Teilen über


Einstellungen für die Datenträgerverschlüsselungsrichtlinie für die Endpunktsicherheit in Intune

Zeigen Sie die Einstellungen an, die Sie in Profilen für die Datenträgerverschlüsselungsrichtlinie im Knoten Endpunktsicherheit von Intune als Teil einer Endpunktsicherheitsrichtlinie konfigurieren können.

Hinweis

Ab dem 19. Juni 2023 wurde das BitLocker-Profil für Windows aktualisiert, um das Einstellungsformat im Einstellungskatalog zu verwenden. Das neue Profilformat enthält die gleichen Einstellungen wie das ältere Profil, aber aufgrund des neuen Formats wurden die Einstellungsnamen im Intune Admin Center aktualisiert. Mit dieser Änderung können Sie keine neuen Versionen des alten Profils mehr erstellen. Ihre vorhandenen Instanzen des alten Profils können weiterhin verwendet und bearbeitet werden.

Die Einstellungen in diesem Artikel gelten nur für BitLocker-Profile, die vor dem 19. Juni 2023 erstellt wurden.

Mit dem neuen Profilformat veröffentlichen wir keine dedizierte Liste von Einstellungen mehr, wie im Profil zu finden. Verwenden Sie stattdessen den Link Weitere Informationen auf der Benutzeroberfläche, während Sie Informationen für eine Einstellung anzeigen, um BitLocker CSP in der Windows-Dokumentation zu öffnen, in der die Einstellung vollständig beschrieben ist.

Gilt für:

  • macOS
  • Windows 10
  • Windows 11

Unterstützte Plattformen und Profile:

  • macOS:
    • Profil: FileVault
  • Windows 10 und höher:
    • Profil: BitLocker

FileVault

Verschlüsselung

Aktivieren von FileVault

  • Nicht konfiguriert (Standard)

  • Ja : Aktivieren Sie die vollständige Datenträgerverschlüsselung mit XTS-AES 128 mit FileVault auf Geräten mit macOS 10.13 und höher. FileVault ist aktiviert, wenn sich der Benutzer vom Gerät abmeldet.

    Wenn sie auf Ja festgelegt ist, können Sie weitere Einstellungen für FileVault konfigurieren.

    • WiederherstellungsschlüsseltypWiederherstellungsschlüssel für persönliche Schlüssel werden für Geräte erstellt. Konfigurieren Sie die folgenden Einstellungen für den persönlichen Schlüssel:

      • Rotation des persönlichen Wiederherstellungsschlüssels
        Geben Sie an, wie häufig der persönliche Wiederherstellungsschlüssel für ein Gerät rotiert wird. Sie können den Standardwert Nicht konfiguriert oder einen Wert von 1 bis 12 Monaten auswählen.
      • Beschreibung des Treuhandspeicherorts des persönlichen Wiederherstellungsschlüssels
        Geben Sie eine kurze Nachricht an den Benutzer an, in der erläutert wird, wie er seinen persönlichen Wiederherstellungsschlüssel abrufen kann. Dem Benutzer wird diese Meldung auf dem Anmeldebildschirm angezeigt, wenn er aufgefordert wird, seinen persönlichen Wiederherstellungsschlüssel einzugeben, wenn ein Kennwort vergessen wird.
    • Anzahl der zulässigen Umgehungen
      Legen Sie fest, wie oft ein Benutzer Aufforderungen zum Aktivieren von FileVault ignorieren kann, bevor FileVault für die Anmeldung des Benutzers erforderlich ist.

      • Nicht konfiguriert (Standardeinstellung): Die Verschlüsselung auf dem Gerät ist erforderlich, bevor die nächste Anmeldung zulässig ist.
      • 1 bis 10 : Erlauben Sie es einem Benutzer, die Eingabeaufforderung 1- bis 10-mal zu ignorieren, bevor eine Verschlüsselung auf dem Gerät erforderlich ist.
      • Keine Beschränkung, immer auffordern : Der Benutzer wird aufgefordert, FileVault zu aktivieren, aber eine Verschlüsselung ist nie erforderlich.
    • Verzögerung bis zur Abmeldung zulassen

      • Nicht konfiguriert (Standard)
      • Ja : Verzögern Sie die Eingabeaufforderung zum Aktivieren von FileVault, bis sich der Benutzer abmeldet.
    • Eingabeaufforderung beim Abmelden deaktivieren
      Verhindern Sie die Aufforderung an den Benutzer, der anfordert, FileVault zu aktivieren, wenn er sich abmeldet. Bei Festlegung auf Deaktivieren ist die Eingabeaufforderung bei der Abmeldung deaktiviert, und stattdessen wird der Benutzer bei der Anmeldung aufgefordert.

