellungen durchzusetzen. Verlassen Sie sich bei Windows-Geräten, die sich lokal befinden und einer Active Directory-Domäne angeschlossen sind, auf Gruppenrichtlinien.
Installieren und aktualisieren Sie Anwendungen von Drittanbietern mit Patch My PC
Wichtig: Die folgenden Windows-Editionen unterstützen die Benutzerkontensteuerung (UAC): Windows Pro, Windows Enterprise, Windows Pro Education/SE, Windows Education.
Hauptmerkmale der Benutzerkontensteuerung
Wenn Sie UAC-Einstellungen über Intune für Ihr Unternehmen konfigurieren, ist es wichtig, die damit verbundenen Vorteile zu verstehen.
-
Schutz vor Malware: Durch die Einschränkung der Anwendungsprivilegien trägt UAC dazu bei, zu verhindern, dass Malware ohne ausdrückliche Zustimmung des Benutzers systemweite Änderungen vornimmt.
-
Standardmäßige Benutzerrechte: Führt die meisten Anwendungen und Prozesse mit eingeschränkten Standardbenutzerrechten aus, auch für Administratoren, wodurch die Auswirkungen von Malware reduziert werden.
-
Eingabeaufforderung für erhöhte Berechtigungen: Benachrichtigt Benutzer und fragt nach ihrer Erlaubnis (oder Administratoranmeldeinformationen), bevor eine Aktion ausgeführt wird, die Administratorrechte erfordert (z. B. Software installieren, Systemeinstellungen ändern oder die Registrierung ändern).
-
Sicherer Desktop: Wenn UAC aktiviert und in Aktion ist, wird die UAC-Eingabeaufforderung auf dem Desktop angezeigt, um zu verhindern, dass schädliche Software die Eingabeaufforderung stört.
Um die Sicherheit zu erhöhen, kann Ihr Unternehmen neben einer UAC-Richtlinie auch die App-Steuerung für Unternehmen in Intune aktivieren und so sicherstellen, dass nur autorisierte Anwendungen zugelassen werden.
So funktionieren Eingabeaufforderungen zur Benutzerkontensteuerung
Wenn die UAC-Richtlinie erzwungen wird, unterscheidet sich die Benutzererfahrung für Standardbenutzer von der für Administratoren.
-
Standardbenutzer: Für Standardbenutzer wird dem Benutzer eine Anmeldeinformationsaufforderung angezeigt. Wenn Sie Administratoranmeldeinformationen angeben, erhalten Sie Administratorrechte zum Abschließen der Aufgabe.
-
Administratoren: Für Administratoren wird eine Einwilligungsaufforderung angezeigt, wenn ein Benutzer versucht, eine Aufgabe auszuführen, für die das Administratorzugriffstoken des Benutzers erforderlich ist. Der Benutzer muss Ja oder Nein auswählen, um fortzufahren.
Konfigurieren Sie die UAC-Intune-Richtlinie (Benutzerkontensteuerung).
Lassen Sie uns eine neue Intune-Richtlinie erstellen, um UAC (Benutzerkontensteuerung) für Windows 10/11-Geräte zu konfigurieren.
Öffnen Sie den Browser und melden Sie sich beim Intune Admin Center an. Navigieren Sie zu Geräte > Windows > Konfiguration > Erstellen > Neue Richtlinie. Wählen Sie Windows 10 und höher als Plattform und Einstellungskatalog als Profiltyp. Klicken Sie auf Erstellen.
Geben Sie auf der Registerkarte „Grundlagen“ den Namen des Profils als „Konfigurieren Sie UAC-Einstellungen“ an. Sie können eine kurze Beschreibung des Profils hinzufügen. Klicken Sie auf Weiter, um fortzufahren.
Erstellen Sie eine Intune-Richtlinie zum Konfigurieren der Benutzerkontensteuerung
Klicken Sie auf der Registerkarte Konfigurationseinstellungen auf + Einstellungen hinzufügen. Suchen Sie in der Auswahl „Einstellungen“ nach „Lokale Richtlinien-Sicherheitsoptionen“. Wählen Sie die Kategorie „Sicherheitsoptionen für lokale Richtlinien“ aus.
