Verwenden der FileVault-Datenträgerverschlüsselung für macOS mit Intune

Verwenden Sie Microsoft Intune, um die macOS FileVault-Datenträgerverschlüsselung zu konfigurieren und zu verwalten. FileVault ist ein Verschlüsselungsprogramm für ganze Datenträger, das im Lieferumfang von macOS enthalten ist. Mit Intune können Sie Richtlinien bereitstellen, die FileVault konfigurieren, und dann Wiederherstellungsschlüssel auf Geräten verwalten, auf denen macOS 10.13 oder höher ausgeführt wird.

Verwenden Sie einen der folgenden Richtlinientypen, um FileVault auf Ihren verwalteten Geräten zu konfigurieren:

• Endpunktsicherheitsrichtlinie für FileVault für macOS. Das FileVault-Profil in Endpunktsicherheit ist eine fokussierte Gruppe von Einstellungen, die für die Konfiguration von FileVault vorgesehen ist.

  Zeigen Sie die FileVault-Einstellungen an, die in Profilen für Datenträger-Verschlüsselungsrichtlinien verfügbar sind.

• Gerätekonfigurationprofil für Endpunktschutz für macOS FileVault. Die FileVault-Einstellungen gehören zu den verfügbaren Einstellungskategorien in Endpoint Protection unter macOS. Weitere Informationen zum Verwenden eines Gerätekonfigurationsprofils finden Sie unter Erstellen eines Geräteprofils in Intune.

  Zeigen Sie die FileVault-Einstellungen an, die in Endpunktschutzprofilen für die Gerätekonfigurationsrichtlinie verfügbar sind.

• Einstellungskatalogprofil für macOS FileVault. FileVault kann über den Intune-Einstellungskatalog konfiguriert werden, der einige Einstellungen enthält, die in den Endpoint Security- und Endpoint Protection-Vorlagen nicht verfügbar sind.

Informationen zum Verwalten von BitLocker für Windows 10/11 finden Sie unter Verwalten von BitLocker-Richtlinien.

Tipp

Intune beinhaltet einen integrierten Verschlüsselungsbericht, in dem Details zum Verschlüsselungsstatus Ihrer verwalteten Geräte angezeigt werden.

Sobald Sie eine Richtlinie für die Geräteverschlüsselung mit FileVault erstellt haben, wird die Richtlinie in zwei Phasen auf die Geräte angewendet. Zuerst wird das Gerät vorbereitet, damit Intune den Wiederherstellungsschlüssel abrufen und sichern kann. Dies wird als Schlüsselhinterlegung bezeichnet. Sobald dieser Vorgang abgeschlossen ist, kann die Datenträgerverschlüsselung beginnen.

Zusätzlich zur Verwendung Intune Richtlinie zum Verschlüsseln eines Geräts mit FileVault können Sie eine Richtlinie auf einem verwalteten Gerät bereitstellen, damit Intune die Verwaltung von FileVault übernehmen können, wenn das Gerät vom Benutzer verschlüsselt wird. In diesem Szenario ist erforderlich, dass das Gerät die FileVault-Richtlinie von Intune empfängt. Anschließend muss der Benutzer seinen persönlichen Wiederherstellungsschlüssel in Intune hochladen.

Damit FileVault auf einem Gerät funktioniert, ist eine vom Benutzer genehmigte Geräteregistrierung erforderlich. Der Benutzer muss das Verwaltungsprofil manuell anhand von Systemeinstellungen genehmigen, damit die Registrierung als vom Benutzer genehmigt angesehen wird.

Berechtigungen zum Verwalten von FileVault

Damit Sie FileVault in Intune verwalten können, muss Ihr Konto in Intune über die entsprechenden Berechtigungen für die rollenbasierte Zugriffssteuerung (RBAC) verfügen.