      • Nicht konfiguriert (Standard)
      • Ja : Deaktivieren Sie die Eingabeaufforderung zum Aktivieren von FileVault, die bei der Abmeldung angezeigt wird.
    • Wiederherstellungsschlüssel ausblenden
      Blenden Sie den persönlichen Wiederherstellungsschlüssel während der Verschlüsselung für den Benutzer des macOS-Geräts aus. Nachdem der Datenträger verschlüsselt wurde, kann ein Benutzer ein beliebiges Gerät verwenden, um seinen persönlichen Wiederherstellungsschlüssel über die Intune-Unternehmensportalwebsite oder die Unternehmensportal-App auf einer unterstützten Plattform anzuzeigen.

      • Nicht konfiguriert (Standard)
      • Ja : Blendet den persönlichen Wiederherstellungsschlüssel während der Geräteverschlüsselung aus.

BitLocker

Hinweis

In diesem Artikel werden die Einstellungen in BitLocker-Profilen beschrieben, die vor dem 19. Juni 2023 für die Windows 10- und höher-Plattform für die Datenträgerverschlüsselungsrichtlinie für Endpunktsicherheit erstellt wurden. Am 19. Juni 2023 wurde das Profil von Windows 10 und höher aktualisiert, um ein neues Einstellungsformat zu verwenden, wie es im Einstellungskatalog zu finden ist. Mit dieser Änderung können Sie keine neuen Versionen des alten Profils mehr erstellen und diese werden nicht mehr entwickelt. Obwohl Sie keine neuen Instanzen des älteren Profils mehr erstellen können, können Sie weiterhin Instanzen davon bearbeiten und verwenden, die Sie zuvor erstellt haben.

Für Profile, die das neue Einstellungsformat verwenden, verwaltet Intune keine Liste der einzelnen Einstellungen mehr anhand des Namens. Stattdessen werden der Name jeder Einstellung, ihre Konfigurationsoptionen und ihr erläuternder Text, der im Microsoft Intune Admin Center angezeigt wird, direkt aus den autoritativen Inhalten der Einstellungen übernommen. Dieser Inhalt kann weitere Informationen zur Verwendung der Einstellung im richtigen Kontext bereitstellen. Wenn Sie einen Einstellungsinformationstext anzeigen, können Sie den zugehörigen Link Weitere Informationen verwenden, um diesen Inhalt zu öffnen.

Die folgenden Einstellungsdetails für Windows-Profile gelten für diese veralteten Profile.

BitLocker – Basiseinstellungen

  • Aktivieren der vollständigen Datenträgerverschlüsselung für Betriebssystem- und Festplattenlaufwerke
    CSP: BitLocker – RequireDeviceEncryption

    Wenn das Laufwerk vor der Anwendung dieser Richtlinie verschlüsselt wurde, wird keine zusätzliche Aktion ausgeführt. Wenn die Verschlüsselungsmethode und die Verschlüsselungsoptionen mit denen dieser Richtlinie übereinstimmen, sollte die Konfiguration erfolgreich sein. Wenn eine direkte BitLocker-Konfigurationsoption nicht mit dieser Richtlinie übereinstimmt, gibt die Konfiguration wahrscheinlich einen Fehler zurück.

    Um diese Richtlinie auf einen bereits verschlüsselten Datenträger anzuwenden, entschlüsseln Sie das Laufwerk, und wenden Sie die MDM-Richtlinie erneut an. Standardmäßig ist für Windows keine BitLocker-Laufwerkverschlüsselung erforderlich. Bei der Registrierung/Anmeldung von Microsoft Entra und Microsoft-Konto (MSA) kann jedoch die automatische Verschlüsselung angewendet werden, um BitLocker bei der XTS-AES 128-Bit-Verschlüsselung zu aktivieren.

