Bereitstellen der BitLocker-Verwaltung

  • Artikel

Gilt für: Configuration Manager (Current Branch)

Die BitLocker-Verwaltung in Configuration Manager umfasst die folgenden Komponenten:

Bevor Sie BitLocker-Verwaltungsrichtlinien erstellen und bereitstellen:

Richtlinie erstellen

Wenn Sie diese Richtlinie erstellen und bereitstellen, aktiviert der Configuration Manager-Client den BitLocker-Verwaltungs-Agent auf dem Gerät.

Hinweis

Zum Erstellen einer BitLocker-Verwaltungsrichtlinie benötigen Sie die Rolle "Volladministrator" in Configuration Manager.

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Bestand und Kompatibilität, erweitern Sie Endpoint Protection, und wählen Sie den Knoten BitLocker-Verwaltung aus.

  2. Wählen Sie im Menüband Die Option BitLocker-Verwaltungssteuerungsrichtlinie erstellen aus.

  3. Geben Sie auf der Seite Allgemein einen Namen und eine optionale Beschreibung an. Wählen Sie die Komponenten aus, die auf Clients mit dieser Richtlinie aktiviert werden sollen:

    • Betriebssystemlaufwerk: Verwalten, ob das Betriebssystemlaufwerk verschlüsselt ist

    • Festplattenlaufwerk: Verwalten der Verschlüsselung für andere Datenlaufwerke auf einem Gerät

    • Wechseldatenträger: Verwalten der Verschlüsselung für Laufwerke, die Sie von einem Gerät entfernen können, z. B. ein USB-Schlüssel

    • Clientverwaltung: Verwalten der Sicherung des Schlüsselwiederherstellungsdiensts von Wiederherstellungsinformationen zur BitLocker-Laufwerkverschlüsselung

  4. Konfigurieren Sie auf der Seite Setup die folgenden globalen Einstellungen für die BitLocker-Laufwerkverschlüsselung:

    Hinweis

    Configuration Manager wendet diese Einstellungen an, wenn Sie BitLocker aktivieren. Wenn das Laufwerk bereits verschlüsselt ist oder gerade ausgeführt wird, ändert jede Änderung dieser Richtlinieneinstellungen nicht die Laufwerkverschlüsselung auf dem Gerät.

    Wenn Sie diese Einstellungen deaktivieren oder nicht konfigurieren, verwendet BitLocker die Standardverschlüsselungsmethode (AES 128-Bit).

    • Aktivieren Sie für Windows 8.1 Geräte die Option Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke. Wählen Sie dann die Verschlüsselungsmethode aus.

    • Aktivieren Sie für geräte Windows 10 oder höher die Option Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke (Windows 10 oder höher). Wählen Sie dann einzeln die Verschlüsselungsmethode für Betriebssystemlaufwerke, Festplattenlaufwerke und Wechseldatenträger aus.

    Weitere Informationen zu diesen und anderen Einstellungen auf dieser Seite finden Sie unter Referenz zu Einstellungen – Setup.

  5. Geben Sie auf der Seite Betriebssystemlaufwerk die folgenden Einstellungen an:

    • Verschlüsselungseinstellungen für Betriebssystemlaufwerke: Wenn Sie diese Einstellung aktivieren, muss der Benutzer das Betriebssystemlaufwerk schützen, und BitLocker verschlüsselt das Laufwerk. Wenn Sie es deaktivieren, kann der Benutzer das Laufwerk nicht schützen.

    Auf Geräten mit einem kompatiblen TPM können zwei Arten von Authentifizierungsmethoden beim Start verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten bereitzustellen. Wenn der Computer gestartet wird, kann er nur das TPM für die Authentifizierung verwenden oder die Eingabe einer persönlichen Identifikationsnummer (PIN) erfordern. Konfigurieren Sie die folgenden Einstellungen:

    • Schutzvorrichtung für Betriebssystemlaufwerk auswählen: Konfigurieren Sie es für die Verwendung eines TPM und einer PIN oder nur des TPM.

