Freigeben über

Verschlüsseln von Windows-Geräten mit BitLocker mithilfe von Intune

Verwenden Sie Microsoft Intune, um die BitLocker-Verschlüsselung auf Geräten zu konfigurieren, auf denen Windows ausgeführt wird, und PDE (Personal Data Encryption) auf Geräten, auf denen Windows 11 Version 22H2 oder höher ausgeführt wird. In diesem Artikel werden sowohl Szenarien für die Standardmäßige BitLocker-Verschlüsselung als auch die automatische BitLocker-Verschlüsselung behandelt.

Wichtig

Am 14. Oktober 2025 hat Windows 10 das Ende des Supports erreicht und erhält keine Qualitäts- und Featureupdates. Windows 10 ist eine zulässige Version in Intune. Geräte, auf denen diese Version ausgeführt wird, können sich weiterhin bei Intune registrieren und berechtigte Features verwenden. Die Funktionalität wird jedoch nicht garantiert und kann variieren.

Tipp

Einige Einstellungen für BitLocker erfordern, dass das Gerät über ein unterstütztes TPM verfügt.

BitLocker-Verschlüsselungsszenarien

Intune unterstützt zwei primäre BitLocker-Verschlüsselungsansätze:

  • Standard BitLocker-Verschlüsselung: Benutzern werden möglicherweise Eingabeaufforderungen angezeigt und können mit dem Verschlüsselungsprozess interagieren. Bietet Flexibilität bei der Auswahl des Verschlüsselungstyps und der benutzergesteuerten Verwaltung von Wiederherstellungsschlüsseln.

  • Automatische BitLocker-Verschlüsselung : Automatische Verschlüsselung ohne Benutzerinteraktion oder Administratorrechte, die auf dem Gerät erforderlich sind. Ideal für Organisationen, die sicherstellen möchten, dass alle verwalteten Geräte verschlüsselt werden, ohne von den Aktionen des Endbenutzers abhängig zu sein.

Tipp

Intune bietet einen integrierten Verschlüsselungsbericht, der Details zur Verschlüsselung status von Geräten auf allen Ihren verwalteten Geräten enthält. Sobald Intune ein Windows Gerät mit BitLocker verschlüsselt hat, können Sie die BitLocker-Wiederherstellungsschlüssel im Verschlüsselungsbericht einsehen und verwalten.

Voraussetzungen

Lizenzierung und Windows-Editionen

Informationen zu Windows-Editionen, die die BitLocker-Verwaltung unterstützen, finden Sie in der Windows-Dokumentation unter Windows-Editionen und Lizenzierungsanforderungen .

Rollenbasierte Zugriffssteuerungen

Zum Verwalten von BitLocker in Intune muss einem Konto eine Intune Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) zugewiesen werden, die die Berechtigung Remoteaufgaben enthält, wobei die Rechte BitLockerKeys rotieren (Vorschau) auf Ja festgelegt ist.

Sie können diese Berechtigung Ihren eigenen benutzerdefinierten RBAC-Rollen hinzufügen oder eine der folgenden integrierten RBAC-Rollen verwenden:

  • Helpdeskoperator
  • Endpunktsicherheitsadministrator

Wiederherstellungsplanung

Bevor Sie BitLocker aktivieren, sollten Sie die Wiederherstellungsoptionen verstehen und planen, die den Anforderungen Ihrer organization entsprechen. Weitere Informationen finden Sie unter Übersicht über die BitLocker-Wiederherstellung in der Windows-Sicherheitsdokumentation.

Richtlinientypen für die BitLocker-Verschlüsselung

Wählen Sie eine der folgenden Intune Richtlinientypen aus, um die BitLocker-Verschlüsselung zu konfigurieren:

Endpunktsicherheit > Die Datenträgerverschlüsselungsrichtlinie bietet eine fokussierte, sicherheitsspezifische BitLocker-Konfiguration:

  • BitLocker-Profil : Dedizierte Einstellungen zum Konfigurieren der BitLocker-Verschlüsselung. Weitere Informationen finden Sie unter BitLocker CSP.
  • Profil für die Verschlüsselung personenbezogener Daten : Konfigurieren Sie PDE für die Verschlüsselung auf Dateiebene, die zusammen mit BitLocker für mehrstufige Sicherheit funktioniert. Weitere Informationen finden Sie unter PDE-CSP.