    • Nicht konfiguriert (Standard): Es wird keine BitLocker-Erzwingung durchgeführt.
    • Ja : Erzwingen Sie die Verwendung von BitLocker.
  • Erfordern der Verschlüsselung von Speicherkarten (nur für Mobilgeräte)
    CSP: BitLocker – RequireStorageCardEncryption

    Diese Einstellung gilt nur für Windows Mobile- und Mobile Enterprise-SKU-Geräte.

    • Nicht konfiguriert (Standard): Die Einstellung wird auf den Standardwert des Betriebssystems zurückgesetzt, der keine Speicherkartenverschlüsselung erfordert.
    • Ja : Die Verschlüsselung auf Speicherkarten ist für mobile Geräte erforderlich.

    Hinweis

    Der Support für Windows 10 Mobile und Windows Phone 8.1 wurde im August 2020 eingestellt.

  • Eingabeaufforderung zur Verschlüsselung von Drittanbietern ausblenden
    CSP: BitLocker – AllowWarningForOtherDiskEncryption

    Wenn BitLocker auf einem System aktiviert ist, das bereits von einem Verschlüsselungsprodukt eines Drittanbieters verschlüsselt wurde, kann das Gerät unbrauchbar werden. Es kann zu Datenverlusten kommen, und Möglicherweise müssen Sie Windows neu installieren. Es wird dringend empfohlen, BitLocker niemals auf einem Gerät zu aktivieren, auf dem die Verschlüsselung von Drittanbietern installiert oder aktiviert ist.

    Standardmäßig fordert der BitLocker-Setup-Assistent Benutzer auf, zu bestätigen, dass keine Verschlüsselung von Drittanbietern vorhanden ist.

    • Nicht konfiguriert (Standard): Der BitLocker-Setup-Assistent zeigt eine Warnung an und fordert Benutzer auf, zu bestätigen, dass keine Verschlüsselung von Drittanbietern vorhanden ist.
    • Ja : Blenden Sie die Eingabeaufforderung des BitLocker-Setup-Assistenten für Benutzer aus.

    Wenn BitLocker-Funktionen für die automatische Aktivierung erforderlich sind, muss die Verschlüsselungswarnung von Drittanbietern ausgeblendet werden, da alle erforderlichen Eingabeaufforderungen workflows zur automatischen Aktivierung unterbricht.

    Wenn diese Einstellung auf Ja festgelegt ist, können Sie die folgende Einstellung konfigurieren:

    • Zulassen, dass Standardbenutzer die Verschlüsselung während Autopilot aktivieren
      CSP: BitLocker – AllowStandardUserEncryption

      • Nicht konfiguriert (Standard): Die Einstellung wird als Clientstandard beibehalten, d. h. lokaler Administratorzugriff zum Aktivieren von BitLocker erforderlich.
      • Ja : Während Szenarios für die automatische Aktivierung von Microsoft Entra Join müssen Benutzer keine lokalen Administratoren sein, um BitLocker zu aktivieren.

      Für Szenarien mit nicht automatischer Aktivierung und Autopilot muss der Benutzer ein lokaler Administrator sein, um den BitLocker-Setup-Assistenten abschließen zu können.

  • Konfigurieren der Kennwortrotation für die clientgesteuerte Wiederherstellung
    CSP: BitLocker – ConfigureRecoveryPasswordRotation

    Geräte zum Hinzufügen eines Arbeitskontos (AWA, formal in den Arbeitsplatz eingebunden) werden für die Schlüsselrotation nicht unterstützt.

    • Nicht konfiguriert (Standard): Der Client rotiert bitLocker-Wiederherstellungsschlüssel nicht.
    • Disabled
    • In Microsoft Entra eingebundene Geräte
    • In Microsoft Entra hybrid eingebundene Geräte

BitLocker – Festplattenlaufwerkeinstellungen

  • BitLocker-Richtlinie für Festplattenlaufwerk
    CSP: BitLocker – EncryptionMethodByDriveType

    • Wiederherstellung von Festplattenlaufwerken
      CSP: BitLocker – FixedDrivesRecoveryOptions

      Steuern Sie, wie bitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden, wenn die erforderlichen Startschlüsselinformationen fehlen.