Ich habe die folgenden Benutzerkontensteuerungseinstellungen für meinen Fall ausgewählt und ihre Beschreibungen finden Sie im folgenden Abschnitt.
-
Benutzerkontensteuerung Verwenden Sie den Administratorgenehmigungsmodus
-
Benutzerkontensteuerung: Wechseln Sie zum sicheren Desktop, wenn Sie zur Erhöhung aufgefordert werden
-
Benutzerkontensteuerung Führen Sie alle Administratoren im Administratorgenehmigungsmodus aus
-
Die Benutzerkontensteuerung erhöht nur den Zugriff auf die Benutzeroberfläche für Anwendungen, die an sicheren Standorten installiert sind
-
Benutzerkontensteuerung erkennt Anwendungsinstallationen und fordert zur Erhöhung auf
-
Verhalten der Benutzerkontensteuerung der Elevation-Eingabeaufforderung für Standardbenutzer
-
Verhalten der Benutzerkontensteuerung der Elevation-Eingabeaufforderung für Administratoren
Auswahl der Benutzerkontensteuerungseinstellungen in Intune
Sie werden feststellen, dass Microsoft viele UAC-Einstellungen und -Konfigurationen anbietet. Ich empfehle, sie alle zu lesen und diejenigen zu konfigurieren, die für Ihre Organisation erforderlich sind. Das Aktivieren zu vieler Einstellungen kann die UAC-Implementierung erschweren und die Fehlerbehebung erschweren. Wählen Sie nur die Einstellungen aus, die für Ihr Unternehmen wirklich notwendig sind.
In der folgenden Tabelle sind die Einstellungen der Benutzerkontensteuerung, ihre Beschreibungen und der spezifische Wert aufgeführt, der für jede Einstellung meiner Richtlinie konfiguriert ist.
UAC-Einstellungsname |
Beschreibung |
Konfiguration—|—|—Benutzerkontensteuerung Admin-Genehmigungsmodus verwenden |
Diese Richtlinieneinstellung steuert das Verhalten des Administratorgenehmigungsmodus für das integrierte Administratorkonto.
1. Wenn aktiviert, verwendet das integrierte Administratorkonto den Administratorgenehmigungsmodus.
2. Deaktiviert: Das integrierte Administratorkonto führt alle Anwendungen mit vollständigen Administratorrechten aus.
|
Aktiviert
Benutzerkontensteuerung: Wechseln Sie zum sicheren Desktop, wenn Sie zur Erhöhung aufgefordert werden |
Diese Richtlinieneinstellung steuert, ob die Aufforderung zur Erhöhungsanforderung auf dem Desktop des interaktiven Benutzers oder auf dem sicheren Desktop angezeigt wird.
1. Aktiviert: Alle Erhöhungsanforderungen werden unabhängig von den Richtlinieneinstellungen für das Eingabeaufforderungsverhalten für Administratoren und Standardbenutzer an den sicheren Desktop weitergeleitet.
2. Deaktiviert: Alle Erhöhungsanfragen gehen an den Desktop des interaktiven Benutzers.
|
Aktiviert
Benutzerkontensteuerung Alle Administratoren im Administratorgenehmigungsmodus ausführen |
Diese Richtlinieneinstellung steuert das Verhalten aller Richtlinieneinstellungen zur Benutzerkontensteuerung (UAC) für den Computer.
1. Aktiviert: Der Administratorgenehmigungsmodus ist aktiviert.
2. Deaktiviert: Der Administratorgenehmigungsmodus und alle zugehörigen UAC-Richtlinieneinstellungen sind deaktiviert.
|
Aktiviert
Benutzerkontensteuerung erhöht nur den UI-Zugriff auf Anwendungen, die an sicheren Standorten installiert sind |
Diese Richtlinieneinstellung steuert, ob Anwendungen, die die Ausführung mit einer UIAccess-Integritätsstufe (User Interface Accessibility) anfordern, sich an einem sicheren Ort im Dateisystem befinden müssen.
1. Aktiviert: Wenn sich eine Anwendung an einem sicheren Ort im Dateisystem befindet, wird sie nur mit UIAccess-Integrität ausgeführt.