Im Folgenden sind die FileVault-Berechtigungen aufgelistet, die zur Kategorie der Remoteaufgaben gehören, sowie die integrierten RBAC-Rollen für das Erteilen der jeweiligen Berechtigung:

• Get FileVault key (FileVault-Schlüssel erhalten):

  • Helpdeskoperator
  • Endpoint security manager (Endpunktsicherheits-Manager)

• Rotate FileVault key (FileVault-Schlüssel rotieren)

  • Helpdeskoperator

Erstellen einer Gerätekonfigurationsrichtlinie für FileVault

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie Gerätekonfiguration>> auf der Registerkarte Richtlinien die Option + Erstellen aus.

3. Legen Sie auf der Seite Profil erstellen die folgenden Optionen fest, und wählen Sie dann Erstellen aus:

   • Plattform: macOS
   • Profiltyp: Vorlagen
   • Vorlagenname: Endpoint Protection

   

4. Geben Sie auf der Seite Grundlagen die folgenden Eigenschaften ein:

   • Name: Geben Sie einen aussagekräftigen Namen für die Richtlinie ein. Benennen Sie Ihre Richtlinien so, dass Sie diese später leicht wiedererkennen. Ein guter Richtlinienname enthält beispielsweise den Profiltyp und die Plattform.

   • Beschreibung: Geben Sie eine Beschreibung der Richtlinie ein. Diese Einstellung ist optional, wird jedoch empfohlen.

5. Wählen Sie auf der Seite Konfigurationseinstellungen die Option FileVault aus, um die verfügbaren Einstellungen aufzuklappen:

   

6. Konfigurieren Sie die folgenden Einstellungen:

   • Wählen Sie für FileVault die Option Ja aus.

   • Wählen Sie für Art des Wiederherstellungsschlüssels die Option Persönlicher Schlüssel aus.

   • Fügen Sie für Beschreibung des Hinterlegungsstandorts für den persönlichen Wiederherstellungsschlüssel eine Meldung hinzu, um Benutzer zu informieren, wie sie den Wiederherstellungsschlüssel für ihr Gerät abrufen können. Diese Informationen können für Ihre Benutzer nützlich sein, wenn Sie die Einstellung für die Rotation persönlicher Wiederherstellungsschlüssel verwenden. Dadurch können regelmäßig automatisch neue Wiederherstellungsschlüssel für die Geräte generiert werden.

     Beispiel: Um einen verloren gegangenen oder kürzlich rotierten Wiederherstellungsschlüssel abzurufen, melden Sie sich von einem beliebigen Gerät aus bei der Intune-Unternehmensportal Website an. Navigieren Sie im Portal zu Geräte, wählen Sie das Gerät aus, für das FileVault aktiviert ist, und klicken Sie dann auf Wiederherstellungsschlüssel abrufen. Dann wird der aktuelle Wiederherstellungsschlüssel angezeigt.

   Konfigurieren Sie die restlichen FileVault-Einstellungen entsprechend Ihren Geschäftsanforderungen, und wählen Sie anschließend Weiter aus.

7. Wählen Sie ggf. auf der Seite Bereich (Tags)die Option Bereichstags auswählen aus, um den Bereich Tags auswählen zu öffnen, um dem Profil Bereichstags zuzuweisen.

   Wählen Sie Weiter aus, um fortzufahren.

8. Wählen Sie auf der Seite Zuweisungen Gruppen aus, die dieses Profil erhalten sollen. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen. Wählen Sie Weiter aus.

9. Klicken Sie, wenn Sie fertig sind, auf der Seite Bewerten + erstellen auf Erstellen. Das neue Profil wird in der Liste angezeigt, wenn Sie den Richtlinientyp für das Profil auswählen, das Sie erstellt haben.

Erstellen einer Endpunktsicherheitsrichtlinie für FileVault

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie Endpunktsicherheit>Datenträgerverschlüsselung>Richtlinie erstellen aus.

