Freigeben über


Festlegen des BitLocker-Verschlüsselungsalgorithmus für Windows Autopilot-Geräte

BitLocker verschlüsselt interne Laufwerke automatisch während der Out-of-Box-Benutzeroberfläche (OOBE) für Geräte, die modernen Standby unterstützen oder die Hardware Security Testability Specification (HSTI) erfüllen. Standardmäßig verwendet BitLocker den 128-Bit-Speicherplatz von XTS-AES nur für die automatische Verschlüsselung.

Mit Windows Autopilot können BitLocker-Verschlüsselungseinstellungen so konfiguriert werden, dass sie angewendet werden, bevor die automatische Verschlüsselung gestartet wird. Diese Konfiguration stellt sicher, dass der Standardverschlüsselungsalgorithmus oder -typ nicht automatisch angewendet wird. Ein Gerät, das diese Einstellungen nach der Verschlüsselung empfängt, muss vor dem Ändern des Verschlüsselungsalgorithmus automatisch entschlüsselt werden.

Verschlüsselungsalgorithmus

BitLocker verwendet den angegebenen BitLocker-Verschlüsselungsalgorithmus, wenn BitLocker zum ersten Mal aktiviert wird. Während Windows Autopilot wird BitLocker nach dem Gerätesetupteil der Registrierungsseite status aktiviert. Die folgenden Verschlüsselungsalgorithmen sind verfügbar:

  • AES-CBC 128-Bit.
  • AES-CBC 256-Bit.
  • XTS-AES 128-Bit (Standard).
  • XTS-AES 256-Bit.

Weitere Informationen zu den empfohlenen Verschlüsselungsalgorithmen finden Sie unter BitLocker Configuration Service Provider (CSP).For more information about the recommended encryption algorithms to use, see BitLocker Configuration Service Provider (CSP).

Verschlüsselung des vollständigen Datenträgers oder Beschränkung auf den verwendeten Speicherplatz

Es gibt zwei Arten von Verschlüsselung: vollständiger Datenträger oder nur verwendeter Speicherplatz. Die Konfiguration der automatischen Aktivierung und der Hardwareunterstützung für modernen Standbymodus bestimmt automatisch den verwendeten Verschlüsselungstyp. Der verwendete Verschlüsselungstyp kann durch Konfigurieren der SystemDrivesEncryptionType-Einstellung erzwungen werden. Wie der Verschlüsselungsalgorithmus verwendet BitLocker den Verschlüsselungstyp, wenn BitLocker zum ersten Mal aktiviert wird. Weitere Informationen zum erwarteten Verschlüsselungstypverhalten finden Sie unter Verwalten der BitLocker-Richtlinie.

Konfigurieren einer BitLocker-Richtlinie für Windows Autopilot-Geräte

Führen Sie die folgenden Schritte aus, um sicherzustellen, dass sowohl der gewünschte BitLocker-Verschlüsselungsalgorithmus als auch die Verschlüsselung festgelegt sind, bevor die automatische Verschlüsselung für Windows Autopilot-Geräte erfolgt:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie auf dem Startbildschirm im linken Bereich Endpunktsicherheit aus.

  3. In der Endpunktsicherheit | Übersichtsbildschirm , erweitern Sie Verwalten, und wählen Sie dann Datenträgerverschlüsselung aus.

  4. In der Endpunktsicherheit | Bildschirm zur Datenträgerverschlüsselung . Wählen Sie + Richtlinie erstellen aus.

  5. Auf der Seite Profil erstellen , die geöffnet wird:

    1. Wählen Sie unter Plattform die Option Windows aus.

    2. Wählen Sie unter Profil die Option BitLocker aus.

    3. Wählen Sie die Schaltfläche Erstellen aus.

  6. Geben Sie auf der Seite Grundlagen des BildschirmsRichtlinie erstellen einen Namen und optional eine Beschreibung ein, und wählen Sie dann die Schaltfläche Weiter aus.

  7. Konfigurieren Sie auf der Seite Konfigurationseinstellungen die verschiedenen BitLocker-Einstellungen wie gewünscht, einschließlich der Verschlüsselungsmethode und der Einstellungen für Verschlüsselungs- und Verschlüsselungstyp :

    • Verschlüsselungsmethode und Verschlüsselung

      1. Erweitern Sie den Abschnitt BitLocker-Laufwerkverschlüsselung .

      2. Wählen Sie unter Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke auswählendie Option Aktiviert aus.

      3. Wählen Sie für jeden Laufwerktyp (Festplattenlaufwerke, Betriebssystemlaufwerk, Wechseldatenträger) im Dropdownmenü die gewünschte Verschlüsselungsmethode und Verschlüsselung aus. Der Standardwert für jeden Typ ist XTS-AES 128-Bit.

    • Verschlüsselungstyp

      1. Erweitern Sie den Abschnitt Betriebssystemlaufwerke .

      2. Wählen Sie für Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingendie Option Aktiviert aus.

      3. Wählen Sie unter Laufwerkverschlüsselungstyp auswählen im Dropdownmenü den gewünschten Verschlüsselungstyp aus, entweder Vollständige Verschlüsselung oder Verschlüsselung nur verwendeter Speicherplatz. Die Standardeinstellung ist Die Auswahl durch den Benutzer zulassen.

    Nachdem alle BitLocker-Einstellungen wie gewünscht konfiguriert wurden, wählen Sie die Schaltfläche Weiter aus.

  8. Wählen Sie auf der Seite Bereichstags die Schaltfläche Weiter aus.

    Hinweis

    Bereichstags sind optional. Wenn ein benutzerdefiniertes Bereichstag angegeben werden muss, tun Sie dies auf dieser Seite. Weitere Informationen zu Bereichsmarkierungen finden Sie unter Use role-based access control and scope tags for distributed IT (Verwenden der rollenbasierten Zugriffssteuerung und von Bereichsmarkierungen für verteilte IT).

  9. Verwenden Sie auf der Seite Zuweisungen das Suchfeld Nach Gruppenname suchen... , um die Windows Autopilot-Gerätegruppe zu suchen und hinzuzufügen. Nachdem die Windows Autopilot-Gerätegruppe hinzugefügt und unter Gruppe aufgeführt ist, stellen Sie sicher, dass Zieltyp auf Einschließen festgelegt ist, und wählen Sie dann die Schaltfläche Weiter aus. Weitere Informationen zum Zuweisen einer Richtlinie finden Sie unter Zuweisen von Richtlinien in Microsoft Intune.

    Wichtig

    Stellen Sie sicher, dass die in diesem Schritt ausgewählte Windows Autopilot-Gerätegruppe eine Gerätegruppe und keine Benutzergruppe ist.

  10. Überprüfen Sie auf der Seite Überprüfen + erstellen die Einstellungen, um zu überprüfen, ob sie wie gewünscht konfiguriert sind, und wählen Sie dann die Schaltfläche Speichern aus.

  11. Konfigurieren und Zuweisen einer Registrierungsstatusseite (ESP) für das Windows Autopilot-Gerät. Wenn eine ESP nicht aktiviert ist, wird die BitLocker-Richtlinie nicht angewendet, bevor die Verschlüsselung gestartet wird. Weitere Informationen finden Sie in einem der folgenden Artikel: