Planen der BitLocker-Verwaltung
Gilt für: Configuration Manager (Current Branch)
Verwenden Sie Configuration Manager, um die BitLocker-Laufwerkverschlüsselung (BitLocker Drive Encryption, BDE) für lokale Windows-Clients zu verwalten, die mit Active Directory verknüpft sind. Es bietet eine vollständige BitLocker-Lebenszyklusverwaltung, die die Verwendung von Microsoft BitLocker Administration and Monitoring (MBAM) ersetzen kann.
Hinweis
Configuration Manager aktiviert dieses optionale Feature nicht standardmäßig. Sie müssen dieses Feature aktivieren, bevor Sie es verwenden können. Weitere Informationen finden Sie unter Aktivieren optionaler Features von Updates.
Weitere allgemeine Informationen zu BitLocker finden Sie unter Übersicht über BitLocker. Einen Vergleich der BitLocker-Bereitstellungen und -Anforderungen finden Sie im Vergleichsdiagramm für die BitLocker-Bereitstellung.
Tipp
Um die Verschlüsselung auf gemeinsam verwalteten Windows 10 oder höheren Geräten mithilfe des Microsoft Intune Clouddiensts zu verwalten, stellen Sie die Endpoint Protection-Workload auf Intune um. Weitere Informationen zur Verwendung von Intune finden Sie unter Windows-Verschlüsselung.
Features
Configuration Manager bietet die folgenden Verwaltungsfunktionen für die BitLocker-Laufwerkverschlüsselung:
Clientbereitstellung
Stellen Sie den BitLocker-Client auf verwalteten Windows-Geräten bereit, auf denen Windows 8.1, Windows 10 oder Windows 11 ausgeführt wird.
Verwalten von BitLocker-Richtlinien und Wiederherstellungsschlüsseln für lokale und internetbasierte Clients
Verwalten von Verschlüsselungsrichtlinien
Beispiel: Wählen Sie Laufwerkverschlüsselung und Verschlüsselungsstärke aus, konfigurieren Sie die Benutzerausnahmerichtlinie und die Verschlüsselungseinstellungen für Festplattenlaufwerke.
Bestimmen Sie die Algorithmen, mit denen das Gerät verschlüsselt werden soll, und die Datenträger, auf die Sie für die Verschlüsselung abzielen.
Erzwingen, dass Benutzer mit neuen Sicherheitsrichtlinien konform werden, bevor sie das Gerät verwenden.
Passen Sie das Sicherheitsprofil Ihrer organization auf Gerätebasis an.
Wenn ein Benutzer das Betriebssystemlaufwerk entsperrt, geben Sie an, ob nur ein Betriebssystemlaufwerk oder alle angeschlossenen Laufwerke entsperrt werden sollen.
Complianceberichte
Integrierte Berichte für:
- Verschlüsselung status pro Volume oder Pro Gerät
- Der primäre Benutzer des Geräts
- Compliance-Status
- Gründe für Nichtkonformität
Verwaltungs- und -Überwachungswebsite
Erlauben Sie anderen Personas in Ihrem organization außerhalb der Configuration Manager-Konsole, die Schlüsselwiederherstellung zu unterstützen, einschließlich Schlüsselrotation und anderer BitLocker-bezogener Unterstützung. Beispielsweise können Helpdeskadministratoren Benutzern bei der Schlüsselwiederherstellung helfen.
Tipp
Ab Version 2107 können Sie auch BitLocker-Wiederherstellungsschlüssel für ein an einen Mandanten angefügtes Gerät aus dem Microsoft Intune Admin Center abrufen. Weitere Informationen finden Sie unter Mandantenanfügung: BitLocker-Wiederherstellungsschlüssel.
Self-Service-Portal für Benutzer
Ermöglichen Sie Benutzern, sich selbst mit einem Einmalschlüssel zu helfen, um ein mit BitLocker verschlüsseltes Gerät zu entsperren. Sobald dieser Schlüssel verwendet wird, wird ein neuer Schlüssel für das Gerät generiert.
Voraussetzungen
Allgemeine Voraussetzungen
Zum Erstellen einer BitLocker-Verwaltungsrichtlinie benötigen Sie die Rolle "Volladministrator" in Configuration Manager.
Um die BitLocker-Verwaltungsberichte zu verwenden, installieren Sie die Standortsystemrolle des Reporting Services-Punkts. Weitere Informationen finden Sie unter Konfigurieren der Berichterstellung.
Hinweis
Damit der Wiederherstellungsüberwachungsbericht von der Verwaltungs- und Überwachungswebsite aus funktioniert, verwenden Sie nur einen Reporting Services-Punkt am primären Standort.