3. Geben Sie auf der Seite Grundlagen die folgenden Eigenschaften ein, und wählen Sie dann Weiter aus.

• Plattform: macOS

• Profil: FileVault

  

4. Auf der Seite Konfigurationseinstellungen:

   1. Legen Sie FileVault aktivieren auf Ja fest.
   2. Als des Wiederherstellungsschlüsseltyp wird nur Persönlicher Wiederherstellungsschlüssel unterstützt.
   3. Konfigurieren Sie zusätzliche Einstellungen, um Ihre Anforderungen zu erfüllen.

   Fügen Sie ggf. eine Meldung hinzu, um Benutzer zu informieren, wie sie den Wiederherstellungsschlüssel für ihr Gerät abrufen können. Diese Informationen können für Ihre Benutzer nützlich sein, wenn Sie die Einstellung für die Rotation persönlicher Wiederherstellungsschlüssel verwenden. Dadurch können regelmäßig automatisch neue Wiederherstellungsschlüssel für die Geräte generiert werden.

   Beispiel: Um einen verloren gegangenen oder kürzlich rotierten Wiederherstellungsschlüssel abzurufen, melden Sie sich von einem beliebigen Gerät aus bei der Intune-Unternehmensportal Website an. Wechseln Sie im Portal zu "Geräte", wählen Sie das Gerät aus, für das FileVault aktiviert ist, und wählen Sie dann Wiederherstellungsschlüssel abrufen aus. Dann wird der aktuelle Wiederherstellungsschlüssel angezeigt.

5. Wenn Sie fertig sind mit dem Konfigurieren der Einstellungen, klicken Sie auf Weiter.

6. Klicken Sie auf der Seite Bereich (Markierungen) auf Bereichstags auswählen, um den Bereich „Markierungen auswählen“ zu öffnen, in dem Sie dem Profil Bereichstags zuweisen.

   Wählen Sie Weiter aus, um fortzufahren.

7. Wählen Sie auf der Seite Zuweisungen die Gruppen aus, die dieses Profil erhalten sollen. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen. Wählen Sie Weiter aus.

8. Klicken Sie, wenn Sie fertig sind, auf der Seite Bewerten + erstellen auf Erstellen. Das neue Profil wird in der Liste angezeigt, wenn Sie den Richtlinientyp für das Profil auswählen, das Sie erstellt haben.

Erstellen einer Einstellungskatalogrichtlinie für FileVault

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie Geräte>macOS-Konfigurationsprofile>>Neue Richtlinie erstellen> aus.

3. Wählen Sie auf der Seite Profil erstellen die Option Einstellungskatalog für den Profiltyp aus.

4. Geben Sie auf der Seite Grundlagen die folgenden Eigenschaften ein:

   • Name: Geben Sie einen aussagekräftigen Namen für die Richtlinie ein. Benennen Sie Ihre Richtlinien so, dass Sie diese später leicht wiedererkennen. Ein guter Richtlinienname enthält beispielsweise den Profiltyp und die Plattform.

   • Beschreibung: Geben Sie eine Beschreibung der Richtlinie ein. Diese Einstellung ist optional, wird jedoch empfohlen.

5. Wählen Sie auf der Seite Konfigurationseinstellungendie Option + Einstellungen hinzufügen aus, um die Einstellungsauswahl zu öffnen. Die FileVault-Einstellungen befinden sich unter der Kategorie Vollständige Datenträgerverschlüsselung :

   

   Wählen Sie zum Aktivieren von FileVault die folgenden Einstellungen aus der Kategorie Vollständige Datenträgerverschlüsselung aus, und konfigurieren Sie sie:

   • FileVault >Enable – Auf Ein festgelegt
   • FileVault-Wiederherstellungsschlüsselspeicherort: Geben Sie eine Beschreibung des Speicherorts an, an dem der Wiederherstellungsschlüssel hinterlegt ist.> Dieser Text wird in die Nachricht eingefügt, die dem Benutzer beim Aktivieren von FileVault angezeigt wird.