Gerätekonfigurationsrichtlinie

Gerätekonfiguration > Das Endpoint Protection-Profil enthält BitLocker-Einstellungen als Teil einer umfassenderen Endpoint Protection-Konfiguration. Zeigen Sie die verfügbaren Einstellungen unter BitLocker in Endpoint Protection-Profilen an.

Hinweis

Einschränkungen des Einstellungskatalogs: Der Einstellungskatalog enthält nicht die erforderlichen TPM-Startauthentifizierungssteuerelemente, die für die zuverlässige automatische BitLocker-Aktivierung erforderlich sind. Verwenden Sie Endpunktsicherheits- oder Gerätekonfigurationsrichtlinien für BitLocker-Szenarien.

Konfigurieren der Standardmäßigen BitLocker-Verschlüsselung

Standard BitLocker-Verschlüsselung ermöglicht die Benutzerinteraktion und bietet Flexibilität bei der Verschlüsselungskonfiguration.

Erstellen einer Endpunktsicherheitsrichtlinie

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Endpunktsicherheit>Datenträgerverschlüsselung>Richtlinie erstellen aus.

  3. Legen Sie die folgenden Optionen fest:

    • Plattform: Windows
    • Profil: Wählen Sie BitLocker oder Die Verschlüsselung personenbezogener Daten aus.

    Screenshot der Auswahloberfläche des Windows-Verschlüsselungsprofils.

  4. Konfigurieren Sie auf der Seite Konfigurationseinstellungen Einstellungen für BitLocker, um Ihre geschäftlichen Anforderungen zu erfüllen:

    • Konfigurieren Sie Verschlüsselungsmethoden für Betriebssystem-, Festplatten- und Wechseldatenträger.
    • Legen Sie Wiederherstellungsoptionen (Kennwort- und Schlüsselanforderungen) fest.
    • Konfigurieren Sie die TPM-Startauthentifizierung nach Bedarf.

    Wählen Sie Weiter aus.

  5. Klicken Sie auf der Seite Bereich (Markierungen) auf Bereichstags auswählen, um den Bereich „Markierungen auswählen“ zu öffnen, in dem Sie dem Profil Bereichstags zuweisen.

    Wählen Sie Weiter aus, um fortzufahren.

  6. Wählen Sie auf der Seite Zuweisungen die Gruppen aus, die dieses Profil erhalten. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

    Wählen Sie Weiter aus.

  7. Klicken Sie, wenn Sie fertig sind, auf der Seite Bewerten + erstellen auf Erstellen. Das neue Profil wird in der Liste angezeigt, wenn Sie den Richtlinientyp für das Profil auswählen, das Sie erstellt haben.

Erstellen einer Gerätekonfigurationsrichtlinie

Tipp

Im folgenden Verfahren wird BitLocker über eine Gerätekonfigurationsvorlage für Endpoint Protection konfiguriert. Verwenden Sie zum Konfigurieren von Personal Data Encryption den Gerätekonfigurationseinstellungskatalog und die Kategorie PDE .

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. > Gerätegeräte verwalten>Konfiguration> Wählen Sie auf der Registerkarte Richtlinien die Option Erstellen aus.

  3. Legen Sie die folgenden Optionen fest:

    • Plattform: Windows 10 und höher
    • Profiltyp: Wählen Sie Vorlagen>Endpoint Protection und dann Erstellen aus.

    Screenshot des Pfads zur Endpoint Protection-Vorlage.

  4. Erweitern Sie auf der Seite Konfigurationseinstellungendie Option Windows-Verschlüsselung , und konfigurieren Sie BitLocker-Einstellungen, um Ihre geschäftlichen Anforderungen zu erfüllen.