      • Nicht konfiguriert (Standard): Die Standardwiederherstellungsoptionen werden unterstützt, einschließlich des Datenwiederherstellungs-Agents (DRA). Der Endbenutzer kann Wiederherstellungsoptionen angeben, und Wiederherstellungsinformationen werden nicht in Microsoft Entra gesichert.
      • Konfigurieren : Aktivieren Sie den Zugriff, um verschiedene Methoden für die Laufwerkwiederherstellung zu konfigurieren.

      Wenn auf Konfigurieren festgelegt ist, sind die folgenden Einstellungen verfügbar:

      • Benutzererstellung des Wiederherstellungsschlüssels

        • Blockiert (Standard)
        • Erforderlich
        • Erlaubt
      • Konfigurieren des BitLocker-Wiederherstellungspakets

        • Kennwort und Schlüssel (Standard): Fügen Sie sowohl das BitLocker-Wiederherstellungskennwort ein, das von Administratoren und Benutzern zum Entsperren geschützter Laufwerke verwendet wird, als auch Wiederherstellungsschlüsselpakete, die von Administratoren für die Datenwiederherstellung in Active Directory verwendet werden.
        • Nur Kennwort : Auf die Wiederherstellungsschlüsselpakete kann bei Bedarf möglicherweise nicht zugegriffen werden.
      • Anfordern des Geräts zum Sichern von Wiederherstellungsinformationen in Microsoft Entra

        • Nicht konfiguriert (Standard): Die BitLocker-Aktivierung wird auch dann abgeschlossen, wenn die Sicherung des Wiederherstellungsschlüssels in Microsoft Entra ID fehlschlägt. Dies kann dazu führen, dass keine Wiederherstellungsinformationen extern gespeichert werden.
        • Ja : BitLocker wird erst dann aktiviert, wenn Wiederherstellungsschlüssel erfolgreich in Microsoft Entra gespeichert wurden.
      • Benutzererstellung des Wiederherstellungskennworts

        • Blockiert (Standard)
        • Erforderlich
        • Erlaubt
      • Wiederherstellungsoptionen während der BitLocker-Einrichtung ausblenden

        • Nicht konfiguriert (Standardeinstellung): Erlauben Sie dem Benutzer den Zugriff auf zusätzliche Wiederherstellungsoptionen.
        • Ja : Der Endbenutzer kann während des BitLocker-Setup-Assistenten keine zusätzlichen Wiederherstellungsoptionen auswählen, z. B. das Drucken von Wiederherstellungsschlüsseln.
      • Aktivieren von BitLocker nach dem Speichern von Wiederherstellungsinformationen

        • Nicht konfiguriert (Standard)
        • Ja : Wenn Sie dies auf Ja festlegen, werden BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services gespeichert.
      • Blockieren der Verwendung des zertifikatbasierten Datenwiederherstellungs-Agents (DRA)

        • Nicht konfiguriert (Standard): Zulassen, dass die Verwendung von DRA eingerichtet wird. Das Einrichten von DRA erfordert eine Unternehmens-PKI und Gruppenrichtlinienobjekte, um den DRA-Agent und die Zertifikate bereitzustellen.
        • Ja : Blockieren Sie die Möglichkeit, den Datenwiederherstellungs-Agent (DRA) zum Wiederherstellen von BitLocker-fähigen Laufwerken zu verwenden.
    • Blockieren des Schreibzugriffs auf Festplattenlaufwerke, die nicht durch BitLocker geschützt sind
      CSP: BitLocker – FixedDrivesRequireEncryption
      Diese Einstellung ist verfügbar, wenn die BitLocker-Richtlinie für feste Laufwerke auf Konfigurieren festgelegt ist.