   Tipp

   Beim Konfigurieren der Verschlüsselung für Geräte mit macOS 14 oder höher können Sie den macOS-Setup-Assistenten verwenden, um die FileVault-Verschlüsselung zu erzwingen, bevor ein Benutzer auf dem Startbildschirm eintrifft. Weitere Informationen finden Sie unter Aktivieren von FileVault über den Setup-Assistenten weiter unten in diesem Artikel.

6. Konfigurieren Sie zusätzliche FileVault-Einstellungen(öffnet die Apple-Website), um Ihre geschäftlichen Anforderungen zu erfüllen, und wählen Sie dann Weiter aus.

7. Wählen Sie ggf. auf der Seite Bereich (Tags)die Option Bereichstags auswählen aus, um den Bereich Tags auswählen zu öffnen, um dem Profil Bereichstags zuzuweisen. Wählen Sie Weiter aus, um fortzufahren.

8. Wählen Sie auf der Seite Zuweisungen die Gruppen aus, die dieses Profil erhalten sollen. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen. Wählen Sie Weiter aus.

9. Wenn Sie fertig sind, wählen Sie auf der Seite Bewerten und erstellen die Option Erstellen aus. Das neue Profil wird in der Liste angezeigt, wenn Sie den Richtlinientyp für das Profil auswählen, das Sie erstellt haben.

Aktivieren von FileVault über den Setup-Assistenten

Auf Geräten, auf denen macOS 14 und höher ausgeführt wird, kann Ihre Einstellungskatalogrichtlinie auch die FileVault-Verschlüsselung über den macOS-Setup-Assistenten erzwingen, bevor ein Benutzer auf dem Startbildschirm eintrifft. Dieses Ziel erfordert zusätzliche Konfigurationen:

• Das Feature Warten der endgültigen Konfiguration für das Gerät muss auf Ja festgelegt werden. Diese Konfiguration verhindert, dass Endbenutzer auf eingeschränkte Inhalte zugreifen oder Einstellungen ändern können, bis anwendbare Intune Gerätekonfigurationsrichtlinien gelten. Informationen zu dieser Konfiguration finden Sie unter Automatisches Registrieren von Macs mit Apple Business Manager oder Apple School Manager.

• Erstellen Sie einen Filter mit dem EnrollmentProfileName-Attribut , das der Einstellungskatalogrichtlinie zugewiesen wird. Dadurch wird sichergestellt, dass die FileVault-Richtlinie zugewiesen wird, wenn das Gerät zum ersten Mal bei Intune registriert wird. Weitere Informationen zum Konfigurieren von Filtern finden Sie unter Erstellen von Filtern in Microsoft Intune.

• Wenn Await final Configuration für ein Gerät auf Ja festgelegt ist, können Sie in Ihrem Einstellungskatalogprofil die folgende Einstellung für die vollständige Datenträgerverschlüsselung für FileVault hinzufügen.

• FileVault >Force Enable im Setup-Assistenten – Auf Aktiviert festgelegt.

  Die folgende Abbildung zeigt das Einstellungskatalogprofil, das mit den Kerneinstellungen konfiguriert ist, um FileVault zu aktivieren und den Setup-Assistenten zum Erzwingen der Verschlüsselung zu verwenden. In diesem Beispiel verwendet die Einstellung Standort den einfachen Namen unserer Domäne Contoso:

  Wichtig

  Die Einstellung Zurückstellen muss auf Aktiviert konfiguriert sein, um FileVault im Setup-Assistenten für Geräte mit macOS 14.4 erfolgreich zu aktivieren.

  

Verwalten von FileVault

Informationen zu Geräten, die die FileVault-Richtlinie erhalten, finden Sie unter Überwachen der Datenträgerverschlüsselung.