    Windows-Verschlüsselungseinstellungen auswählen

    Wenn Sie BitLocker im Hintergrund aktivieren möchten, finden Sie unter Konfigurieren der automatischen BitLocker-Verschlüsselung in diesem Artikel zusätzliche Voraussetzungen und die spezifischen Einstellungskonfigurationen, die Sie verwenden müssen.

  5. Wählen Sie Weiter aus, um fortzufahren.

  6. Schließen Sie die Konfiguration anderer Einstellungen nach Bedarf für Ihre organization ab.

  7. Schließen Sie den Richtlinienerstellungsprozess ab, indem Sie sie den entsprechenden Gerätegruppen zuweisen und das Profil speichern.

Konfigurieren der automatischen BitLocker-Verschlüsselung

Die automatische BitLocker-Verschlüsselung verschlüsselt Geräte automatisch ohne Benutzerinteraktion und bietet eine nahtlose Verschlüsselung für verwaltete Umgebungen.

Voraussetzungen für die automatische Verschlüsselung

Geräteanforderungen

Ein Gerät muss die folgenden Bedingungen für die automatische BitLocker-Aktivierung erfüllen:

  • Betriebssystem:

    • Wenn sich Endbenutzer als Administratoren anmelden: Windows 10 Version 1803 oder höher, oder Windows 11
    • Wenn sich Endbenutzer als Standard Benutzer anmelden: Windows 10 Version 1809 oder höher, oder Windows 11

  • Gerätekonfiguration:

Hinweis

Wenn BitLocker im Hintergrund aktiviert wird, verwendet das System automatisch die vollständige Datenträgerverschlüsselung auf nicht modernen Standbygeräten und verwendet nur Speicherplatzverschlüsselung auf modernen Standbygeräten. Der Verschlüsselungstyp hängt von Den Hardwarefunktionen ab und kann nicht für Szenarien mit automatischer Verschlüsselung angepasst werden.

Weitere Informationen zum modernen Standby finden Sie unter Was ist moderner Standbymodus in der Windows-Hardwaredokumentation.

Wichtig

Führen Sie vor der Bereitstellung von automatischen BitLocker-Richtlinien eine gründliche Bewertung Ihrer Umgebung durch:

  • Identifizieren vorhandener Verschlüsselungssoftware: Verwenden Sie Geräteinventur- oder Ermittlungstools, um Geräte mit Verschlüsselung von Drittanbietern zu identifizieren (McAfee, Symantec, Check Point usw.).
  • Planen der Migrationsstrategie : Entwickeln Sie Verfahren zum sicheren Entfernen vorhandener Verschlüsselungen vor der BitLocker-Bereitstellung.
  • Testen in Pilotgruppen : Überprüfen Sie das verhalten von BitLocker im Hintergrund auf repräsentativen Geräten vor der umfassenden Bereitstellung.
  • Vorbereiten von Rollbackprozeduren : Stellen Sie im Falle von Verschlüsselungskonflikten Wiederherstellungs- und Rollbackpläne bereit.

Automatische BitLocker-Richtlinien umgehen Benutzerwarnungen zu vorhandenen Verschlüsselungen, sodass die Bewertung vor der Bereitstellung wichtig ist, um Datenverluste zu vermeiden.

Erforderliche Einstellungen für die automatische Verschlüsselung

Konfigurieren Sie die folgenden Einstellungen abhängig vom ausgewählten Richtlinientyp:

Endpunktsicherheitsrichtlinie für unbeaufsichtigtes BitLocker

Konfigurieren Sie für die Datenträgerverschlüsselungsrichtlinie für Endpunktsicherheit die folgenden Einstellungen im BitLocker-Profil:

  • Geräteverschlüsselung erforderlich = Ermöglichte

  • Warnung zulassen für andere Datenträgerverschlüsselung = Arbeitsunfähig

    Screenshot: Zwei BitLocker-Einstellungen, die zum Aktivieren der automatischen Verschlüsselung erforderlich sind.

