BitLocker-Verwaltung

Die ideale Lösung für die BitLocker-Verwaltung besteht darin, dass IT-Administratoren keine Verwaltungsrichtlinien mit Tools oder anderen Mechanismen festlegen müssen, indem Windows Aufgaben ausführt, die praktischer zu automatisieren sind. Diese Vision nutzt moderne Entwicklungen im Bereich Hardware. Das Wachstum von TPM 2.0, sicherer Start und andere Hardwareverbesserungen haben beispielsweise dazu beigetragen, den Supportaufwand für Helpdesks zu verringern und die Anzahl der Supportanrufe zu verringern und die Benutzerzufriedenheit zu verbessern. Windows steht weiterhin im Fokus neuer Features und Verbesserungen für die integrierte Verschlüsselungsverwaltung, z. B. die automatische Aktivierung der Verschlüsselung auf Geräten, die modern Standby unterstützen, beginnend mit Windows 8.1.

Obwohl viele Windows BitLocker-Dokumentationen veröffentlicht wurden, fragen Kunden häufig nach Empfehlungen und Hinweisen auf eine spezifische, aufgabenorientierte Dokumentation, die sowohl einfach zu verdauen ist als auch sich auf die Bereitstellung und Verwaltung von BitLocker konzentriert. Dieser Artikel enthält Links zu relevanten Dokumentationen, Produkten und Diensten, um diese und andere verwandte häufig gestellte Fragen zu beantworten, und enthält auch BitLocker-Empfehlungen für verschiedene Computertypen.

Windows-Edition und Lizenzierungsanforderungen

In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die die BitLocker-Verwaltung unterstützen:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Ja Ja Ja Ja

BitLocker-Verwaltungslizenzberechtigungen werden von den folgenden Lizenzen gewährt:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Nein Ja Ja Ja Ja

Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.

Verwalten von in die Domäne eingebundenen Computern und Wechseln in die Cloud

Unternehmen, die ihre eigenen Computer mit Configuration Manager abbilden, können eine vorhandene Tasksequenz verwenden, um die BitLocker-Verschlüsselung in Windows Preinstallation Environment (WinPE) vorab bereitzustellen und dann den Schutz zu aktivieren. Diese Schritte während einer Betriebssystembereitstellung können sicherstellen, dass Computer von Anfang an verschlüsselt werden, noch bevor Benutzer sie erhalten. Im Rahmen des Imageerstellungsprozesses kann ein Unternehmen auch entscheiden, Configuration Manager zu verwenden, um alle gewünschten BitLocker-Gruppenrichtlinie vorab festzulegen.

Unternehmen können Microsoft BitLocker Administration and Monitoring (MBAM) verwenden, um Clientcomputer mit BitLocker zu verwalten, die lokal in die Domäne eingebunden sind, bis der mainstream-Support im Juli 2019 endet , oder sie können erweiterten Support bis April 2026 erhalten. Daher wird eine gute Strategie für Unternehmen in den nächsten Jahren die Planung und Umstellung auf die cloudbasierte Verwaltung für BitLocker sein. Informationen zum Speichern von Wiederherstellungsschlüsseln in Azure Active Directory (Azure AD) finden Sie in den PowerShell-Beispielen .

Wichtig

Die Funktionen von Microsoft BitLocker Administration and Monitoring (MBAM) werden über Configuration Manager BitLocker-Verwaltung angeboten. Weitere Informationen finden Sie unter Planen der BitLocker-Verwaltung in der Configuration Manager-Dokumentation.

Verwalten von Geräten, die in Azure Active Directory eingebunden sind

In Azure AD eingebundene Geräte werden mithilfe einer MDM-Richtlinie (Mobile Geräteverwaltung) aus einer MDM-Lösung wie Microsoft Intune verwaltet. Vor Windows 10, Version 1809 können nur lokale Administratoren BitLocker über Intune Richtlinie aktivieren. Ab Windows 10, Version 1809 können Intune BitLocker für Standardbenutzer aktivieren. BitLocker Device Encryption status kann von verwalteten Computern über den Richtlinienkonfigurationseinstellungsanbieter (Policy Configuration Settings Provider, CSP) abgefragt werden, der meldet, ob die BitLocker-Geräteverschlüsselung auf dem Gerät aktiviert ist. Die Kompatibilität mit der Richtlinie für die BitLocker-Geräteverschlüsselung kann eine Voraussetzung für den bedingten Zugriff auf Dienste wie Exchange Online und SharePoint Online sein.

Ab Windows 10 Version 1703 kann die Aktivierung von BitLocker über MDM entweder durch den Richtlinien-CSP oder den BitLocker-CSP ausgelöst werden. Der BitLocker-CSP fügt Richtlinienoptionen hinzu, die über die Sicherstellung der Verschlüsselung hinausgehen, und ist auf Computern verfügbar, auf denen Windows 11, Windows 10 und auf Windows-Smartphones ausgeführt wird.