Wenn Intune zum ersten Mal ein macOS-Gerät mithilfe von FileVault verschlüsselt, wird ein persönlicher Wiederherstellungsschlüssel erstellt. Bei der Verschlüsselung zeigt das Gerät dem Gerätebenutzer den persönlichen Schlüssel ein Mal an.

Hinweis

Ein Gerät, das den Fehlercode -2016341107/0x87d1138d meldet, bedeutet im Allgemeinen, dass der Endbenutzer die FileVault-Aufforderung zum Starten der Verschlüsselung nicht akzeptiert hat.

Bei verwalteten Geräten kann Intune eine Kopie des persönlichen Wiederherstellungsschlüssels hinterlegen. Durch die Hinterlegung von Schlüsseln können Intune-Administratoren die Schlüssel zum Schutz von Geräten rotieren, und die Benutzer können verlorene oder rotierte persönliche Wiederherstellungsschlüssel wiederherstellen.

Intune hinterlegt einen Wiederherstellungsschlüssel, wenn die Intune-Richtlinie ein Gerät verschlüsselt oder nachdem ein Benutzer seinen Wiederherstellungsschlüssel für das Gerät hochgeladen hat, das er manuell verschlüsselt hat.

Nachdem Intune den persönlichen Wiederherstellungsschlüssel hinterlegt hat:

• können Administratoren die FileVault-Wiederherstellungsschlüssel für ein beliebiges verwaltetes macOS-Gerät mithilfe des Intune-Verschlüsselungsberichts verwalten und rotieren.
• können Administratoren den persönlichen Wiederherstellungsschlüssel nur für verwaltete macOS-Geräte anzeigen, die als unternehmenseigen gekennzeichnet sind. Sie können nicht den Wiederherstellungsschlüssel für persönliche Geräte anzeigen.
• können Benutzer ihren persönlichen Wiederherstellungsschlüssel über einen unterstützten Ort anzeigen und abrufen. Beispielsweise kann der Benutzer die Remotegeräteaktion Wiederherstellungsschlüssel abrufen über die Unternehmensportalwebsite verwenden.

Übernehmen der Verwaltung von FileVault auf zuvor verschlüsselten Geräten

Intune können die FileVault-Datenträgerverschlüsselung auf einem macOS-Gerät, das von einem Gerätebenutzer verschlüsselt wird, nur verwalten, wenn Sie die FileVault-Richtlinie über Intune anwenden. Es gibt zwei Methoden, die Sie verwenden können, um Intune die Verwaltung von FileVault in diesem Szenario zu ermöglichen:

• Hochladen eines persönlichen Wiederherstellungsschlüssels in Intune: Verwenden Sie diese Methode, wenn der Benutzer seinen persönlichen Wiederherstellungsschlüssel kennt.
• Generieren eines neuen Wiederherstellungsschlüssels auf dem Gerät durch den Benutzer: Verwenden Sie diese Methode, wenn der Benutzer den persönlichen Wiederherstellungsschlüssel nicht kennt.

Bei beiden Methoden ist es erforderlich, dass das Gerät über eine aktive Richtlinie aus Intune verfügt, die die FileVault-Verschlüsselung verwaltet. Zum Bereitstellen dieser Richtlinie können Sie ein Profil für die Endpunktsicherheit-Datenträgerverschlüsselung oder ein Profil für den Gerätekonfigurations-Endpunktschutz verwenden, um Geräte mit FileVault zu verschlüsseln.

Hochladen eines persönlichen Wiederherstellungsschlüssels

Damit Intune FileVault auf einem zuvor verschlüsselten Gerät verwalten kann, kann der Benutzer, der das Gerät verschlüsselt hat, die Unternehmensportalwebsite verwenden, um seinen aktuellen persönlichen Wiederherstellungsschlüssel für das Gerät in Intune hochzuladen. Durch Hochladen des Schlüssels kann Intune die Verwaltung der Verschlüsselung übernehmen.