Warnung

Wenn Sie Warnung für andere Datenträgerverschlüsselung zulassen auf Deaktiviert festlegen, wird die Verschlüsselung von BitLocker auch dann fortgesetzt, wenn andere Datenträgerverschlüsselungssoftware erkannt wird. Dies kann zu Folgendem führen:

  • Datenverlust durch in Konflikt stehende Verschlüsselungsmethoden
  • Systeminstabilität und Startfehler
  • Komplexe Wiederherstellungsszenarien mit mehreren Verschlüsselungsebenen

Stellen Sie vor dem Bereitstellen automatischer BitLocker-Richtlinien sicher, dass in Ihrer Umgebung keine Verschlüsselungssoftware von Drittanbietern installiert ist. Erwägen Sie die Verwendung von Geräteinventurberichten , um Geräte mit vorhandener Verschlüsselungssoftware zu identifizieren.

Wichtig

Nachdem Sie Warnung für andere Datenträgerverschlüsselung zulassen auf Deaktiviert festgelegt haben, wird eine andere Einstellung verfügbar:

  • Allow Standard User Encryption Enabled (Standard Benutzerverschlüsselung = zulassen)

Diese Einstellung ist erforderlich, wenn Geräte von Standardbenutzern (ohne Administratorrechte) verwendet werden. Dadurch kann die RequireDeviceEncryption-Richtlinie auch dann funktionieren, wenn der aktuell angemeldete Benutzer ein Standardbenutzer ist.

Zusätzlich zu den erforderlichen Einstellungen sollten Sie die Konfiguration der Wiederherstellungskennwortrotation konfigurieren , um die automatische Rotation von Wiederherstellungskennwörtern zu aktivieren.

Gerätekonfigurationsrichtlinie für bitLocker im Hintergrund

Konfigurieren Sie für die Endpoint Protection-Richtlinie für Gerätekonfiguration die folgenden Einstellungen in der Endpoint Protection-Vorlage :

  • Warnung für andere Datenträgerverschlüsselung = Block
  • Zulassen, dass Standardbenutzer die Verschlüsselung während Microsoft Entra Join = Zulassen aktivieren
  • Benutzererstellung des Wiederherstellungsschlüssels = 256-Bit-Wiederherstellungsschlüsselzulassen oder nicht zulassen
  • Benutzererstellung des Wiederherstellungskennworts = Zulassen oder Anfordern eines 48-stelligen Wiederherstellungskennworts

Warnung

Wenn Sie Warnung für andere Datenträgerverschlüsselung auf Blockieren festlegen, werden Warnungen zu vorhandener Verschlüsselungssoftware unterdrückt, und BitLocker kann automatisch fortgesetzt werden. Dadurch entstehen die gleichen Risiken wie für Endpunktsicherheitsrichtlinien beschrieben. Vergewissern Sie sich, dass Ihre Umgebung vor der Bereitstellung frei von Drittanbieterverschlüsselung ist.

TPM-Startauthentifizierung für die automatische Verschlüsselung

Damit bitLocker im Hintergrund funktioniert, dürfen Geräte keine TPM-Start-PIN oder einen Startschlüssel erfordern, da diese eine Benutzerinteraktion erfordern.

Konfigurieren von TPM-Einstellungen

Konfigurieren Sie die Einstellungen für die TPM-Startauthentifizierung, um Benutzerinteraktionen zu verhindern:

Endpunktsicherheitsrichtlinie : Legen Sie im BitLocker-Profil unter Betriebssystemlaufwerke zuerst zusätzliche Authentifizierung beim Start erforderlich aufAktiviert fest. Nach der Aktivierung sind die folgenden TPM-Einstellungen verfügbar:

  • Konfigurieren der TPM-Start-PIN = Start-PIN mit TPM nicht zulassen
  • Konfigurieren des TPM-Startschlüssels = Startschlüssel mit TPM nicht zulassen
  • Konfigurieren des TPM-Startschlüssels und der PIN = Startschlüssel und PIN mit TPM nicht zulassen
  • Konfigurieren des TPM-Starts = TPM zulassen oder TPM anfordern