Voraussetzungen für Clients
Das Gerät erfordert einen TPM-Chip, der im BIOS aktiviert ist und von Windows zurückgesetzt werden kann.
Microsoft empfiehlt Geräte mit TPM-Version 2.0 oder höher. Geräte mit TPM-Version 1.2 unterstützen möglicherweise nicht alle BitLocker-Funktionen ordnungsgemäß.
Die Festplatte des Computers erfordert ein BIOS, das mit TPM kompatibel ist und USB-Geräte während des Computerstarts unterstützt.
Hinweis
Das Hochladen des TPM-Kennworthashs bezieht sich hauptsächlich auf Versionen von Windows vor Windows 10. Windows 10 oder höher speichert den TPM-Kennworthash standardmäßig nicht, sodass diese Geräte ihn normalerweise nicht hochladen. Weitere Informationen finden Sie unter Informationen zum TPM-Besitzerkennwort.
Die BitLocker-Verwaltung unterstützt nicht alle Clienttypen, die von Configuration Manager unterstützt werden. Weitere Informationen finden Sie unter Unterstützte Konfigurationen.
Voraussetzungen für den Wiederherstellungsdienst
In Version 2010 und früher erfordert der BitLocker-Wiederherstellungsdienst HTTPS, um die Wiederherstellungsschlüssel im gesamten Netzwerk vom Configuration Manager Client bis zum Verwaltungspunkt zu verschlüsseln. Verwenden Sie eine der folgenden Optionen:
HTTPS-Aktivierung der IIS-Website auf dem Verwaltungspunkt, der den Wiederherstellungsdienst hostet.
Konfigurieren Sie den Verwaltungspunkt für HTTPS.
Weitere Informationen finden Sie unter Verschlüsseln von Wiederherstellungsdaten über das Netzwerk.
Hinweis
Wenn sowohl der Standort als auch die Clients Configuration Manager Version 2103 oder höher ausgeführt werden, senden Clients ihre Wiederherstellungsschlüssel über den sicheren Clientbenachrichtigungskanal an den Verwaltungspunkt. Wenn Clients Version 2010 oder früher verwenden, benötigen sie einen HTTPS-fähigen Wiederherstellungsdienst auf dem Verwaltungspunkt, um ihre Schlüssel zu vervollkommnen.
Ab Version 2103 können Sie den Configuration Manager Standort für erweitertes HTTP aktivieren, da Clients den sicheren Clientbenachrichtigungskanal zum Escrow-Schlüssel verwenden. Diese Konfiguration wirkt sich nicht auf die Funktionalität der BitLocker-Verwaltung in Configuration Manager aus.
In Version 2010 und früher benötigen Sie zur Verwendung des Wiederherstellungsdiensts mindestens einen Verwaltungspunkt, der nicht in einer Replikatkonfiguration vorhanden ist. Obwohl der BitLocker-Wiederherstellungsdienst auf einem Verwaltungspunkt installiert wird, der ein Datenbankreplikat verwendet, können Clients keine Wiederherstellungsschlüssel verwalten. Dann verschlüsselt BitLocker das Laufwerk nicht. Deaktivieren Sie den BitLocker-Wiederherstellungsdienst auf jedem Verwaltungspunkt mit einem Datenbankreplikat.
Ab Version 2103 unterstützt der Wiederherstellungsdienst Verwaltungspunkte, die ein Datenbankreplikat verwenden.
Voraussetzungen für BitLocker-Portale
Um das Self-Service-Portal oder die Verwaltungs- und Überwachungswebsite verwenden zu können, benötigen Sie einen Windows-Server, auf dem IIS ausgeführt wird. Sie können ein Configuration Manager Standortsystem wiederverwenden oder einen eigenständigen Webserver verwenden, der mit dem Standortdatenbankserver verbunden ist. Verwenden Sie eine unterstützte Betriebssystemversion für Standortsystemserver.
Installieren Sie auf dem Webserver, auf dem das Self-Service-Portal gehostet wird, Microsoft ASP.NET MVC 4.0 und .NET Framework 3.5-Feature, bevor Sie den Installationsvorgang starten. Andere erforderliche Windows Server-Rollen und -Features werden während des Installationsvorgangs des Portals automatisch installiert.
Tipp
Sie müssen keine Version von Visual Studio mit ASP.NET MVC installieren.