    • Konfigurieren der minimalen PIN-Länge für den Start: Wenn Sie eine PIN benötigen, ist dieser Wert die kürzeste Länge, die der Benutzer angeben kann. Der Benutzer gibt diese PIN ein, wenn der Computer gestartet wird, um das Laufwerk zu entsperren. Standardmäßig ist 4die minimale PIN-Länge .

    Weitere Informationen zu diesen und anderen Einstellungen auf dieser Seite finden Sie unter Referenz zu Einstellungen – Betriebssystemlaufwerk.

  6. Geben Sie auf der Seite Festplattenlaufwerk die folgenden Einstellungen an:

    • Festplattenlaufwerkverschlüsselung: Wenn Sie diese Einstellung aktivieren, erfordert BitLocker, dass Benutzer alle Festplattenlaufwerke unter Schutz stellen. Anschließend werden die Datenlaufwerke verschlüsselt. Wenn Sie diese Richtlinie aktivieren, aktivieren Sie entweder die automatische Entsperrung oder die Einstellungen für die Kennwortrichtlinie für Festplattenlaufwerke.

    • Konfigurieren der automatischen Entsperrung für Festplattenlaufwerke: Zulassen oder anfordern, dass BitLocker jedes verschlüsselte Datenlaufwerk automatisch entsperrt. Um die automatische Entsperrung zu verwenden, müssen Sie auch BitLocker zum Verschlüsseln des Betriebssystemlaufwerks anfordern.

    Weitere Informationen zu diesen und anderen Einstellungen auf dieser Seite finden Sie unter Referenz zu Einstellungen – Festplattenlaufwerk.

  7. Geben Sie auf der Seite Wechseldatenträger die folgenden Einstellungen an:

    • Verschlüsselung von Wechseldatenträgern: Wenn Sie diese Einstellung aktivieren und Benutzern das Anwenden des BitLocker-Schutzes erlauben, speichert der Configuration Manager Client Wiederherstellungsinformationen zu Wechseldatenträgern im Wiederherstellungsdienst auf dem Verwaltungspunkt. Dieses Verhalten ermöglicht es Benutzern, das Laufwerk wiederherzustellen, wenn sie die Schutzvorrichtung (Kennwort) vergessen oder verlieren.

    • Benutzern das Anwenden des BitLocker-Schutzes auf Wechseldatenträger erlauben: Benutzer können den BitLocker-Schutz für ein Wechsellaufwerk aktivieren.

    • Kennwortrichtlinie für Wechseldatenträger: Verwenden Sie diese Einstellungen, um die Einschränkungen für Kennwörter zum Entsperren von BitLocker-geschützten Wechseldatenträgern festzulegen.

    Weitere Informationen zu diesen und anderen Einstellungen auf dieser Seite finden Sie unter Referenz zu Einstellungen – Wechseldatenträger.

  8. Geben Sie auf der Seite Clientverwaltung die folgenden Einstellungen an:

    Wichtig

    Konfigurieren Sie diese Einstellung für Versionen von Configuration Manager vor 2103 nicht, wenn Sie über keinen Verwaltungspunkt mit einer HTTPS-fähigen Website verfügen. Weitere Informationen finden Sie unter Wiederherstellungsdienst.

    • Konfigurieren der BitLocker-Verwaltungsdienste: Wenn Sie diese Einstellung aktivieren, sichert Configuration Manager automatisch und automatisch Schlüsselwiederherstellungsinformationen in der Standortdatenbank. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, speichert Configuration Manager keine Schlüsselwiederherstellungsinformationen.

      • Wählen Sie BitLocker-Wiederherstellungsinformationen zum Speichern aus: Konfigurieren Sie sie für die Verwendung eines Wiederherstellungskennworts und eines Schlüsselpakets oder nur eines Wiederherstellungskennworts.

      • Speichern von Wiederherstellungsinformationen als Nur-Text zulassen: Ohne BitLocker-Verwaltungsverschlüsselungszertifikat speichert Configuration Manager die Schlüsselwiederherstellungsinformationen im Klartext. Weitere Informationen finden Sie unter Verschlüsseln von Wiederherstellungsdaten in der Datenbank.

    Weitere Informationen zu diesen und anderen Einstellungen auf dieser Seite finden Sie unter Referenz zu Einstellungen – Clientverwaltung.