Anschließend rotiert Intune den Schlüssel, um einen neuen persönlichen Wiederherstellungsschlüssel zu erstellen. Intune speichert den neuen Schlüssel für zukünftige Wiederherstellungsanforderungen und stellt ihn dem Gerätebenutzer zur Verfügung.

Voraussetzungen:

• Das verschlüsselte Gerät muss über eine Intune-FileVault-Richtlinie für die Datenträgerverschlüsselung verfügen.

  Bevor Intune die Verwaltung der Verschlüsselung eines benutzerverschlüsselten Geräts übernehmen kann, muss dieses Gerät eine Intune-FileVault-Richtlinie für die Datenträgerverschlüsselung erhalten.

  Verwenden Sie ein Profil für die Endpunktsicherheit-Datenträgerverschlüsselung oder ein Profil für den Gerätekonfigurations-Endpunktschutz, um Geräte mit FileVault zu verschlüsseln.

• Der Benutzer, der das Gerät verschlüsselt hat, muss Zugriff auf seinen persönlichen Wiederherstellungsschlüssel für das Gerät haben und angewiesen werden, dieses in Intune hochzuladen.

  Intune benachrichtigt Benutzer nicht darüber, dass sie ihre persönlichen Wiederherstellungsschlüssel zum Abschließen der Verschlüsselung hochladen müssen. Stattdessen müssen Sie Ihre üblichen IT-Kommunikationskanäle verwenden, um Benutzer zu benachrichtigen, die ihre macOS-Geräte zuvor mit FileVault verschlüsselt haben, dass sie ihre persönlichen Wiederherstellungsschlüssel in Intune hochladen müssen.

  Hinweis

  Geräte können basierend auf Ihrer Konformitätsrichtlinie am Zugriff auf Unternehmensressourcen gehindert werden, bis Intune erfolgreich die Verwaltung der FileVault-Verschlüsselung übernommen hat.

Hochladen eines persönlichen Wiederherstellungsschlüssels:

1. Nachdem das Gerät das FileVault-Profil erhalten hat, weisen Sie den Benutzer an, die Unternehmensportalwebsite zu verwenden.

2. Auf der Unternehmensportalwebsite muss der Benutzer nach seinem verschlüsselten macOS-Gerät suchen und die Option Wiederherstellungsschlüssel speichern auswählen.

3. Der Benutzer muss seinen persönlichen Wiederherstellungsschlüssel eingeben, und Intune versucht dann, den Schlüssel zu rotieren, um einen neuen Schlüssel zu generieren.

   • Wenn die Schlüsselrotation erfolgreich ist, speichert Intune den neuen Schlüssel für die zukünftige Verwendung und stellt den Schlüssel dem Benutzer zur Verfügung, falls der Benutzer sein Gerät wiederherstellen muss.
   • Wenn die Schlüsselrotation fehlschlägt, hat das Gerät entweder die FileVault-Richtlinie nicht verarbeitet oder der eingegebene Schlüssel ist für das Gerät ungültig.

4. Nach einer erfolgreichen Rotation kann der Benutzer seinen neuen persönlichen Wiederherstellungsschlüssel über einen unterstützten Ort abrufen.

Weitere Informationen finden Sie unter Hochladen des persönlichen Wiederherstellungsschlüssels.

Generieren eines neuen Wiederherstellungsschlüssels auf dem Gerät

Damit Intune FileVault auf einem zuvor verschlüsselten Gerät verwalten kann, kann der Benutzer, der das Gerät verschlüsselt hat, die Terminal-App auf dem Gerät verwenden, um seinen persönlichen Wiederherstellungsschlüssel zu rotieren. Wenn das Gerät über eine aktive FileVault-Richtlinie aus Intune verfügt, wenn der Schlüssel rotiert wird, übernimmt Intune die Verwaltung der Verschlüsselung.

