Übersicht über die BitLocker-Geräteverschlüsselung in Windows

  • Artikel
  • 13 Minuten Lesedauer

Gilt für:

  • Windows 10
  • Windows 11
  • Windows Server 2016 und höher

In diesem Artikel wird erläutert, wie die BitLocker-Geräteverschlüsselung daten auf Geräten unter Windows schützen kann. Eine allgemeine Übersicht und eine Liste der Artikel finden Sie unter BitLocker .

Wenn Benutzer reisen, werden die vertraulichen Daten ihrer Organisation mit ihnen übertragen. Wenn vertrauliche Daten gespeichert werden, müssen sie vor unbefugtem Zugriff geschützt werden. Windows stellt bereits seit langem Lösungen zum Schutz von gespeicherten Daten bereit, die Schutz vor böswilligen Angriffen bieten; den Anfang stellte das verschlüsselnde Dateisystem (EFS) unter Windows 2000 dar. In jüngster Zeit hat BitLocker Verschlüsselung für vollständige Laufwerke und tragbare Laufwerke bereitgestellt. Windows verbessert den Datenschutz kontinuierlich, indem vorhandene Optionen verbessert und neue Strategien bereitgestellt werden.

Datenschutz in Windows 11, Windows 10 und Windows 7

In der folgenden Tabelle sind bestimmte Datenschutzaspekte und deren Umgang mit Windows 11, Windows 10 und Windows 7 aufgeführt.

Windows 7 Windows 11 und Windows 10
Wenn BitLocker mit einer PIN verwendet wird, um den Start zu schützen, können PCs wie Kioske nicht remote neu gestartet werden. Moderne Windows-Geräte werden zunehmend mit der vorkonsehfähigen BitLocker-Geräteverschlüsselung geschützt und unterstützen SSO, um die BitLocker-Verschlüsselungsschlüssel nahtlos vor Kaltstartangriffen zu schützen.

Die Netzwerkentsperrung ermöglicht das automatische Starten von PCs, wenn diese mit dem internen Netzwerk verbunden sind.
Wenn BitLocker aktiviert ist, kann der Bereitstellungsprozess mehrere Stunden dauern. Die Vorabbereitstellung von BitLocker, das Verschlüsseln von Festplatten und die auf den verwendeten Speicherplatz begrenzte Verschlüsselung ermöglichen Administratoren das schnelle Aktivieren von BitLocker auf neuen Computern.
Die Verwendung von BitLocker mit selbstverschlüsselten Laufwerken (SEDs) wird nicht unterstützt. BitLocker unterstützt das Auslagern von Verschlüsselungsvorgängen an verschlüsselte Festplatten.
Administratoren müssen separate Tools zum Verwalten von verschlüsselten Festplatten verwenden. BitLocker unterstützt verschlüsselte Festplatten mit integrierter Verschlüsselungshardware, sodass Administratoren sie mithilfe der bekannten BitLocker-Verwaltungstools verwalten können.
Das Verschlüsseln eines neuen Flashlaufwerks kann länger als 20 Minuten dauern. Die Verschlüsselung mit nur verwendetem Speicherplatz in BitLocker To Go ermöglicht Benutzern, Wechseldatenträger in Sekundenschnelle zu verschlüsseln.
BitLocker kann Benutzer zur Eingabe eines Wiederherstellungsschlüssels auffordern, wenn die Systemkonfiguration geändert wird. BitLocker erfordert, dass der Benutzer nur dann einen Wiederherstellungsschlüssel eingibt, wenn datenträgerbeschädigungen auftreten oder wenn die PIN oder das Kennwort verloren geht.
Benutzer müssen zum Starten des PCs eine PIN und dann ihr Kennwort zum Anmelden bei Windows eingeben. Moderne Windows-Geräte werden zunehmend mit vorkonsehierter BitLocker-Geräteverschlüsselung geschützt und unterstützen SSO, um die BitLocker-Verschlüsselungsschlüssel vor Kaltstartangriffen zu schützen.