      • Nicht konfiguriert (Standard): Daten können auf nicht verschlüsselte Festplattenlaufwerke geschrieben werden.
      • Ja : Windows lässt nicht zu, dass Daten auf Festplattenlaufwerke geschrieben werden, die nicht durch BitLocker geschützt sind. Wenn ein Festplattenlaufwerk nicht verschlüsselt ist, muss der Benutzer den BitLocker-Setup-Assistenten für das Laufwerk abschließen, bevor der Schreibzugriff gewährt wird.
    • Konfigurieren der Verschlüsselungsmethode für Festplattenlaufwerke
      CSP: BitLocker – EncryptionMethodByDriveType

      Konfigurieren Sie die Verschlüsselungsmethode und verschlüsselungsstärke für Festplattenlaufwerke. XTS: AES 128-Bit ist die Windows-Standardverschlüsselungsmethode und der empfohlene Wert.

      • Nicht konfiguriert (Standard)
      • AES 128-Bit-CBC
      • AES 256-Bit-CBC
      • AES 128-Bit-XTS
      • AES 256-Bit-XTS

BitLocker – Betriebssystemlaufwerkeinstellungen

  • BitLocker-Richtlinie für Systemlaufwerk
    CSP: BitLocker – EncryptionMethodByDriveType

    • Konfigurieren (Standard)
    • Nicht konfiguriert

    Wenn sie auf Konfigurieren festgelegt ist, können Sie die folgenden Einstellungen konfigurieren:

    • Startauthentifizierung erforderlich
      CSP: BitLocker – SystemDrivesRequireStartupAuthentication

      • Nicht konfiguriert (Standard)
      • Ja : Konfigurieren Sie die zusätzlichen Authentifizierungsanforderungen beim Systemstart, einschließlich der Verwendung von TPM-Anforderungen (Trusted Platform Module) oder Start-PIN.

      Wenn diese Einstellung auf Ja festgelegt ist, können Sie die folgenden Einstellungen konfigurieren:

      • Kompatibler TPM-Start
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        Es wird empfohlen, ein TPM für BitLocker zu erfordern. Diese Einstellung gilt nur beim ersten Aktivieren von BitLocker und hat keine Auswirkungen, wenn BitLocker bereits aktiviert ist.

        • Blockiert (Standardeinstellung): BitLocker verwendet das TPM nicht.
        • Erforderlich : BitLocker aktiviert nur, wenn ein TPM vorhanden und verwendbar ist.
        • Zulässig : BitLocker verwendet das TPM, wenn es vorhanden ist.
      • Kompatible TPM-Start-PIN
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        • Blockiert (Standard): Blockieren Sie die Verwendung einer PIN.
        • Erforderlich : Zum Aktivieren von BitLocker müssen eine PIN und ein TPM vorhanden sein.
        • Zulässig : BitLocker verwendet das TPM, sofern vorhanden, und ermöglicht die Konfiguration einer Start-PIN durch den Benutzer.

        Für Szenarien mit automatischer Aktivierung müssen Sie dies auf Blockiert festlegen. Szenarien mit automatischer Aktivierung (einschließlich Autopilot) sind nicht erfolgreich, wenn eine Benutzerinteraktion erforderlich ist.

      • Kompatibler TPM-Startschlüssel
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        • Blockiert (Standard): Die Verwendung von Startschlüsseln wird blockiert.
        • Erforderlich : Erfordert, dass ein Startschlüssel und TPM vorhanden sind, um BitLocker zu aktivieren.
        • Zulässig : BitLocker verwendet das TPM, wenn es vorhanden ist, und ermöglicht es, dass ein Startschlüssel (z. B. ein USB-Laufwerk) vorhanden ist, um die Laufwerke zu entsperren.

        Für Szenarien mit automatischer Aktivierung müssen Sie dies auf Blockiert festlegen. Szenarien mit automatischer Aktivierung (einschließlich Autopilot) sind nicht erfolgreich, wenn eine Benutzerinteraktion erforderlich ist.

      • Kompatibler TPM-Startschlüssel und -PIN
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        • Blockiert (Standard): Blockiert die Verwendung eines Startschlüssels und einer PIN-Kombination.
        • Erforderlich : BitLocker muss über einen Startschlüssel und eine PIN verfügen, um aktiviert zu werden.
        • Zulässig : BitLocker verwendet das TPM, sofern vorhanden, und lässt eine Kombination aus Startschlüssel und PIN zu.