Voraussetzungen:

• Das verschlüsselte Gerät muss über eine Intune-FileVault-Richtlinie für die Datenträgerverschlüsselung verfügen.

  Bevor Intune die Verwaltung der Verschlüsselung eines benutzerverschlüsselten Geräts übernehmen kann, muss dieses Gerät eine Intune-FileVault-Richtlinie für die Datenträgerverschlüsselung erhalten.

  Verwenden Sie ein Profil für die Endpunktsicherheit-Datenträgerverschlüsselung oder ein Profil für den Gerätekonfigurations-Endpunktschutz, um Geräte mit FileVault zu verschlüsseln.

• Der Gerätebenutzer muss Zugriff auf die Terminal-App auf dem verschlüsselten Gerät haben.

Verwenden Sie Terminal, um einen neuen persönlichen Wiederherstellungsschlüssel zu generieren:

1. Nachdem das Gerät das FileVault-Profil erhalten hat, muss sich der Benutzer, der das Gerät verschlüsselt hat, beim Gerät anmelden, Terminal öffnen und die folgenden beiden Befehle nacheinander ausführen:

   1. cd /Applications/Utilities

   2. sudo fdesetup changerecovery -personal

      Wenn dieser Befehl ausgeführt wird, wird der Benutzer aufgefordert, sein Gerätekennwort anzugeben. Nachdem das Kennwort angegeben wurde, rotiert das Gerät den persönlichen Wiederherstellungsschlüssel und stellt dem Benutzer den neuen persönlichen Wiederherstellungsschlüssel zur Verfügung.

      Schließen Sie nach dem Aufzeichnen des neuen Wiederherstellungsschlüssels die verbleibenden vom Befehl verursachten Eingabeaufforderungen ab.

2. Nach Abschluss der Eingabeaufforderungen wurde der persönliche Wiederherstellungsschlüssel auf dem Gerät rotiert. Wenn das Gerät die FileVault-Richtlinie erfolgreich erhalten hat, übernimmt Intune die Verwaltung der Geräteverschlüsselung, wenn das Gerät das nächste Mal bei Intune eingecheckt wird.

   Standardmäßig wird das Gerät etwa alle acht Stunden eingecheckt. Verwenden Sie eine der folgenden Optionen, um das Einchecken von Geräten zu beschleunigen:

   • Ein Intune Administrator kann sich bei Microsoft Intune Admin Center anmelden, zu Geräte wechseln, das Gerät auswählen und dann Synchronisieren auswählen. Dadurch wird das Gerät benachrichtigt, sofort mit Intune einzuchecken.
   • Der Gerätebenutzer kann die Unternehmensportal-App öffnen und zu Einstellungen>Synchronisieren wechseln. Dadurch wird das Gerät aufgefordert, sofort nach Richtlinien- oder Profilupdates zu suchen.

3. Nachdem Intune die Verwaltung der Verschlüsselung übernommen hat, kann ein Benutzer seinen neuen persönlichen Wiederherstellungsschlüssel von einem unterstützten Speicherort abrufen.

Weitere Informationen finden Sie unter Hochladen des persönlichen Wiederherstellungsschlüssels.

Abrufen eines persönlichen Wiederherstellungsschlüssels

Für macOS-Geräte mit der von Intune verwalteter FileVault-Verschlüsselung können Endbenutzer ihre persönlichen Wiederherstellungsschlüssel (FileVault-Schlüssel) mit einem beliebigen Gerät über folgende Orte abrufen:

• Unternehmensportal Website (https://portal.manage.microsoft.com/)
• Unternehmensportal-App für iOS/iPadOS
• Android-Unternehmensportal-App
• Intune-App

Administratoren können persönliche Wiederherstellungsschlüssel für verschlüsselte macOS-Geräte anzeigen, die als unternehmenseigene Geräte gekennzeichnet sind. Sie können nicht den Wiederherstellungsschlüssel für persönliche Geräte anzeigen.