Vorbereitung der Laufwerk- und Dateiverschlüsselung

Die beste Art von Sicherheitsmaßnahmen ist für den Benutzer während der Implementierung und Verwendung transparent. Jedes Mal, wenn es aufgrund eines Sicherheitsfeatures zu einer möglichen Verzögerung oder Schwierigkeit kommt, besteht eine hohe Wahrscheinlichkeit, dass Benutzer versuchen, die Sicherheit zu umgehen. Dies gilt insbesondere für den Datenschutz, und dies ist ein Szenario, das Organisationen vermeiden müssen. Ganz gleich, ob ganze Volumes, Wechselmedien oder einzelne Dateien verschlüsselt werden sollen, Windows 11 und Windows 10 diese Anforderungen erfüllen, indem optimierte, verwendbare Lösungen bereitgestellt werden. Im Voraus können mehrere Schritte ausgeführt werden, um die Datenverschlüsselung vorzubereiten und die Bereitstellung schnell und reibungslos zu gestalten.

Vorabbereitstellung von TPM

In Windows 7 bot die Vorbereitung des TPM einige Herausforderungen:

  • Aktivieren sie das TPM, das in die BIOS- oder UEFI-Firmware des Geräts wechseln muss. Zum Aktivieren des TPM auf dem Gerät muss jemand entweder physisch in die BIOS- oder UEFI-Firmwareeinstellungen des Geräts wechseln, um das TPM zu aktivieren, oder einen Treiber in Windows installieren, um das TPM von Windows aus zu aktivieren.
  • Wenn das TPM aktiviert ist, ist möglicherweise ein oder mehrere Neustarts erforderlich.

Dies machte die Vorbereitung des TPM in Windows 7 problematisch. Wenn IT-Mitarbeiter neue PCs bereitstellen, können sie die erforderlichen Schritte zum Vorbereiten eines TPM ausführen. Wenn BitLocker jedoch auf Geräten aktiviert werden muss, die sich bereits in den Händen der Benutzer befinden, würden diese Benutzer wahrscheinlich mit den technischen Herausforderungen kämpfen. Der Benutzer würde sich dann entweder an die IT wenden, um Support zu erbitten oder BitLocker deaktiviert zu lassen.

Microsoft umfasst die Instrumentierung in Windows 11 und Windows 10, die es dem Betriebssystem ermöglichen, das TPM vollständig zu verwalten. Es ist nicht erforderlich, ins BIOS zu wechseln, und alle Szenarien, die einen Neustart erforderten, wurden entfernt.

Bereitstellung von Festplattenverschlüsselung

BitLocker kann gesamte Festplatten verschlüsseln, darunter System- sowie Datenlaufwerke. Die Vorabbereitstellung von BitLocker kann die benötigte Zeit für die Bereitstellung neuer PCs mit BitLocker-Aktivierung erheblich reduzieren. Mit Windows 11 und Windows 10 können Administratoren BitLocker und das TPM aus der Windows-Vorinstallationsumgebung oder als Teil einer Tasksequenz für die automatisierte Bereitstellung ohne Benutzerinteraktion aktivieren. In Kombination mit der Verschlüsselung "Nur verwendeter Speicherplatz" und einem größtenteils leeren Laufwerk (da Windows noch nicht installiert ist) dauert es nur wenige Sekunden, bis BitLocker aktiviert ist.

In früheren Versionen von Windows mussten Administratoren BitLocker nach der Installation von Windows aktivieren. Obwohl dieser Prozess automatisiert werden könnte, müsste BitLocker das gesamte Laufwerk verschlüsseln. Dies ist ein Prozess, der je nach Laufwerkgröße und -leistung zwischen mehreren Stunden und mehr als einem Tag dauern kann, was die Bereitstellung verzögert. Microsoft hat diesen Prozess durch mehrere Features in Windows 11 und Windows 10 verbessert.

BitLocker-Geräteverschlüsselung

Ab Windows 8.1 aktiviert Windows die BitLocker-Geräteverschlüsselung automatisch auf Geräten, die modern Standby unterstützen. Mit Windows 11 und Windows 10 bietet Microsoft Unterstützung für die BitLocker-Geräteverschlüsselung auf einer viel breiteren Palette von Geräten, einschließlich Geräten mit modernem Standbymodus und Geräten, auf denen die Home Edition von Windows 10 oder Windows 11 ausgeführt wird.

Microsoft erwartet, dass die meisten Geräte in Zukunft die Anforderungen für die BitLocker-Geräteverschlüsselung erfüllen, die die BitLocker-Geräteverschlüsselung auf modernen Windows-Geräten allgegenwärtig machen. Die BitLocker-Geräteverschlüsselung schützt das System durch transparente Implementierung der geräteweiten Datenverschlüsselung.