  9. Schließen Sie den Assistenten ab.

Um die Einstellungen einer vorhandenen Richtlinie zu ändern, wählen Sie sie in der Liste aus, und wählen Sie Eigenschaften aus.

Wenn Sie mehr als eine Richtlinie erstellen, können Sie deren relative Priorität konfigurieren. Wenn Sie mehrere Richtlinien für einen Client bereitstellen, wird der Prioritätswert verwendet, um dessen Einstellungen zu bestimmen.

Ab Version 2006 können Sie Windows PowerShell Cmdlets für diese Aufgabe verwenden. Weitere Informationen finden Sie unter New-CMBlmSetting.

Bereitstellen einer Richtlinie

  1. Wählen Sie eine vorhandene Richtlinie im Knoten BitLocker-Verwaltung aus. Wählen Sie im Menüband Bereitstellen aus.

  2. Wählen Sie eine Gerätesammlung als Ziel der Bereitstellung aus.

  3. Wenn das Gerät seine Laufwerke zu einem beliebigen Zeitpunkt potenziell verschlüsseln oder entschlüsseln soll, wählen Sie die Option Wartung zulassen außerhalb des Wartungsfensters aus. Wenn die Sammlung über Wartungsfenster verfügt, wird diese BitLocker-Richtlinie trotzdem korrigiert.

  4. Konfigurieren Sie einen einfachen oder benutzerdefinierten Zeitplan. Der Client wertet seine Konformität basierend auf den im Zeitplan angegebenen Einstellungen aus.

  5. Wählen Sie OK aus, um die Richtlinie bereitzustellen.

Sie können mehrere Bereitstellungen derselben Richtlinie erstellen. Um zusätzliche Informationen zu jeder Bereitstellung anzuzeigen, wählen Sie die Richtlinie im Knoten BitLocker-Verwaltung aus, und wechseln Sie dann im Detailbereich zur Registerkarte Bereitstellungen. Sie können für diese Aufgabe auch Windows PowerShell Cmdlets verwenden. Weitere Informationen finden Sie unter New-CMSettingDeployment.

Wichtig

Wenn eine RDP-Verbindung (Remotedesktopprotokoll) aktiv ist, startet der MBAM-Client keine BitLocker-Laufwerkverschlüsselungsaktionen. Schließen Sie alle Remotekonsolenverbindungen, und melden Sie sich mit einem Domänenbenutzerkonto bei einer Konsolensitzung an. Anschließend beginnt die BitLocker-Laufwerkverschlüsselung, und der Client lädt Wiederherstellungsschlüssel und -pakete hoch. Wenn Sie sich mit einem lokalen Benutzerkonto anmelden, wird die BitLocker-Laufwerkverschlüsselung nicht gestartet.

Sie können RDP verwenden, um eine Remoteverbindung mit der Konsolensitzung des Geräts mit dem /admin Switch herzustellen. Beispiel: mstsc.exe /admin /v:<IP address of device>

Eine Konsolensitzung ist entweder, wenn Sie sich auf der physischen Konsole des Computers befinden, oder eine Remoteverbindung, die mit der physischen Konsole des Computers identisch ist.

Überwachen

Zeigen Sie grundlegende Konformitätsstatistiken zur Richtlinienbereitstellung im Detailbereich des Knotens BitLocker-Verwaltung an:

  • Kompatibilitätsanzahl
  • Fehleranzahl
  • Nichtkonformitätsanzahl

Wechseln Sie zur Registerkarte Bereitstellungen , um den Konformitätsprozentsatz und die empfohlene Aktion anzuzeigen. Wählen Sie die Bereitstellung und dann im Menüband Status anzeigen aus. Durch diese Aktion wird die Ansicht in den Arbeitsbereich Überwachung , Knoten Bereitstellungen, umgeschaltet . Ähnlich wie bei der Bereitstellung anderer Konfigurationsrichtlinienbereitstellungen können Sie in dieser Ansicht ausführlichere compliance-status sehen.

Informationen dazu, warum Clients melden, die nicht mit der BitLocker-Verwaltungsrichtlinie kompatibel sind, finden Sie unter Nichtkonformitätscodes.