Das Gerät mit dem persönlichen Wiederherstellungsschlüssel muss bei Intune registriert und über Intune mit FileVault verschlüsselt sein. Wenn ein Gerätebenutzer die iOS-Unternehmensportal-App, die Android Unternehmensportal-App, die Android Intune-App oder die Unternehmensportal-Website verwendet, kann der Benutzer den FileVault-Wiederherstellungsschlüssel sehen, der für den Zugriff auf seine Mac-Geräte erforderlich ist.

Gerätebenutzer können Geräte>verschlüsseltes und registriertes macOS-Gerät>Wiederherstellungsschlüssel abrufen auswählen. Der Browser zeigt die Web-Unternehmensportal und den Wiederherstellungsschlüssel an.

Rotieren von Wiederherstellungsschlüsseln

Intune unterstützt mehrere Optionen für das Rotieren oder Wiederherstellen von persönlichen Wiederherstellungsschlüsseln. Beispielsweise werden Schlüssel rotiert, wenn der aktuelle persönliche Schlüssel verloren geht oder als gefährdet eingestuft wird.

• Automatische Rotation: Als Administrator können Sie die FileVault-Einstellung "Rotation des persönlichen Wiederherstellungsschlüssels" so konfigurieren, dass in regelmäßigen Abständen automatisch neue Wiederherstellungsschlüssel generiert werden. Wenn ein neuer Schlüssel für ein Gerät generiert wird, wird dieser nicht dem Benutzer angezeigt. Stattdessen muss der Benutzer den Schlüssel entweder bei einem Administrator anfragen oder über die Unternehmensportal-App abrufen.

• Manuelle Rotation: Als Administrator können Sie Informationen für ein Gerät anzeigen, das Sie mit Intune verwalten und das mit FileVault verschlüsselt ist. Anschließend können Sie den Wiederherstellungsschlüssel für Unternehmensgeräte manuell rotieren. Wiederherstellungsschlüssel für persönliche Geräte können nicht rotiert werden.

  So rotieren Sie einen Wiederherstellungsschlüssel:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Klicken Sie auf Geräte>Alle Geräte.

  3. Wählen Sie aus der Geräteliste das verschlüsselte Gerät aus, für das Sie den Schlüssel rotieren möchten. Wählen Sie dann unter Überwachen die Option Wiederherstellungsschlüssel aus.

  4. Klicken Sie im Bereich „Wiederherstellungsschlüssel“ auf die Option FileVault-Wiederherstellungsschlüssel rotieren.

     Wenn das Gerät das nächste Mal bei Intune eincheckt, wird dann der persönliche Schlüssel rotiert. Falls erforderlich kann der neue Schlüssel vom Benutzer über das Unternehmensportal abgerufen werden.

Wiederherstellen von Wiederherstellungsschlüsseln

• Administrator: Administratoren können keine persönlichen Wiederherstellungsschlüssel für Geräte anzeigen, die mit FileVault verschlüsselt sind.

• Endbenutzer: Endbenutzer verwenden die Unternehmensportal Website von jedem Gerät aus, um den aktuellen persönlichen Wiederherstellungsschlüssel für jedes ihrer verwalteten Geräte anzuzeigen. Sie können keine Wiederherstellungsschlüssel aus der Unternehmensportal-App anzeigen.

  So rufen Sie einen Wiederherstellungsschlüssel ab:

  1. Melden Sie sich auf einem beliebigen Gerät bei der Intune-Unternehmensportal-Website an.

  2. Navigieren Sie im Portal zu Geräte, und wählen Sie das macOS-Gerät aus, das über FileVault verschlüsselt ist.

  3. Klicken Sie auf Wiederherstellungsschlüssel abrufen. Dann wird der aktuelle Wiederherstellungsschlüssel angezeigt.

Nächste Schritte

BitLocker-Richtlinie verwalten

Datenträgerverschlüsselung überwachen