Bei Hardware, die mit modernem Standby und HSTI kompatibel ist, wird bei Verwendung einer dieser Features die BitLocker-Geräteverschlüsselung automatisch aktiviert, wenn der Benutzer ein Gerät mit Azure AD verknüpft. Azure AD bietet ein Portal, in dem auch Wiederherstellungsschlüssel gesichert werden, sodass Benutzer bei Bedarf ihren eigenen Wiederherstellungsschlüssel für Self-Service abrufen können. Bei älteren Geräten, die noch nicht verschlüsselt sind, können Administratoren ab Windows 10 Version 1703 den BitLocker-CSP verwenden, um die Verschlüsselung auszulösen und den Wiederherstellungsschlüssel in Azure AD zu speichern. Dieser Prozess und dieses Feature gelten auch für Azure Hybrid AD.

Verwalten von in den Arbeitsplatz eingebundenen PCs und Smartphones

Für Windows-PCs und Windows Phones, die über eine Verbindung mit einem Geschäfts-, Schul- oder Unikonto registriert sind, wird die BitLocker-Geräteverschlüsselung über MDM verwaltet, genau wie geräte, die mit Azure AD verbunden sind.

Verwalten von Servern

Server werden häufig mithilfe von PowerShell installiert, konfiguriert und bereitgestellt. Daher wird empfohlen, auch PowerShell zu verwenden, um BitLocker auf einem Server zu aktivieren, idealerweise als Teil der ersteinrichtung. BitLocker ist eine optionale Komponente (OC) in Windows Server. Befolgen Sie daher die Anweisungen unter BitLocker: Bereitstellen unter Windows Server 2012 und höher , um bitLocker OC hinzuzufügen.

Die minimale Serverschnittstelle ist eine Voraussetzung für einige BitLocker-Verwaltungstools. Bei einer Server Core-Installation müssen zuerst die erforderlichen GUI-Komponenten hinzugefügt werden. Die Schritte zum Hinzufügen von Shellkomponenten zu Server Core werden in Verwenden von bedarfsbasierten Features mit aktualisierten Systemen und gepatchten Images und Aktualisieren von lokalen Quellmedien, um Rollen und Features hinzuzufügen beschrieben.

Wenn ein Server manuell installiert wird, z. B. ein eigenständiger Server, ist die Auswahl von Server mit Desktopdarstellung der einfachste Pfad, da die Schritte zum Hinzufügen einer GUI zu Server Core vermieden werden.

Darüber hinaus können Light-Out-Rechenzentren die erhöhte Sicherheit eines zweiten Faktors nutzen und gleichzeitig den Benutzereingriff bei Neustarts vermeiden, indem sie optional eine Kombination aus BitLocker (TPM+PIN) und BitLocker-Netzwerkentsperrung verwenden. Die BitLocker-Netzwerkentsperrung vereint die besten Merkmale von Hardwareschutz, Standortabhängigkeit und automatischer Entsperrung, während sie sich am vertrauenswürdigen Speicherort befindet. Weitere Informationen zu den Konfigurationsschritten finden Sie unter BitLocker: Aktivieren der Netzwerkentsperrung. Weitere Informationen finden Sie im Artikel Häufig gestellte Fragen zu BitLocker und weitere nützliche Links in Verwandten Artikeln.

PowerShell-Beispiele

Für in Azure AD eingebundene Computer, einschließlich virtueller Computer, sollte das Wiederherstellungskennwort in Azure AD gespeichert werden.

Beispiel: Verwenden von PowerShell zum Hinzufügen eines Wiederherstellungskennworts und Sichern in Azure AD vor dem Aktivieren von BitLocker

Add-BitLockerKeyProtector -MountPoint "C:" -RecoveryPasswordProtector

$BLV = Get-BitLockerVolume -MountPoint "C:"

BackupToAAD-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $BLV.KeyProtector[0].KeyProtectorId

Für Computer einschließlich Servern, die einer Domäne beigetreten sind, sollte das Kennwort für die Wiederherstellung in Active Directory Domain Services (AD DS) gespeichert werden.

Beispiel: Verwenden von PowerShell zum Hinzufügen eines Wiederherstellungskennworts und Sichern in AD DS vor dem Aktivieren von BitLocker

Add-BitLockerKeyProtector -MountPoint "C:" -RecoveryPasswordProtector

$BLV = Get-BitLockerVolume -MountPoint "C:"

Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $BLV.KeyProtector[0].KeyProtectorId

PowerShell kann dann verwendet werden, um BitLocker zu aktivieren:

Beispiel: Verwenden von PowerShell zum Aktivieren von BitLocker mit einer TPM-Schutzvorrichtung

Enable-BitLocker -MountPoint "D:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector

Beispiel: Verwenden Sie PowerShell, um BitLocker mit einer TPM+PIN-Schutzvorrichtung zu aktivieren. In diesem Fall ist eine PIN auf 123456

$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force

Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

Windows Server-Einrichtungstools

PowerShell