Das Benutzerkonto, das das Portalinstallationsprogrammskript ausführt, benötigt SQL Server sysadmin-Rechte auf dem Standortdatenbankserver. Während des Setupvorgangs legt das Skript Anmelde-, Benutzer- und SQL Server Rollenrechte für das Webservercomputerkonto fest. Sie können dieses Benutzerkonto aus der Sysadmin-Rolle entfernen, nachdem Sie die Einrichtung des Self-Service-Portals und der Verwaltungs- und Überwachungswebsite abgeschlossen haben.
Unterstützte Konfigurationen
Die BitLocker-Verwaltung wird auf virtuellen Computern (VMs) oder auf Servereditionen nicht unterstützt. Beispielsweise startet die BitLocker-Verwaltung die Verschlüsselung nicht auf Festplattenlaufwerken virtueller Computer. Darüber hinaus können Festplattenlaufwerke auf virtuellen Computern als konform angezeigt werden, obwohl sie nicht verschlüsselt sind.
Ab Version 2409 unterstützt Configuration Manager jetzt BitLocker-Tasksequenzschritte für ARM-Geräte. In der BitLocker-Verwaltung sind Richtlinien, die die Verschlüsselung von Betriebssystemlaufwerken mit einer TPM-Schutzvorrichtung und die Verschlüsselung von Festplattenlaufwerken mit der Option Automatisches Entsperren enthalten, jetzt mit ARM-Geräten kompatibel.
In Version 2010 und früher werden Microsoft Entra, Arbeitsgruppenclients oder Clients in nicht vertrauenswürdigen Domänen nicht unterstützt. In diesen früheren Versionen von Configuration Manager unterstützt die BitLocker-Verwaltung nur Geräte, die mit lokales Active Directory verknüpft sind, einschließlich Microsoft Entra hybrid eingebundenen Geräten. Diese Konfiguration besteht darin, sich beim Wiederherstellungsdienst zu authentifizieren, um Schlüssel zu escrow zu verwalten.
Ab Version 2103 unterstützt Configuration Manager alle Clientjointypen für die BitLocker-Verwaltung. Die clientseitige BitLocker-Benutzeroberfläche wird jedoch weiterhin nur auf in Active Directory eingebundenen und Microsoft Entra hybrid eingebundenen Geräten unterstützt.
Ab Version 2010 können Sie bitLocker-Richtlinien und Wiederherstellungsschlüssel über ein Cloudverwaltungsgateway (CMG) verwalten. Diese Änderung bietet auch Unterstützung für die BitLocker-Verwaltung über die internetbasierte Clientverwaltung (IBCM). Es gibt keine Änderung am Setupprozess für die BitLocker-Verwaltung. Diese Verbesserung unterstützt in die Domäne eingebundene und hybride, in die Domäne eingebundene Geräte. Weitere Informationen finden Sie unter Bereitstellen des Verwaltungs-Agents: Wiederherstellungsdienst.
- Wenn Sie über BitLocker-Verwaltungsrichtlinien verfügen, die Sie vor der Aktualisierung auf Version 2010 erstellt haben, um sie für internetbasierte Clients über CMG verfügbar zu machen:
- Öffnen Sie in der Configuration Manager-Konsole die Eigenschaften der vorhandenen Richtlinie.
- Wechseln Sie zur Registerkarte Clientverwaltung .
- Wählen Sie OK oder Übernehmen aus, um die Richtlinie zu speichern. Durch diese Aktion wird die Richtlinie so überarbeitet, dass sie für Clients über das CMG verfügbar ist.
- Wenn Sie über BitLocker-Verwaltungsrichtlinien verfügen, die Sie vor der Aktualisierung auf Version 2010 erstellt haben, um sie für internetbasierte Clients über CMG verfügbar zu machen:
Standardmäßig verschlüsselt der Tasksequenzschritt BitLocker aktivieren nur den verwendeten Speicherplatz auf dem Laufwerk. Die BitLocker-Verwaltung verwendet die vollständige Datenträgerverschlüsselung . Konfigurieren Sie diesen Tasksequenzschritt, um die Option Vollständige Datenträgerverschlüsselung verwenden zu aktivieren.
Ab Version 2203 können Sie diesen Tasksequenzschritt so konfigurieren, dass die BitLocker-Wiederherstellungsinformationen für das Betriebssystemvolume in Configuration Manager werden.
Weitere Informationen finden Sie unter Tasksequenzschritte – Aktivieren von BitLocker.
Wichtig
Das Invoke-MbamClientDeployment.ps1
PowerShell-Skript ist nur für eigenständige MBAM vorgesehen . Es sollte nicht mit Configuration Manager BitLocker-Verwaltung verwendet werden.