Gerätekonfigurationsrichtlinie : In der Endpoint Protection-Vorlage unter Windows-Verschlüsselung:

  • Kompatibler TPM-Start = TPM zulassen oder TPM anfordern
  • Kompatible TPM-Start-PIN = Start-PIN mit TPM nicht zulassen
  • Kompatibler TPM-Startschlüssel = Startschlüssel mit TPM nicht zulassen
  • Kompatibler TPM-Startschlüssel und -PIN = Startschlüssel und PIN mit TPM nicht zulassen

Warnung

Achten Sie auf Richtlinien, die die Verwendung einer TPM-Start-PIN oder eines TPM-Startschlüssels ermöglichen. Beispielsweise kann die Sicherheitsbaseline für Microsoft Defender standardmäßig die TPM-Start-PIN und den Schlüssel aktivieren, wodurch die automatische Aktivierung blockiert wird. Überprüfen Sie Ihre Baselinekonfigurationen auf Konflikte, und konfigurieren Sie Geräte nach Bedarf neu oder schließen Sie sie aus.

Verhalten des Verschlüsselungstyps

Der Verschlüsselungstyp (nur vollständiger Datenträger im Vergleich zu verwendetem Speicherplatz) wird durch die folgenden Details bestimmt:

  1. Hardwarefunktionen : Gibt an, ob das Gerät den modernen Standbymodus unterstützt.
  2. Konfiguration der automatischen Verschlüsselung : Gibt an, ob die automatische Aktivierung konfiguriert ist.
  3. SystemDrivesEncryptionType-Einstellung : Wenn explizit konfiguriert.

Standardverhalten

Wenn SystemDrivesEncryptionType nicht konfiguriert ist:

  • Moderne Standbygeräte mit automatischer Verschlüsselung = Verschlüsselung nur verwendeter Speicherplatz.
  • Nicht moderne Standbygeräte mit automatischer Verschlüsselung = Vollständige Datenträgerverschlüsselung.
  • Standard Verschlüsselung (nicht im Hintergrund) = Benutzer kann oder richtliniendefiniert auswählen.

Überprüfen der Gerätefunktionen

Führen Sie an einer Eingabeaufforderung aus, um zu überprüfen, ob ein Gerät modernen Standby unterstützt:

powercfg /a

Screenshot der Eingabeaufforderung, in der die Ausgabe des

Modern Standby-fähig: Zeigt Standby (S0 Low Power Idle) Network Connected ist verfügbar. Nicht modern standbyfähig: Zeigt Standby (S0 Low Power Leerlauf) Netzwerkverbindung wird nicht unterstützt.

Screenshot der Eingabeaufforderung mit der Ausgabe des powercfg-Befehls mit dem Standbyzustand S0 nicht verfügbar.

Überprüfen des Verschlüsselungstyps

Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten aus, um den aktuellen Verschlüsselungstyp zu überprüfen:

manage-bde -status c:

Im Feld "Konvertierungsstatus" wird entweder Nur verwendeter Speicherplatz verschlüsselt oder vollständig verschlüsselt angezeigt.

Screenshot der administrativen Eingabeaufforderung mit der Ausgabe von

Screenshot der administrativen Eingabeaufforderung mit der Ausgabe von

Informationen zu Geräten, die die BitLocker-Richtlinie erhalten, finden Sie unter Überwachen der Datenträgerverschlüsselung.

Steuern des Verschlüsselungstyps mit dem Einstellungskatalog

Verwenden Sie die Einstellung Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen im Einstellungskatalog, um den Datenträgerverschlüsselungstyp zwischen vollständiger Datenträgerverschlüsselung und nur verwendeter Speicherplatzverschlüsselung zu ändern:

  1. Erstellen einer Einstellungskatalogrichtlinie
  2. Navigieren Sie zu Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke.
  3. Wählen Sie die Option Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen auf Aktiviert aus, um den Verschlüsselungstyp auswählen: (Gerät) hinzuzufügen. Konfigurieren Sie dann Den Verschlüsselungstyp auswählen: (Gerät) auf vollständige Verschlüsselung oder Verschlüsselung nur verwendeter Speicherplatz.