Im Gegensatz zu einer Standardmäßigen BitLocker-Implementierung wird die BitLocker-Geräteverschlüsselung automatisch aktiviert, sodass das Gerät immer geschützt ist. In der folgenden Liste wird beschrieben, wie die BitLocker-Geräteverschlüsselung automatisch aktiviert wird:

  • Wenn eine Neuinstallation von Windows 11 oder Windows 10 abgeschlossen ist und die sofort einsatzbereite Benutzeroberfläche abgeschlossen ist, wird der Computer für die erste Verwendung vorbereitet. Im Rahmen dieser Vorbereitung wird die BitLocker-Geräteverschlüsselung auf dem Betriebssystemlaufwerk und festplattenfesten Datenlaufwerken auf dem Computer mit einem eindeutigen Schlüssel initialisiert, der dem standardmäßigen Angehaltenen BitLocker-Zustand entspricht. In diesem Zustand wird das Laufwerk mit einem Warnsymbol im Windows-Explorer angezeigt. Das gelbe Warnsymbol wird entfernt, nachdem die TPM-Schutzvorrichtung erstellt und der Wiederherstellungsschlüssel gesichert wurde, wie in den folgenden Aufzählungspunkten erläutert.

  • Wenn das Gerät nicht in die Domäne eingebunden ist, ist ein Microsoft Konto erforderlich, dem Administratorrechte auf dem Gerät gewährt wurden. Wenn der Administrator ein Microsoft-Konto zur Anmeldung verwendet, wird der unverschlüsselte Schlüssel entfernt, ein Wiederherstellungsschlüssel wird in das Microsoft-Onlinekonto hochgeladen, und eine TPM-Schutzvorrichtung wird erstellt. Wenn ein Gerät den Wiederherstellungsschlüssel benötigt, wird der Benutzer angeleitet, ein alternatives Gerät zu verwenden und zu einer Wiederherstellungsschlüssel-Zugriffs-URL zu navigieren, um den Wiederherstellungsschlüssel mithilfe seiner anmeldeinformationen für das Microsoft-Konto abzurufen.

  • Wenn der Benutzer ein Domänenkonto für die Anmeldung verwendet, wird der eindeutige Schlüssel erst entfernt, wenn der Benutzer das Gerät mit einer Domäne verknüpft und der Wiederherstellungsschlüssel erfolgreich in Active Directory Domain Services (AD DS) gesichert wurde. Die folgenden Gruppenrichtlinie Einstellungen müssen aktiviert sein, damit der Wiederherstellungsschlüssel in AD DS gesichert wird:

    Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke>Aktivieren Sie BitLocker erst, wenn Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert sind.

    Mit dieser Konfiguration wird das Wiederherstellungskennwort automatisch erstellt, wenn der Computer der Domäne beitritt, und anschließend wird der Wiederherstellungsschlüssel in AD DS gesichert, die TPM-Schutzvorrichtung wird erstellt, und der unverschlüsselte Schlüssel wird entfernt.

  • Ähnlich wie bei der Anmeldung mit einem Domänenkonto wird der eindeutige Schlüssel entfernt, wenn sich der Benutzer bei einem Azure AD-Konto auf dem Gerät anmeldet. Wie im vorhergehenden Punkt beschrieben, wird das Wiederherstellungskennwort automatisch erstellt, wenn der Benutzer sich bei Azure AD authentifiziert. Anschließend wird der Wiederherstellungsschlüssel in Azure AD gesichert, die TPM-Schutzvorrichtung wird erstellt, und der unverschlüsselte Schlüssel wird entfernt.

Microsoft empfiehlt die automatische Aktivierung der BitLocker-Geräteverschlüsselung auf allen Systemen, die sie unterstützen. Der automatische BitLocker-Geräteverschlüsselungsprozess kann jedoch durch Ändern der folgenden Registrierungseinstellung verhindert werden:

  • Unterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
  • Typ: REG_DWORD
  • Wert: PreventDeviceEncryption gleich 1 (True)

Administratoren können in die Domäne eingebundene Geräte verwalten, für die die BitLocker-Geräteverschlüsselung über Microsoft BitLocker Administration and Monitoring (MBAM) aktiviert ist. In diesem Fall stellt die BitLocker-Geräteverschlüsselung automatisch zusätzliche BitLocker-Optionen zur Verfügung. Eine Konvertierung oder Verschlüsselung ist nicht erforderlich, und MBAM kann den gesamten BitLocker-Richtliniensatz verwalten, wenn Konfigurationsänderungen erforderlich sind.

