BitLocker auf Windows 10/11-Geräten konfigurieren

Diese Funktion ist in der Cloud Identity Premiumversion verfügbar. Funktionen und Versionen von Cloud Identity vergleichen 

Als Administrator können Sie festlegen, wie Microsoft Windows 10/11-Geräte verschlüsselt werden, die in der Windows-Geräteverwaltung registriert sind. Die ausgewählten Einstellungen werden wirksam, wenn auf dem Gerät die BitLocker-Laufwerkverschlüsselung aktiviert ist. Die am häufigsten zu konfigurierenden Einstellungen sind:

• Datenträgerverschlüsselung
• Zusätzliche Authentifizierung beim Start
• Wiederherstellungsoptionen vor dem Start
• Verschlüsselung von Festplatten
• Wiederherstellungsoptionen für Festplatten
• Verschlüsselung von Wechseldatenträgern

Hinweise 

Geräte müssen in der Windows-Geräteverwaltung registriert sein, damit diese Einstellungen angewendet werden. Weitere Informationen

BitLocker-Laufwerkverschlüsselung konfigurieren

1. Melden Sie sich in der Google Admin-Konsole an.

   Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

2. Gehen Sie in der Admin-Konsole zum Menü   Geräte Mobilgeräte und Endpunkte Einstellungen Windows.
3. Klicken Sie auf BitLocker-Einstellungen.
4. Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus. Anleitung zeigen.
5. Wählen Sie unter Datenträgerverschlüsselung aus der Liste der Elemente die Option Aktiviert aus.
6. Konfigurieren Sie die Optionen (alle öffnen): Datenträgerverschlüsselung
   • Verschlüsselungsoption für Systemlaufwerke: Wählen Sie die Verschlüsselungsmethode und ‑stärke für Festplatten mit Betriebssystemen aus.
   • Zusätzliche Authentifizierung beim Start: Wählen Sie aus, ob BitLocker bei jedem Start des Computers eine zusätzliche Authentifizierung erfordert und ob Sie ein Trusted Platform Module (TPM) verwenden. Wenn die Option aktiviert ist, können Sie Folgendes festlegen:
     • BitLocker ohne kompatibles TPM zulassen: Klicken Sie das Kästchen an, um für den Start entweder ein Passwort oder einen USB-Speicher erforderlich zu machen.
     • Mit dieser Einstellung konfigurieren Sie, dass für TPM beim Start weder eine PIN noch ein Schlüssel erforderlich ist: Stattdessen können Sie ein TPM als Startauthentifizierung erforderlich machen.
     • TPM-Start-PIN: Sie haben die Möglichkeit, vor dem Start die Eingabe einer 6- bis 20-stelligen PIN zu verlangen. Sie können auch die PIN-Mindestlänge konfigurieren.
     • TPM-Startschlüssel: Sie können von Nutzern verlangen, dass sie sich mit einem TPM-Startschlüssel authentifizieren, um auf ein Laufwerk zuzugreifen. Ein Startschlüssel ist ein USB-Stick mit den Informationen zum Verschlüsseln des Laufwerks. Wird der USB-Stick in das Gerät eingesteckt, ist das Laufwerk authentifiziert und der Zugriff darauf möglich.
     • TPM-Startschlüssel und ‑PIN: Sie können sowohl einen Startschlüssel als auch eine PIN erforderlich machen.
   • Wiederherstellungsoptionen vor dem Start: Damit können Sie die Wiederherstellungsnachricht konfigurieren oder die URL anpassen, die auf dem Bildschirm zur Wiederherstellung des Schlüssels vor dem Start angezeigt wird, wenn das Betriebssystemlaufwerk gesperrt ist.
   • Wiederherstellungsoptionen für Systemlaufwerke: Damit legen Sie Optionen für die Wiederherstellung von Daten von Betriebssystemlaufwerken fest, die durch BitLocker geschützt sind. Wenn die Option aktiviert ist, können Sie Folgendes festlegen:
     • Datenwiederherstellungs-Agent zulassen: Datenwiederherstellungs-Agents sind Personen, deren Public-Key-Infrastruktur-Zertifikate (PKI) zum Erstellen eines Schutzes durch BitLocker-Schlüssel verwendet werden. Sofern zulässig, können sie mit ihren PKI-Anmeldedaten Laufwerke freischalten, die durch BitLocker geschützt sind.
     • 48-stelliges Wiederherstellungspasswort festlegen: Wählen Sie aus, ob die Nutzer ein 48-stelliges Wiederherstellungspasswort erstellen dürfen, müssen oder nicht dürfen.
     • 256-Bit-Wiederherstellungsschlüssel: Wählen Sie aus, ob Nutzer einen 256-Bit-Wiederherstellungsschlüssel erstellen dürfen, müssen oder nicht dürfen.
     • Wiederherstellungsoptionen aus dem BitLocker-Einrichtungsassistenten ausblenden: Klicken Sie das Kästchen an, damit verhindert wird, dass Nutzer bei der Aktivierung von BitLocker Wiederherstellungsoptionen angeben.
     • BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services speichern: Wenn die Option aktiviert ist, können Sie auswählen, welche BitLocker-Wiederherstellungsinformationen in Active Directory gespeichert werden sollen. Sie können entweder das Wiederherstellungspasswort mit Schlüssel im Paket für die Datensicherung auswählen oder nur das Wiederherstellungspasswort. Wenn die Option aktiviert ist, können Sie Folgendes festlegen:
       • BitLocker erst dann aktivieren, wenn die Wiederherstellungsinformationen in Active Directory gespeichert wurden: Klicken Sie das Kästchen an, damit verhindert wird, dass Nutzer BitLocker aktivieren, es sei denn, der Computer ist mit der Domain verbunden und die Sicherung der BitLocker-Wiederherstellungsinformationen in Active Directory ist erfolgreich.
   Verschlüsselung von Festplatten
   • Verschlüsselung von Festplatten: Damit geben Sie an, dass Festplatten verschlüsselt werden müssen, bevor Schreibzugriff gewährt wird. Wenn die Option aktiviert ist, können Sie Folgendes festlegen:
     • Verschlüsselung für Festplatten: Wählen Sie die Verschlüsselungsmethode und ‑stärke für Festplatten aus.
     • Wiederherstellungsoptionen für Festplatten: Damit wählen Sie Möglichkeiten für die Wiederherstellung von Daten auf Festplatten aus, die durch BitLocker geschützt sind. Wenn die Option aktiviert ist, können Sie Folgendes festlegen:
       • Datenwiederherstellungs-Agent zulassen: Datenwiederherstellungs-Agents sind Personen, deren Public-Key-Infrastruktur-Zertifikate (PKI) zum Erstellen eines Schutzes durch BitLocker-Schlüssel verwendet werden. Sofern zulässig, können sie mit ihren PKI-Anmeldedaten Laufwerke freischalten, die durch BitLocker geschützt sind.
       • 48-stelliges Wiederherstellungspasswort: Wählen Sie aus, ob die Nutzer ein 48-stelliges Wiederherstellungspasswort erstellen dürfen, müssen oder nicht dürfen.
       • 256-Bit-Wiederherstellungsschlüssel: Wählen Sie aus, ob Nutzer einen 256-Bit-Wiederherstellungsschlüssel erstellen dürfen, müssen oder nicht dürfen.
       • Wiederherstellungsoptionen aus dem BitLocker-Einrichtungsassistenten ausblenden: Klicken Sie das Kästchen an, damit verhindert wird, dass Nutzer bei der Aktivierung von BitLocker Wiederherstellungsoptionen angeben.
       • BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services speichern: Wenn die Option aktiviert ist, können Sie auswählen, welche BitLocker-Wiederherstellungsinformationen in Active Directory gespeichert werden sollen. Sie können entweder das Wiederherstellungspasswort mit Schlüssel im Paket für die Datensicherung auswählen oder nur das Wiederherstellungspasswort. Wenn die Option aktiviert ist, können Sie Folgendes festlegen:
         • BitLocker erst dann aktivieren, wenn die Wiederherstellungsinformationen in Active Directory gespeichert wurden: Klicken Sie das Kästchen an, damit verhindert wird, dass Nutzer BitLocker aktivieren, es sei denn, der Computer ist mit der Domain verbunden und die Sicherung der BitLocker-Wiederherstellungsinformationen in Active Directory ist erfolgreich.
   Verschlüsselung von Wechseldatenträgern
   • Verschlüsselung von Wechseldatenträgern: Damit geben Sie an, dass alle Wechseldatenträger verschlüsselt werden müssen, bevor Schreibzugriff gewährt wird. Wenn die Option aktiviert ist, können Sie Folgendes festlegen:
     • Verschlüsselung für Wechseldatenträger: Wählen Sie den Verschlüsselungsalgorithmus und die Verschlüsselungsstärke für Wechseldatenträger aus. 
     • Schreibzugriff auf Geräte verweigern, die in einer anderen Organisation konfiguriert wurden: Damit geben Sie an, dass nur Laufwerke mit Identifikationsfeldern, die mit denen des Computers übereinstimmen, Schreibzugriff erhalten. Diese Felder sind in den Gruppenrichtlinien der Organisation festgelegt.
7. Klicken Sie auf Speichern. Alternativ können Sie für eine Organisationseinheit auf Überschreiben klicken.