Screenshot: Intune Einstellungskatalog mit dem Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen

Verschlüsselung personenbezogener Daten (PDE)

Personal Data Encryption (PDE) bietet Verschlüsselung auf Dateiebene, die BitLocker ergänzt:

Die Verschlüsselung personenbezogener Daten unterscheidet sich von BitLocker darin, dass Dateien anstelle von ganzen Volumes und Datenträgern verschlüsselt werden. PDE tritt zusätzlich zu anderen Verschlüsselungsmethoden wie BitLocker auf. Im Gegensatz zu BitLocker, das Datenverschlüsselungsschlüssel beim Start freigibt, gibt PDE datenverschlüsselungsschlüssel erst frei, wenn sich ein Benutzer mit Windows Hello for Business anmeldet.

  • PDE verschlüsselt Dateien anstelle von ganzen Volumes und Datenträgern.
  • Funktioniert zusammen mit BitLocker für mehrstufige Sicherheit– PDE ist kein Ersatz für BitLocker.
  • Erfordert Windows Hello for Business Anmeldung, um Verschlüsselungsschlüssel freizugeben.
  • Verfügbar ab Windows 11 22H2.

Weitere Informationen finden Sie unter PDE-CSP.

Verwenden Sie zum Konfigurieren von PDE eine der folgenden Optionen:

  • Endpunktsicherheitsrichtlinie mit dem Profil "Personal Data Encryption ".
  • Einstellungskatalog mit der Kategorie PDE .

Überwachen und Verwalten von BitLocker

Anzeigen der verschlüsselungs status

  1. Wählen Sie im Microsoft Intune Admin Centerdie Option Geräte>überwachen>Verschlüsselungsbericht aus.

  2. Überprüfen Sie die verschlüsselungs-status von Geräten, die BitLocker-Richtlinien erhalten haben.

  3. Greifen Sie auf BitLocker-Wiederherstellungsschlüssel und Gerätekonformitätsinformationen zu.

Wiederherstellungsschlüsselverwaltung

Anzeigen von Wiederherstellungsschlüsseln für Intune verwaltete Geräte

Intune bietet Zugriff auf den Microsoft Entra-Knoten für BitLocker, sodass Sie BitLocker-Schlüssel-IDs und Wiederherstellungsschlüssel für Ihre Windows-Geräte im Microsoft Intune Admin Center anzeigen können.

So zeigen Sie Wiederherstellungsschlüssel an:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Klicken Sie auf Geräte>Alle Geräte.
  3. Wählen Sie ein Gerät aus der Liste aus, und wählen Sie dann unter Überwachung die Option Wiederherstellungsschlüssel aus.
  4. Wählen Sie Wiederherstellungsschlüssel anzeigen aus. Dadurch wird ein Überwachungsprotokolleintrag unter der Aktivität "KeyManagement" generiert.

Wenn Schlüssel in Microsoft Entra ID verfügbar sind, werden die folgenden Informationen angezeigt:

  • BitLocker-Schlüssel-ID
  • BitLocker-Wiederherstellungsschlüssel
  • Laufwerkstyp

Wenn sich keine Schlüssel in Microsoft Entra ID befinden, zeigt Intune Kein BitLocker-Schlüssel für dieses Gerät gefunden an.

Hinweis

Microsoft Entra ID unterstützt maximal 200 BitLocker-Wiederherstellungsschlüssel pro Gerät. Wenn Sie diesen Grenzwert erreichen, schlägt die automatische Verschlüsselung aufgrund der fehlerhaften Sicherung von Wiederherstellungsschlüsseln fehl, bevor die Verschlüsselung auf dem Gerät gestartet wird.