Weitere Informationen zur Problembehandlung finden Sie unter Problembehandlung bei BitLocker.

Verwenden Sie die folgenden Protokolle zum Überwachen und Beheben von Problemen:

Clientprotokolle

  • MBAM-Ereignisprotokoll: Navigieren Sie im Windows-Ereignisanzeige zu Anwendungen und Dienste>Microsoft>Windows>MBAM. Weitere Informationen finden Sie unter Informationen zu BitLocker-Ereignisprotokollen und Clientereignisprotokollen.

  • BitlockerManagementHandler.log und BitlockerManagement_GroupPolicyHandler.log im Clientprotokollpfad standardmäßig %WINDIR%\CCM\Logs

Verwaltungspunktprotokolle (Wiederherstellungsdienst)

  • Ereignisprotokoll des Wiederherstellungsdiensts: Navigieren Sie im Windows-Ereignisanzeige zu Anwendungen und Dienste>Microsoft>Windows>MBAM-Web. Weitere Informationen finden Sie unter Informationen zu BitLocker-Ereignisprotokollen und Serverereignisprotokollen.

  • Ablaufverfolgungsprotokolle des Wiederherstellungsdiensts: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

Überlegungen zur Migration

Wenn Sie derzeit Microsoft BitLocker Administration and Monitoring (MBAM) verwenden, können Sie die Verwaltung nahtlos zu Configuration Manager migrieren. Wenn Sie BitLocker-Verwaltungsrichtlinien in Configuration Manager bereitstellen, laden Clients wiederherstellungsschlüssel und -pakete automatisch in den Configuration Manager-Wiederherstellungsdienst hoch.

Wichtig

Wenn Sie von eigenständigem MBAM zu Configuration Manager BitLocker-Verwaltung migrieren und vorhandene Funktionen von eigenständigem MBAM benötigen, sollten Sie keine eigenständigen MBAM-Server oder -Komponenten mit Configuration Manager BitLocker-Verwaltung wiederverwenden. Wenn Sie diese Server wiederverwenden, funktioniert eigenständiges MBAM nicht mehr, wenn Configuration Manager BitLocker-Verwaltung seine Komponenten auf diesen Servern installiert. Führen Sie das MBAMWebSiteInstaller.ps1-Skript nicht aus, um die BitLocker-Portale auf eigenständigen MBAM-Servern einzurichten. Wenn Sie Configuration Manager BitLocker-Verwaltung einrichten, verwenden Sie separate Server.

Gruppenrichtlinie

  • Die BitLocker-Verwaltungseinstellungen sind vollständig mit den MBAM-Gruppenrichtlinieneinstellungen kompatibel. Wenn Geräte sowohl Gruppenrichtlinieneinstellungen als auch Configuration Manager Erhalten, konfigurieren Sie diese entsprechend.

    Hinweis

    Wenn eine Gruppenrichtlinieneinstellung für eigenständiges MBAM vorhanden ist, wird die entsprechende Einstellung überschrieben, die von Configuration Manager versucht wurde. Eigenständiges MBAM verwendet Domänengruppenrichtlinien, während Configuration Manager lokale Richtlinien für die BitLocker-Verwaltung festlegt. Domänenrichtlinien überschreiben die lokalen Configuration Manager BitLocker-Verwaltungsrichtlinien. Wenn die eigenständige MBAM-Domänengruppenrichtlinie nicht mit der Configuration Manager-Richtlinie übereinstimmt, schlägt Configuration Manager BitLocker-Verwaltung fehl. Wenn beispielsweise eine Domänengruppenrichtlinie den eigenständigen MBAM-Server für Schlüsselwiederherstellungsdienste festlegt, kann Configuration Manager BitLocker-Verwaltung nicht dieselbe Einstellung für den Verwaltungspunkt festlegen. Dieses Verhalten bewirkt, dass Clients ihre Wiederherstellungsschlüssel nicht an den Configuration Manager BitLocker-Verwaltungsschlüsselwiederherstellungsdienst auf dem Verwaltungspunkt melden.