2. Deaktiviert: Eine Anwendung wird mit UIAccess-Integrität ausgeführt, auch wenn sie sich nicht an einem sicheren Ort im Dateisystem befindet.
|
Aktiviert: Die Anwendung wird nur dann mit UIAccess-Integrität ausgeführt, wenn sie sich an einem sicheren Ort befindet.
Benutzerkontensteuerung erkennt Anwendungsinstallationen und fordert zur Erhöhung auf |
Diese Richtlinieneinstellung steuert das Verhalten der Anwendungsinstallationserkennung für den Computer.
1. Aktiviert: Wenn ein Anwendungsinstallationspaket erkannt wird, das eine Rechteerweiterung erfordert, wird der Benutzer aufgefordert, einen Administratorbenutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt.
2. Deaktiviert: Die Anwendungsinstallationspakete werden nicht erkannt und zur Erhöhung aufgefordert. Unternehmen, die Standardbenutzerdesktops ausführen und delegierte Installationstechnologien wie Gruppenrichtlinien-Softwareinstallation oder Systems Management Server (SMS) verwenden, sollten diese Richtlinieneinstellung deaktivieren. In diesem Fall ist die Erkennung durch das Installationsprogramm nicht erforderlich.
|
Aktiviert
Verhalten der Benutzerkontensteuerung der Elevation-Eingabeaufforderung für Standardbenutzer |
Diese Richtlinieneinstellung steuert das Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer.
Die Optionen umfassen
1. Zur Eingabe von Anmeldeinformationen auffordern: (Standard)
2. Erhöhungsanfragen automatisch ablehnen
3. Auf dem sicheren Desktop zur Eingabe von Anmeldeinformationen auffordern |
Zur Eingabe von Anmeldeinformationen auffordern
Verhalten der Benutzerkontensteuerung der Elevation-Eingabeaufforderung für Administratoren |
Diese Richtlinieneinstellung steuert das Verhalten der Eingabeaufforderung für erhöhte Rechte für Administratoren.
Die Optionen umfassen
1. Ohne Aufforderung anheben
2. Auf dem sicheren Desktop zur Eingabe von Anmeldeinformationen auffordern
3. Auf dem sicheren Desktop um Zustimmung bitten
4. Zur Eingabe von Anmeldeinformationen auffordern
5. Bitten Sie um Zustimmung
6. Einwilligung für Nicht-Windows-Binärdateien einholen (Standard)
|
Auf dem sicheren Desktop zur Eingabe von Anmeldeinformationen auffordern
Das folgende Bild zeigt die UAC-Einstellungen, die ich in meiner Richtlinie konfiguriert habe. Klicken Sie auf Weiter.
Konfigurieren Sie die UAC-Benutzerkontensteuerung mit Intune
Im Abschnitt „Bereichs-Tags“ geben Sie Bereichs-Tags an. Die Angabe von Bereichs-Tags ist optional. Sie können diesen Schritt überspringen und stattdessen das Standard-Tag verwenden. Klicken Sie auf Weiter.
Wählen Sie auf der Registerkarte „Zuweisungen“ die Entra ID-Sicherheitsbenutzergruppen aus, denen Sie die Richtlinie zuweisen möchten. Wenn Sie diese Richtlinie zum ersten Mal bereitstellen, empfehle ich, sie zunächst für einige Testgruppen bereitzustellen und sie dann auf weitere Benutzer oder Geräte auszuweiten, wenn der Test erfolgreich ist. Wählen Sie Weiter.
Richtlinienzuweisungen zur Benutzerkontensteuerung
Überprüfen Sie auf der Seite „Überprüfen + erstellen“ alle Richtlinieneinstellungen, die Sie bisher konfiguriert haben, und wählen Sie „Erstellen“ aus. Eine neu erstellte Richtlinie muss in der Liste der Konfigurationsprofile erscheinen. Die Richtlinie wird nun für Ihre ausgewählten Geräte-/Benutzergruppen bereitgestellt und erzwingt die konfigurierten UAC-Einstellungen.
Überprüfen und erstellen Sie die UAC-Richtlinie in Intune
Intune-Richtlinien synchronisieren
Um die Richtlinienzuweisungen zu beschleunigen, können Sie Intune-Richtlinien mithilfe verschiedener Methoden auf Windows-Computern manuell synchronisieren. Durch die Synchronisierungsaktion werden Geräte aufgefordert, sich sofort mit Intune zu verbinden und die aktuellsten Richtlinien anzuwenden. Dies wird normalerweise durchgeführt, um die Bereitstellung einer App oder Richtlinie zu testen und deren Funktionalität zu überprüfen.