Erforderliche Berechtigungen: IT-Administratoren benötigen die microsoft.directory/bitlockerKeys/key/read Berechtigung in Microsoft Entra ID, um BitLocker-Wiederherstellungsschlüssel für Geräte anzuzeigen. Diese Berechtigung ist in den folgenden Microsoft Entra Rollen enthalten:

  • Cloudgeräteadministrator
  • Helpdesk-Administrator
  • Globaler Administrator

Weitere Informationen zu Microsoft Entra Rollenberechtigungen finden Sie unter Microsoft Entra integrierten Rollen.

Überwachungsprotokollierung: Alle BitLocker-Wiederherstellungsschlüsselzugriffe werden überwacht. Weitere Informationen finden Sie unter Azure-Portal Überwachungsprotokolle.

Wichtig

Wenn Sie das Intune-Objekt für ein durch BitLocker geschütztes Microsoft Entra verbundenes Gerät löschen, löst das Löschen eine Intune Gerätesynchronisierung aus und entfernt die Schlüsselschutzvorrichtungen für das Betriebssystemvolume. Dadurch bleibt BitLocker auf diesem Volume in einem angehaltenen Zustand.

Anzeigen von Wiederherstellungsschlüsseln für an Mandanten angeschlossene Geräte

Bei Verwendung des Mandantenanfügungsszenarios können Microsoft Intune Wiederherstellungsschlüsseldaten für an Mandanten angefügte Geräte anzeigen.

Anforderungen:

  • Configuration Manager Websites müssen Version 2107 oder höher ausführen.
  • Installieren Sie für Standorte, an denen 2107 ausgeführt wird, updaterollup KB11121541 für Microsoft Entra eingebundene Geräteunterstützung.
  • Ihr Intune-Konto muss über Intune RBAC-Berechtigungen verfügen, um BitLocker-Schlüssel anzeigen zu können.
  • Muss einem lokalen Benutzer mit Configuration Manager Sammlungsrolle und Leseberechtigung für BitLocker-Wiederherstellungsschlüssel zugeordnet sein.

Weitere Informationen finden Sie unter Konfigurieren der rollenbasierten Verwaltung für Configuration Manager.

Drehen von BitLocker-Wiederherstellungsschlüsseln

Sie können mithilfe einer Intune-Geräteaktion über eine Remoteverbindung den BitLocker-Wiederherstellungsschlüssel eines Geräts mit Windows 10, Version 1909 oder höher, und Windows 11 drehen.

Voraussetzungen für die Schlüsselrotation:

  • Auf den Geräten muss Windows 10, Version 1909 oder höher, oder Windows 11 ausgeführt werden

  • Microsoft Entra und hybrid eingebundenen Geräten muss die Schlüsselrotation über die BitLocker-Richtlinie aktiviert sein:

    • Clientgesteuerte Kennwortrotation = für die WiederherstellungAktivieren der Rotation auf Microsoft Entra verbundenen Geräten oder Aktivieren der Rotation auf Microsoft Entra ID und hybrid eingebundenen Geräten
    • Speichern von BitLocker-Wiederherstellungsinformationen in Microsoft Entra ID = Enabled
    • Speichern von Wiederherstellungsinformationen in Microsoft Entra ID, bevor BitLocker = erforderlich aktiviert wird

So rotieren Sie den BitLocker-Wiederherstellungsschlüssel:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Klicken Sie auf Geräte>Alle Geräte.

  3. Wählen Sie ein Gerät aus der Liste aus.

  4. Wählen Sie die Remoteaktion BitLocker-Schlüsselrotation aus. Wenn nicht sichtbar, wählen Sie die Auslassungspunkte (...) und dann BitLocker-Schlüsselrotation aus.

    Screenshot des Pfads zum Auswählen der Aktion

Weitere Informationen zu BitLocker-Bereitstellungen und -Anforderungen finden Sie im Vergleichsdiagramm für die BitLocker-Bereitstellung.