  • Configuration Manager implementiert nicht alle MBAM-Gruppenrichtlinieneinstellungen. Wenn Sie weitere Einstellungen in der Gruppenrichtlinie konfigurieren, berücksichtigt der BitLocker-Verwaltungs-Agent auf Configuration Manager Clients diese Einstellungen.

    Wichtig

    Legen Sie keine Gruppenrichtlinie für eine Einstellung fest, die Configuration Manager BitLocker-Verwaltung bereits angibt. Legen Sie Gruppenrichtlinien nur für Einstellungen fest, die derzeit nicht in Configuration Manager BitLocker-Verwaltung vorhanden sind. Configuration Manager Version 2002 weist Featureparität mit eigenständigem MBAM auf. Mit Configuration Manager Version 2002 und höher sollte es in den meisten Fällen keinen Grund geben, Domänengruppenrichtlinien zum Konfigurieren von BitLocker-Richtlinien festzulegen. Vermeiden Sie die Verwendung von Gruppenrichtlinien für BitLocker, um Konflikte und Probleme zu vermeiden. Konfigurieren Sie alle Einstellungen über Configuration Manager BitLocker-Verwaltungsrichtlinien.

TPM-Kennworthash

  • Frühere MBAM-Clients laden den TPM-Kennworthash nicht in Configuration Manager hoch. Der Client lädt den TPM-Kennworthash nur einmal hoch.

  • Wenn Sie diese Informationen zum Configuration Manager Wiederherstellungsdienst migrieren müssen, löschen Sie das TPM auf dem Gerät. Nach dem Neustart wird der neue TPM-Kennworthash in den Wiederherstellungsdienst hochgeladen.

Hinweis

Das Hochladen des TPM-Kennworthashs bezieht sich hauptsächlich auf Versionen von Windows vor Windows 10. Windows 10 oder höher speichert den TPM-Kennworthash standardmäßig nicht, sodass diese Geräte ihn normalerweise nicht hochladen. Weitere Informationen finden Sie unter Informationen zum TPM-Besitzerkennwort.

Erneute Verschlüsselung

Configuration Manager verschlüsselt keine Laufwerke erneut, die bereits mit der BitLocker-Laufwerkverschlüsselung geschützt sind. Wenn Sie eine BitLocker-Verwaltungsrichtlinie bereitstellen, die nicht mit dem aktuellen Schutz des Laufwerks übereinstimmt, wird als nicht konform gemeldet. Das Laufwerk ist weiterhin geschützt.

Beispielsweise haben Sie MBAM verwendet, um das Laufwerk mit dem AES-XTS 128-Verschlüsselungsalgorithmus zu verschlüsseln, aber die Configuration Manager Richtlinie erfordert AES-XTS 256. Das Laufwerk ist nicht konform mit der Richtlinie, obwohl das Laufwerk verschlüsselt ist.

Um dieses Verhalten zu umgehen, deaktivieren Sie zuerst BitLocker auf dem Gerät. Stellen Sie dann eine neue Richtlinie mit den neuen Einstellungen bereit.

Co-Management und Intune

Der Configuration Manager-Clienthandler für BitLocker unterstützt die Co-Verwaltung. Wenn das Gerät gemeinsam verwaltet wird und Sie die Endpoint Protection-Workload auf Intune umstellen, ignoriert der Configuration Manager Client seine BitLocker-Richtlinie. Das Gerät ruft die Windows-Verschlüsselungsrichtlinie von Intune ab.

Hinweis

Das Wechseln von Verschlüsselungsverwaltungsstellen unter Beibehaltung des gewünschten Verschlüsselungsalgorithmus erfordert keine zusätzlichen Aktionen auf dem Client. Wenn Sie jedoch die Verschlüsselungsverwaltungsstellen wechseln und sich auch der gewünschte Verschlüsselungsalgorithmus ändert, müssen Sie die erneute Verschlüsselung planen.

Weitere Informationen zum Verwalten von BitLocker mit Intune finden Sie in den folgenden Artikeln:

Nächste Schritte

Informationen zum BitLocker-Wiederherstellungsdienst

Einrichten von BitLocker-Berichten und -Portalen