UAC-Richtlinie in Intune überwachen
Um die UAC-Profilzuweisungen in Intune zu überwachen, gehen Sie zu Geräte > Windows > Konfiguration. Wählen Sie das UAC-Konfigurationsprofil aus. Überprüfen Sie auf der Seite „Richtlinienübersicht“ den Geräte- und Benutzer-Check-in-Status. Sie können die Anzahl der Geräte oder Benutzer sehen, auf denen die Richtlinie erfolgreich angewendet wurde.
UAC-Richtlinie in Intune überwachen
Endbenutzererfahrung
Sobald die UAC-Richtlinieneinstellungen erfolgreich auf die Zielgeräte angewendet wurden, ist es an der Zeit zu prüfen, ob diese Einstellungen tatsächlich funktionieren. Es gibt insgesamt 7 UAC-Einstellungen, die ich über die Intune-Richtlinie auf meine Geräte angewendet habe. Aus diesen wähle ich für meine Tests die Einstellung „Benutzerkontensteuerungsverhalten der Elevation-Eingabeaufforderung für Standardbenutzer“ aus. Mit dieser Einstellung können Sie das Verhalten der Höhenaufforderung für Standardbenutzer testen, was genau das ist, was wir brauchen.
Szenario 1: Das UAC-Verhalten der Elevations-Eingabeaufforderung ist auf „Zur Eingabe von Anmeldeinformationen auffordern“ eingestellt
Lassen Sie mich Ihnen im ersten Szenario zeigen, was der Endbenutzer sieht, wenn das UAC-Verhalten für Standardbenutzer in der Intune-Richtlinie auf die Aufforderung zur Eingabe von Anmeldeinformationen eingestellt ist. Wenn der Benutzer versucht, einen Vorgang auszuführen, der eine Rechteerweiterung erfordert, wird er aufgefordert, einen administrativen Benutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit der entsprechenden Berechtigung fortgesetzt.
Beim Versuch, eine Datei an einem sicheren Ort unter Windows zu ändern, wird dem Benutzer ein Popup-Fenster der Benutzerkontensteuerung (UAC) mit der Meldung „Möchten Sie zulassen, dass diese App Änderungen an Ihrem Gerät vornimmt?“ angezeigt. Um fortzufahren, muss der Benutzer einen administrativen Benutzernamen und ein Passwort eingeben.
Benutzerkontensteuerung über Intune – Endbenutzererfahrung für Benutzer
Szenario 2: Das UAC-Verhalten der Elevationsaufforderung ist auf „Erhöhungsanforderungen verweigern“ eingestellt
Sehen wir uns im zweiten Szenario an, was der Endbenutzer sieht, wenn das UAC-Verhalten für Standardbenutzer so eingestellt ist, dass Erhöhungsanforderungen automatisch abgelehnt werden. Wenn der Benutzer versucht, einen Vorgang auszuführen, der eine Rechteerweiterung erfordert, wird eine konfigurierbare Fehlermeldung „Zugriff verweigert“ angezeigt.
In der folgenden Abbildung sehen wir, dass der Benutzer beim Versuch, die Eigenschaften eines Benutzerkontos in der Systemsteuerung zu ändern, auf eine Meldung stößt: „Dieses Programm ist durch eine Gruppenrichtlinie blockiert. Weitere Informationen erhalten Sie von Ihrem Systemadministrator.“
Endbenutzererfahrung der Benutzerkontensteuerung für Intune-Benutzer
Für einige Komponenten von Windows ermöglicht die UAC-Richtlinie Benutzern den Zugriff auf die Einstellungen, erlaubt jedoch nicht, die Einstellungen zu ändern. Wenn der Benutzer beispielsweise versucht, über die Systemsteuerung auf den Geräte-Manager zuzugreifen, wird ihm die folgende Meldung angezeigt. Sie sind als Standardbenutzer angemeldet. Sie können Geräteeinstellungen im Geräte-Manager anzeigen, Sie müssen jedoch als Administrator angemeldet sein, um Änderungen vorzunehmen.