Hinweis

Die BitLocker-Geräteverschlüsselung verwendet die 128-Bit-Verschlüsselungsmethode XTS-AES. Wenn eine andere Verschlüsselungsmethode und/oder Verschlüsselungsstärke erforderlich ist, das Gerät aber bereits verschlüsselt ist, muss es zuerst entschlüsselt werden, bevor die neue Verschlüsselungsmethode und/oder Verschlüsselungsstärke angewendet werden kann. Nachdem das Gerät entschlüsselt wurde, können verschiedene BitLocker-Einstellungen angewendet werden.

Verschlüsselungsoption „Nur verwendeten Speicherplatz verschlüsseln“

BitLocker in früheren Windows-Versionen konnte lange dauern, um ein Laufwerk zu verschlüsseln, da es jedes Byte auf dem Volume verschlüsselt hat, einschließlich Der Bereiche, die keine Daten enthalten. Das Verschlüsseln jedes Byte auf dem Volume einschließlich der Bereiche ohne Daten wird als vollständige Datenträgerverschlüsselung bezeichnet. Die vollständige Datenträgerverschlüsselung ist immer noch die sicherste Methode zum Verschlüsseln eines Laufwerks, insbesondere wenn ein Laufwerk zuvor vertrauliche Daten enthielt, die seitdem verschoben oder gelöscht wurden. Wenn ein Laufwerk zuvor vertrauliche Daten enthielt, die verschoben oder gelöscht wurden, könnten Ablaufverfolgungen der vertraulichen Daten auf als nicht verwendet markierten Teilen des Laufwerks verbleiben.

Um die Verschlüsselungszeit zu verkürzen, ermöglicht BitLocker in Windows 11 und Windows 10 Benutzern die Wahl, nur die Bereiche des Datenträgers zu verschlüsseln, die Daten enthalten. Bereiche des Datenträgers, die keine Daten enthalten und leer sind, werden nicht verschlüsselt. Alle neuen Daten werden beim Erstellen verschlüsselt. Abhängig von der Datenmenge auf dem Laufwerk kann diese Option die anfängliche Verschlüsselungszeit um mehr als 99 Prozent reduzieren.

Seien Sie vorsichtig, wenn Sie nur verwendeten Speicherplatz auf einem vorhandenen Volume verschlüsseln, auf dem vertrauliche Daten möglicherweise bereits unverschlüsselt gespeichert wurden. Bei Verwendung der Verschlüsselung von verwendetem Speicherplatz können Sektoren, in denen zuvor unverschlüsselte Daten gespeichert sind, mithilfe von Datenträgerwiederherstellungstools wiederhergestellt werden, bis sie von neuen verschlüsselten Daten überschrieben werden. Im Gegensatz dazu kann das Verschlüsseln von nur genutztem Speicherplatz auf einem brandneuen Volume die Bereitstellungszeit ohne sicherheitsrelevantes Risiko erheblich verkürzen, da alle neuen Daten verschlüsselt werden, wenn sie auf den Datenträger geschrieben werden.

Unterstützung für verschlüsselte Festplatten

SEDs sind seit Jahren verfügbar, aber Microsoft konnten ihre Verwendung mit einigen früheren Versionen von Windows nicht unterstützen, da den Laufwerken wichtige Wichtige Verwaltungsfunktionen fehlten. Microsoft hat mit Speicherhersteller an einer Verbesserung der Hardwarefunktionen zusammengearbeitet, und BitLocker unterstützt jetzt die nächste Generation von SEDs, die als verschlüsselte Festplatten bezeichnet werden.

Verschlüsselte Festplatten bieten integrierte kryptografische Funktionen zum Verschlüsseln von Daten auf Laufwerken. Dieses Feature verbessert sowohl die Laufwerks- als auch die Systemleistung, indem kryptografische Berechnungen vom Prozessor des PCs auf das Laufwerk selbst ausgelagert werden. Daten werden mithilfe dedizierter, speziell entwickelter Hardware schnell vom Laufwerk verschlüsselt. Wenn Sie planen, die Verschlüsselung mit Windows 11 oder Windows 10 zu verwenden, empfiehlt Microsoft, Festplattenhersteller und -modelle zu untersuchen, um festzustellen, ob ihre verschlüsselten Festplatten die Sicherheits- und Budgetanforderungen erfüllen.

Weitere Informationen zu verschlüsselten Festplatten finden Sie unter Verschlüsselte Festplatte.