Self-Service-Wiederherstellung

Um Endbenutzern zu helfen, ihre Wiederherstellungsschlüssel zu erhalten, ohne den Helpdesk aufzurufen, ermöglicht Intune Self-Service-Szenarien über die Unternehmensportal-App und andere Methoden.

Self-Service-Zugriffsoptionen:

  • Unternehmensportal-App: Benutzer können über die Unternehmensportal-App auf BitLocker-Wiederherstellungsschlüssel zugreifen.
  • Portal "Mein Konto": Verfügbar unter account.microsoft.com für Microsoft Entra verbundene Geräte
  • Microsoft Entra ID: Direkter Zugriff für Microsoft Entra verbundene Geräte

Administrative Kontrollen für den Self-Service-Zugriff:

  1. Mandantenweite Umschaltfläche: Bestimmt, ob Benutzer ohne Administratorrechte Self-Service zum Wiederherstellen von BitLocker-Schlüsseln verwenden können:

    • Standard: Nein (ermöglicht allen Benutzern die Wiederherstellung ihrer Schlüssel)
    • Ja: Hindert Benutzer ohne Administratorrechte daran, BitLocker-Schlüssel für ihre eigenen Geräte anzuzeigen.
    • Konfigurieren in Microsoft Entra Geräteeinstellungen

  2. Integration für bedingten Zugriff: Verwenden Sie Richtlinien für bedingten Zugriff, um konforme Geräte für den BitLocker-Wiederherstellungsschlüsselzugriff zu erfordern:

    • Einrichten eines kompatiblen Geräts in der Richtlinie für bedingten Zugriff erforderlich
    • Nicht kompatible Geräte können nicht auf BitLocker-Wiederherstellungsschlüssel zugreifen
    • BitLocker-Wiederherstellungsschlüssel werden als Unternehmensressourcen behandelt, die dem bedingten Zugriff unterliegen

  3. Überwachungsprotokollierung für Self-Service: Alle Benutzerwiederherstellungsschlüsselzugriffe werden protokolliert:

    • Angemeldete Microsoft Entra Überwachungsprotokolle unter der Kategorie "Schlüsselverwaltung"
    • Aktivitätstyp: BitLocker-Schlüssel lesen
    • Enthält Den Benutzerprinzipalnamen und die Schlüssel-ID.
    • Weitere Informationen finden Sie unter Microsoft Entra Überwachungsprotokolle.

Problembehandlung

Häufige Probleme bei automatischem BitLocker

Problem: BitLocker erfordert eine Benutzerinteraktion trotz automatischer Konfiguration

  • Lösung: Überprüfen Sie, ob die EINSTELLUNGEN für die TPM-Start-PIN oder -Schlüssel nicht aktiviert sind. Suchen Sie nach in Konflikt stehenden Sicherheitsbaselinerichtlinien.

Problem: Geräte erfüllen nicht die Voraussetzungen für die automatische Aktivierung

  • Lösung: Stellen Sie sicher, dass Geräte alle Gerätevoraussetzungen erfüllen, einschließlich TPM-Version, UEFI-Modus und Microsoft Entra join status.

Problem: BitLocker kann nicht automatisch verschlüsselt werden

  • Lösung: Überprüfen Sie die Windows-Ereignisprotokolle auf BitLocker-bezogene Fehler. Vergewissern Sie sich, dass der sichere Start aktiviert und WinRE ordnungsgemäß konfiguriert ist.

Problem: Richtlinienkonflikte verhindern die automatische Aktivierung

Problembehandlung für Wiederherstellungsschlüssel

Für die automatische BitLocker-Aktivierung werden Wiederherstellungsschlüssel automatisch in Microsoft Entra ID gesichert, wenn die Verschlüsselung erfolgt. Überprüfen:

  1. Geräte werden erfolgreich Microsoft Entra eingebunden (für die automatische Sicherung erforderlich)
  2. Keine Richtlinienkonflikte verhindern den automatischen Sicherungsvorgang
  3. Wiederherstellungsschlüssel-Escrow funktioniert über den Verschlüsselungsbericht

Nächste Schritte

  • Last updated on