   Wenn Sie den übernommenen Wert später wiederherstellen möchten, klicken Sie auf Übernehmen.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Laufwerksverschlüsselung auf „Nicht konfiguriert“ setzen

Wenn Sie bei Datenträgerverschlüsselung die Option Nicht konfiguriert auswählen, wird die BitLocker-Richtlinie, die Sie in der Admin-Konsole festgelegt haben, nicht mehr erzwungen. Auf den Geräten der Nutzer wird die Richtlinie auf die vorherige Einstellung zurückgesetzt.Wenn der Nutzer das Gerät verschlüsselt hat, werden keine Änderungen am Gerät oder den Daten auf dem Gerät vorgenommen.

BitLocker-Laufwerkverschlüsselung deaktivieren

1. Melden Sie sich in der Google Admin-Konsole an.

   Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

2. Gehen Sie in der Admin-Konsole zum Menü   Geräte Mobilgeräte und Endpunkte Einstellungen Windows.
3. Klicken Sie auf BitLocker-Einstellungen.
4. Wenn Sie ein Profil nur für bestimmte Nutzer deaktivieren möchten, wählen Sie in der Liste links eine Organisationseinheit aus. Andernfalls gilt diese Einstellung für alle.
5. Wählen Sie unter Datenträgerverschlüsselung aus der Liste der Elemente die Option Deaktiviert aus.
6. Klicken Sie auf Speichern. Alternativ können Sie für eine Organisationseinheit auf Überschreiben klicken.

   Wenn Sie den übernommenen Wert später wiederherstellen möchten, klicken Sie auf Übernehmen.

Weitere Informationen

• Erhöhte Computersicherheit für Windows aktivieren
• Gerät in der Windows-Geräteverwaltung registrieren