Schutz von Informationen vor dem Start

Bei einer effektiven Implementierung des Informationsschutzes, wie bei den meisten Sicherheitskontrollen, werden Benutzerfreundlichkeit und Sicherheit berücksichtigt. Benutzer bevorzugen in der Regel eine einfache Sicherheitsumgebung. Je transparenter eine Sicherheitslösung ist, desto höher ist die Wahrscheinlichkeit, dass Benutzer sich danach richten.

Es ist wichtig, dass Organisationen Informationen auf ihren PCs schützen, unabhängig vom Zustand des Computers oder der Absicht der Benutzer. Dieser Schutz sollte für Benutzer nicht umständlich sein. Eine unerwünschte und bisher gängige Situation ist, wenn der Benutzer während des Vorabstarts und dann erneut während der Windows-Anmeldung zur Eingabe aufgefordert wird. Das mehrfache Auffordern von Benutzern zu einer Eingabe sollte vermieden werden.

Windows 11 und Windows 10 können eine echte SSO-Erfahrung aus der Preboot-Umgebung auf modernen Geräten und in einigen Fällen sogar auf älteren Geräten ermöglichen, wenn robuste Konfigurationen für den Informationsschutz vorhanden sind. Das isolierte TPM kann den gespeicherten BitLocker-Verschlüsselungsschlüssel sicher schützen und das Betriebssystemlaufwerk sicher entsperren. Wenn der Schlüssel verwendet wird und sich somit im Speicher befindet, kann er durch eine Kombination aus Hardware und Windows-Funktionen gesichert und der unbefugte Zugriff durch Kaltstartangriffe verhindert werden. Obwohl andere Gegenmaßnahmen wie pinbasiertes Entsperren verfügbar sind, sind sie nicht so benutzerfreundlich. Je nach Konfiguration der Geräte bieten sie möglicherweise keine zusätzliche Sicherheit beim Schlüsselschutz. Weitere Informationen finden Sie unter BitLocker Countermeasures.

Verwalten von Kennwörtern und PINs

Wenn BitLocker auf einem Systemlaufwerk aktiviert ist und der PC über ein TPM verfügt, können Benutzer eine PIN eingeben müssen, bevor BitLocker das Laufwerk entsperrt. Eine solche PIN-Anforderung kann verhindern, dass ein Angreifer, der physischen Zugriff auf einen PC hat, überhaupt zur Windows-Anmeldung gelangen, was es dem Angreifer fast unmöglich macht, auf Benutzerdaten und Systemdateien zuzugreifen oder diese zu ändern.

Die Anforderung einer PIN beim Start ist ein nützliches Sicherheitsfeature, da sie als zweiter Authentifizierungsfaktor fungiert. Diese Konfiguration ist jedoch mit einigen Kosten verbunden. Einer der wichtigsten Kosten ist die Notwendigkeit, die PIN regelmäßig zu ändern. In Unternehmen, die BitLocker mit Windows 7 und Windows Vista verwendet haben, mussten sich Benutzer an Systemadministratoren wenden, um die BitLocker-PIN oder das Kennwort zu aktualisieren. Diese Anforderung erhöhte nicht nur die Verwaltungskosten, sondern machte benutzer weniger bereit, ihre BitLocker-PIN oder ihr Kennwort regelmäßig zu ändern.

Windows 11- und Windows 10-Benutzer können ihre BitLocker-PINs und -Kennwörter selbst ohne Administratoranmeldeinformationen aktualisieren. Diese Funktion senkt die Supportkosten und kann auch die Sicherheit verbessern, da Benutzer häufiger zum Ändern ihrer PINs und Kennwörter aufgefordert werden. Darüber hinaus benötigen Modern Standby-Geräte keine PIN für den Start: Sie sind so konzipiert, dass sie nur selten gestartet werden und verfügen über andere Maßnahmen, die die Angriffsfläche des Systems weiter verringern.

Weitere Informationen zur Funktionsweise der Startsicherheit und zu den Gegenmaßnahmen, die Windows 11 und Windows 10 bereitstellen, finden Sie unter Schützen von BitLocker vor Pre-Boot-Angriffen.