Endbenutzererfahrung für UAC, konfiguriert über Intune
Registrierungsschlüssel für Benutzerkontoeinstellungen
Die Registrierungsschlüssel für die Benutzerkontensteuerung unter Windows finden Sie im unten angegebenen Pfad. Sie müssen nichts in der Registrierung ändern oder modifizieren, wenn die UAC-Einstellungen über die Intune-Richtlinie konfiguriert werden. Dies dient nur Ihrer Information.
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Kopieren
Computer\HKEY\_LOCAL\_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Registrierungsschlüssel für Benutzerkontoeinstellungen
Lassen Sie uns die oben getestete UAC-Einstellung besprechen, bei der es sich um das Verhalten der Elevationsaufforderung für Standardbenutzer handelt. Der Wert des Registrierungsschlüssels „ConsentPromptBehaviorUser“ zeigt die Einstellung der Benutzerkontensteuerung (UAC) für die Erhöhung der Aufforderung an, die Sie für Standardbenutzer konfiguriert haben. Die folgende Tabelle enthält ConsentPromptBehaviorUser-Werte und was jeder Wert bedeutet.
ConsentPromptBehaviorUser-Wert |
Beschreibung—|—0 |
Erhöhungsanfragen automatisch ablehnen.
1 |
Auf dem sicheren Desktop zur Eingabe von Anmeldeinformationen auffordern.
3 (Standard) |
Zur Eingabe von Anmeldeinformationen auffordern.
Ebenso gibt es einen weiteren Registrierungsschlüssel, „ConsentPromptBehaviorAdmin“, der die Werte entsprechend dem Verhalten der Einstellung für erhöhte Eingabeaufforderungen enthält, die Sie für Administratoren im Administratorgenehmigungsmodus konfiguriert haben. Die folgende Tabelle enthält ConsentPromptBehaviorAdmin-Werte und eine Beschreibung jedes Werts.
ConsentPromptBehaviorAdmin-Wert |
Beschreibung—|—0 |
Ohne Aufforderung anheben.
1 |
Auf dem sicheren Desktop zur Eingabe von Anmeldeinformationen auffordern.
2 |
Auf dem sicheren Desktop um Zustimmung bitten.
3 |
Zur Eingabe von Anmeldeinformationen auffordern.
4 |
Bitten Sie um Zustimmung.
5 (Standard) |
Für Nicht-Windows-Binärdateien um Zustimmung bitten.
Fehlerbehebung
-
In einigen Fällen werden die UAC-Richtlinieneinstellungen möglicherweise nicht über Intune auf Geräte oder Benutzer angewendet. Um diese Probleme zu beheben, überprüfen Sie die wesentlichen Intune-IME-Protokolle.
-
Öffnen Sie die Ereignisanzeige und suchen Sie im folgenden Pfad nach Ereignisprotokollen: Anwendungs- und Dienstprotokolle > Microsoft > Windows > AppxDeployment-Server > Microsoft-Windows-AppxDeploymentSever/Operational.
-
Wenn auf einem Remote-Gerät ein Fehler bei der Richtlinienzuweisung auftritt, erstellen Sie einen MDM-Diagnosebericht für den IT-Support. Dies kann über Einstellungen > Konten > Zugriff auf Arbeit oder Schule > Info erfolgen. Klicken Sie auf die Schaltfläche Bericht erstellen.
Brauchen Sie noch Hilfe?
Wenn Sie weitere Hilfe zu dem oben genannten Artikel benötigen oder andere technische Probleme besprechen möchten, sehen Sie sich einige dieser Optionen an.
Foren
Telegramm
Kontaktieren Sie mich
*️⃣ Quelllink:
Benutzerkontensteuerung,
, App-Steuerung für Unternehmen in Intune aktivieren,
UAC-Einstellungen und -Konfigurationen, die von Microsoft angeboten werden , Bereichs-Tags, Synchronisierung von Intune-Richtlinien,
Registrierungsschlüssel für die Benutzerkontensteuerung, wichtige Intune-IME-Protokolle, MDM-Diagnosebericht,
Foren
, Telegramm ,
Kontaktieren Sie mich
,