        Für Szenarien mit automatischer Aktivierung müssen Sie dies auf Blockiert festlegen. Szenarien mit automatischer Aktivierung (einschließlich Autopilot) sind nicht erfolgreich, wenn eine Benutzerinteraktion erforderlich ist.

      • Deaktivieren von BitLocker auf Geräten, auf denen TPM nicht kompatibel ist
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        Wenn kein TPM vorhanden ist, erfordert BitLocker ein Kennwort oder ein USB-Laufwerk für den Start.

        Diese Einstellung gilt nur beim ersten Aktivieren von BitLocker und hat keine Auswirkungen, wenn BitLocker bereits aktiviert ist.

        • Nicht konfiguriert (Standard)
        • Ja : Blockieren der Konfiguration von BitLocker ohne kompatiblen TPM-Chip.
      • Aktivieren der Preboot-Wiederherstellungsnachricht und der URL
        CSP: BitLocker – SystemDrivesRecoveryMessagekonfigurieren

        • Nicht konfiguriert (Standard): Verwenden Sie die standardmäßigen BitLocker-Wiederherstellungsinformationen vor dem Start.
        • Ja : Aktivieren Sie die Konfiguration einer benutzerdefinierten Wiederherstellungsnachricht und einer URL vor dem Start, damit Ihre Benutzer verstehen können, wie sie ihr Wiederherstellungskennwort finden. Die Meldung vor dem Start und die URL werden von Benutzern angezeigt, wenn sie im Wiederherstellungsmodus von ihrem PC gesperrt sind.

        Wenn diese Einstellung auf Ja festgelegt ist, können Sie die folgenden Einstellungen konfigurieren:

        • Wiederherstellungsnachricht vor dem Start
          Geben Sie eine benutzerdefinierte Wiederherstellungsnachricht vor dem Start an.

        • Url für die Wiederherstellung vor dem Start
          Geben Sie eine benutzerdefinierte URL für die Wiederherstellung vor dem Start an.

      • Systemlaufwerkwiederherstellung
        CSP: BitLocker – SystemDrivesRecoveryOptions

        • Nicht konfiguriert (Standard)
        • Konfigurieren : Aktivieren Sie die Konfiguration zusätzlicher Einstellungen.

        Wenn auf Konfigurieren festgelegt ist, sind die folgenden Einstellungen verfügbar:

        • Benutzererstellung des Wiederherstellungsschlüssels

          • Blockiert (Standard)
          • Erforderlich
          • Erlaubt
        • Konfigurieren des BitLocker-Wiederherstellungspakets

          • Kennwort und Schlüssel (Standard): Fügen Sie sowohl das BitLocker-Wiederherstellungskennwort, das von Administratoren und Benutzern zum Entsperren geschützter Laufwerke verwendet wird, als auch Wiederherstellungsschlüsselpakete, die von Administratoren für Datenwiederherstellungszwecke verwendet werden, in Active Directory ein.
          • Nur Kennwort : Auf die Wiederherstellungsschlüsselpakete kann bei Bedarf möglicherweise nicht zugegriffen werden.
        • Anfordern des Geräts zum Sichern von Wiederherstellungsinformationen in Microsoft Entra

          • Nicht konfiguriert (Standard): Die BitLocker-Aktivierung wird auch dann abgeschlossen, wenn die Sicherung des Wiederherstellungsschlüssels in Microsoft Entra ID fehlschlägt. Dies kann dazu führen, dass keine Wiederherstellungsinformationen extern gespeichert werden.
          • Ja : BitLocker wird erst dann aktiviert, wenn Wiederherstellungsschlüssel erfolgreich in Microsoft Entra gespeichert wurden.
        • Benutzererstellung des Wiederherstellungskennworts

          • Blockiert (Standard)
          • Erforderlich
          • Erlaubt
        • Wiederherstellungsoptionen während der BitLocker-Einrichtung ausblenden

          • Nicht konfiguriert (Standardeinstellung): Erlauben Sie dem Benutzer den Zugriff auf zusätzliche Wiederherstellungsoptionen.
          • Ja : Der Endbenutzer kann während des BitLocker-Setup-Assistenten keine zusätzlichen Wiederherstellungsoptionen auswählen, z. B. das Drucken von Wiederherstellungsschlüsseln.
        • Aktivieren von BitLocker nach dem Speichern von Wiederherstellungsinformationen