Konfigurieren der Netzwerkentsperrung

Einige Organisationen haben standortspezifische Datensicherheitsanforderungen. Standortspezifische Datensicherheitsanforderungen gelten am häufigsten in Umgebungen, in denen hochwertige Daten auf PCs gespeichert werden. Die Netzwerkumgebung bietet möglicherweise einen wichtigen Datenschutz und erzwingt die obligatorische Authentifizierung. Daher gibt die Richtlinie an, dass diese PCs das Gebäude nicht verlassen oder vom Unternehmensnetzwerk getrennt werden dürfen. Sicherheitsmaßnahmen wie physische Sicherheitsschlösser und Geofence können als reaktive Kontrollelemente zur Durchsetzung dieser Richtlinie beitragen. Über diese Schutzmaßnahmen hinaus ist eine proaktive Sicherheitskontrolle erforderlich, die nur dann Datenzugriff gewährt, wenn der PC mit dem Unternehmensnetzwerk verbunden ist.

Die Netzwerkentsperrung ermöglicht das automatische Starten von PCs mit BitLocker-Schutz, wenn diese mit einem verkabelten Unternehmensnetzwerk verbunden sind, in dem Windows-Bereitstellungsdienste ausgeführt werden. Wenn der PC nicht mit dem Unternehmensnetzwerk verbunden ist, muss ein Benutzer eine PIN eingeben, um das Laufwerk zu entsperren (wenn die PIN-basierte Entsperrung aktiviert ist). Die Netzwerkentsperrung erfordert die folgende Infrastruktur:

  • Client-PCs mit UEFI (Unified Extensible Firmware Interface (UEFI) Firmware-Version 2.3.1 oder höher, die das Dynamic Host Configuration-Protokoll (DHCP) unterstützen

  • Ein Server, auf dem mindestens Windows Server 2012 mit der Rolle Windows-Bereitstellungsdienste (WINDOWS Deployment Services, WDS) ausgeführt wird

  • Ein Server, auf dem die DHCP-Serverrolle installiert ist

Weitere Informationen zum Konfigurieren der Funktion zum Entsperren von Netzwerken finden Sie unter BitLocker: Aktivieren der Netzwerkentsperrung.

Microsoft BitLocker-Verwaltung und -Überwachung

Als Teil des Microsoft Desktop Optimization Pack erleichtert Microsoft BitLocker Administration and Monitoring (MBAM) die Verwaltung und Unterstützung von BitLocker und BitLocker To Go. MBAM 2.5 mit Service Pack 1 (aktuelle Version) weist folgende wichtige Features auf:

  • Administratoren können die Verschlüsselung von Volumes auf Clientcomputern unternehmensweit automatisieren.

  • Sicherheitsbeauftragte können den Kompatibilitätszustand einzelner Computer oder sogar des ganzen Unternehmens schnell ermitteln.

  • Bietet zentralisierte Berichterstellung und Hardwareverwaltung mit Microsoft Configuration Manager.

  • Die Arbeitsbelastung des Helpdesk wird verringert, da Endbenutzer seltener Unterstützung bei BitLocker-Wiederherstellungsanforderungen benötigen.

  • Endbenutzer können verschlüsselte Geräte mithilfe des Self-Service-Portals eigenständig wiederherstellen.

  • Sicherheitsbeauftragte können problemlos den Zugriff auf Informationen zu Wiederherstellungsschlüsseln überwachen.

  • Windows Enterprise-Benutzer können standortunabhängig arbeiten und sich dabei darauf verlassen, dass ihre Unternehmensdaten geschützt sind.

  • Erzwingt die BitLocker-Verschlüsselungsrichtlinienoptionen, die für das Unternehmen festgelegt sind.

  • Lässt sich in vorhandene Verwaltungstools wie Microsoft Configuration Manager integrieren.

  • Die Benutzeroberfläche für die Wiederherstellung kann von der IT angepasst werden.

  • Unterstützt Windows 11 und Windows 10.

Wichtig

Unternehmen könnten MBAM verwenden, um Clientcomputer mit BitLocker zu verwalten, die lokal in die Domäne eingebunden sind, bis der mainstream-Support im Juli 2019 endete, oder sie könnten erweiterten Support bis April 2026 erhalten.

In Zukunft wird die Funktionalität von MBAM in Configuration Manager integriert. Weitere Informationen finden Sie unter Planen der BitLocker-Verwaltung.

Unternehmen, die keine Configuration Manager verwenden, können die integrierten Features von Azure AD und Microsoft Intune für die Verwaltung und Überwachung verwenden. Weitere Informationen finden Sie unter Überwachen der Geräteverschlüsselung mit Intune.