          • Nicht konfiguriert (Standard)
          • Ja : Wenn Sie dies auf Ja festlegen, werden BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services gespeichert.
        • Blockieren der Verwendung des zertifikatbasierten Datenwiederherstellungs-Agents (DRA)

          • Nicht konfiguriert (Standard): Zulassen, dass die Verwendung von DRA eingerichtet wird. Das Einrichten von DRA erfordert eine Unternehmens-PKI und Gruppenrichtlinienobjekte, um den DRA-Agent und die Zertifikate bereitzustellen.
          • Ja : Blockieren Sie die Möglichkeit, den Datenwiederherstellungs-Agent (DRA) zum Wiederherstellen von BitLocker-fähigen Laufwerken zu verwenden.
      • PIN-Mindestlänge
        CSP: BitLocker – SystemDrivesMinimumPINLength

        Geben Sie die minimale Start-PIN-Länge an, wenn TPM + PIN während der BitLocker-Aktivierung erforderlich ist. Die PIN-Länge muss zwischen 4 und 20 Ziffern sein.

        Wenn Sie diese Einstellung nicht konfigurieren, können Benutzer eine Start-PIN beliebiger Länge (zwischen 4 und 20 Ziffern) konfigurieren.

        Diese Einstellung gilt nur beim ersten Aktivieren von BitLocker und hat keine Auswirkungen, wenn BitLocker bereits aktiviert ist.

    • Konfigurieren der Verschlüsselungsmethode für Betriebssystemlaufwerke
      CSP: BitLocker – EncryptionMethodByDriveType

      Konfigurieren Sie die Verschlüsselungsmethode und verschlüsselungsstärke für Betriebssystemlaufwerke. XTS: AES 128-Bit ist die Windows-Standardverschlüsselungsmethode und der empfohlene Wert.

      • Nicht konfiguriert (Standard)
      • AES 128-Bit-CBC
      • AES 256-Bit-CBC
      • AES 128-Bit-XTS
      • AES 256-Bit-XTS

BitLocker – Wechseldatenträgereinstellungen

  • bitLockerRemovableDrivePolicy
    CSP: BitLocker – EncryptionMethodByDriveType

    • Nicht konfiguriert (Standard)
    • Konfigurieren

    Bei Festlegung auf Konfigurieren können Sie die folgenden Einstellungen konfigurieren.

    • Konfigurieren der Verschlüsselungsmethode für Wechseldatenträger
      CSP: BitLocker – EncryptionMethodByDriveType

      Wählen Sie die gewünschte Verschlüsselungsmethode für Wechseldatenträger aus.

      • Nicht konfiguriert (Standard)
      • AES 128-Bit-CBC
      • AES 256-Bit-CBC
      • AES 128-Bit-XTS
      • AES 256-Bit-XTS
    • Blockieren des Schreibzugriffs auf Wechseldatenträger, die nicht durch BitLocker geschützt sind
      CSP: BitLocker – RemovableDrivesRequireEncryption

      • Nicht konfiguriert (Standard): Daten können auf nicht verschlüsselte Wechseldatenträger geschrieben werden.
      • Ja : Windows lässt nicht zu, dass Daten auf Wechseldatenträger geschrieben werden, die nicht durch BitLocker geschützt sind. Wenn ein eingefügtes Wechseldatenträger nicht verschlüsselt ist, muss der Benutzer den BitLocker-Setup-Assistenten abschließen, bevor Schreibzugriff auf das Laufwerk gewährt wird.
    • Blockieren des Schreibzugriffs auf Geräte, die in einer anderen Organisation konfiguriert sind
      CSP: BitLocker – RemovableDrivesRequireEncryption

      • Nicht konfiguriert (Standard): Jedes mit BitLocker verschlüsselte Laufwerk kann verwendet werden.
      • Ja : Blockieren Sie den Schreibzugriff auf Wechseldatenträger, es sei denn, diese wurden auf einem Computer verschlüsselt, der sich im Besitz Ihrer Organisation befindet.

Nächste Schritte

Endpunktsicherheitsrichtlinie für die Datenträgerverschlüsselung