Zum Inhalt

Device Encryption-Richtlinie

Device Encryption bietet die Möglichkeit, BitLocker Drive Encryption auf Windows-Computern und FileVault auf Macs zu verwalten. Durch die Verschlüsselung von Festplatten sind die Daten auch bei Diebstahl oder Verlust eines Geräts sicher.

Hinweis

Wenn eine Option gesperrt ist, hat Ihr Partner- oder Enterprise-Administrator globale Einstellungen angewendet.

Gehen Sie zu Meine Produkte > Encryption > Richtlinien, um die Device Encryption zu verwalten.

Um die Verschlüsselung einzurichten, gehen Sie wie folgt vor:

  1. Der Device Encryption Agent wird auf Windows-Computern automatisch installiert, wenn Sie den standardmäßigen Windows Agent Installer verwenden (sofern Sie über die erforderliche Lizenz verfügen). Auf Macs müssen Sie den Device Encryption Agent manuell installieren.
  2. Erstellen Sie eine Device-Encryption-Richtlinie und wenden Sie diese wie unten beschrieben auf Benutzer an.

    Computer werden verschlüsselt, wenn sich die betreffenden Benutzer anmelden.

    Hinweis

    Die FileVault-Verschlüsselung ist benutzerbasiert; jeder Benutzer eines Endpoint muss die Verschlüsselung aktivieren.

Für detaillierte Informationen zur Verschlüsselung von Computern siehe Device Encryption Anleitung für Administratoren.

Einschränkung

Sie können Device Encryption auf Boot- und Datenlaufwerke anwenden, aber nicht auf Wechselmedien.

So richten Sie eine Richtlinie ein:

  1. Klicken Sie auf Richtlinie hinzufügen, um Device Encryption-Richtlinie zu erstellen. Siehe Richtlinie erstellen oder bearbeiten.
  2. Öffnen Sie das Tab Einstellungen der Richtlinie und konfigurieren Sie die Einstellungen wie nachfolgend beschrieben. Stellen Sie sicher, dass die Richtlinie aktiviert ist.

Einstellungen

  • Device Encryption ist aktiviert: Ein Computer wird verschlüsselt, sobald einer der Benutzer, für den die Richtlinie gilt, sich anmeldet.

    Ein Windows-Endpoint bleibt verschlüsselt, auch wenn ein anderer Benutzer, für den die Richtlinie nicht gilt, sich anmeldet.

    Warnung

    Sie müssen eine Verschlüsselungsrichtlinie auf alle Benutzer eines bestimmten macOS-Endpoints anwenden, damit dieser vollständig geschützt ist.

  • Nur Startvolume verschlüsseln: Mit dieser Option können Sie festlegen, dass nur das Boot-Laufwerk verschlüsselt wird. Datenlaufwerke werden ignoriert.

Erweiterte Windows-Einstellungen

  • Authentifizierung bei Start erforderlich: Diese Option ist standardmäßig aktiviert. Mit ihr wird die Authentifizierung über TPM+PIN, Kennwort oder USB-Stick durchgesetzt. Wenn Sie diese Einstellung deaktivieren, wird der Schutz durch TPM-only-Anmeldung auf unterstützten Computern installiert. Für weitere Informationen zu Authentifizierungsmethoden siehe Device Encryption Anleitung für Administratoren.

  • Ein neues Authentifizierungskennwort/eine neue PIN vom Benutzern anfordern: Diese Option ist standardmäßig deaktiviert. Sie erzwingt eine Änderung des BitLocker-Kennworts oder der PIN nach der angegebenen Zeitspanne. Ein Ereignis wird protokolliert, wenn Benutzer ihr Kennwort oder ihre PIN ändern.

    Wenn Benutzer den Dialog schließen, ohne ein neues Kennwort oder eine neue PIN einzugeben, wird der Dialog nach jedem Computer-Neustart erneut angezeigt. Nachdem Benutzer den Dialog fünfmal geschlossen haben, ohne das Kennwort oder die PIN zu ändern, wird ein Alarm protokolliert.

    Einschränkung

    Auf dem Endpoint ist diese Funktion erst ab Central Device Encryption 2.0 verfügbar.

  • Nur genutzte Festplattenbereiche verschlüsseln: Diese Option ist standardmäßig deaktiviert. Mit dieser Option haben Sie die Möglichkeit, anstelle der Verschlüsselung des gesamten Laufwerks lediglich genutzten Speicherplatz zu verschlüsseln. Auf diese Weise können Sie die Erstverschlüsselung (wenn die Richtlinie zum ersten Mal auf einen Computer angewendet wird) beschleunigen.

    Warnung

    Wenn Sie lediglich genutzten Speicherplatz verschlüsseln, werden gelöschte Daten auf dem Computer unter Umständen nicht verschlüsselt, daher sollten Sie dies nur für neu eingerichtete Computer verwenden.

    Hinweis

    Diese Option wirkt sich nicht auf Windows 7 Endpoints aus.

Dateien für den sicheren Austausch mit Kennwort schützen (nur Windows)

Einschränkung

Auf dem Endpoint ist diese Funktion erst ab Central Device Encryption 2.0 verfügbar.

Sie können Dateien bis zu 50 MB schützen.

  • Rechtsklick-Kontextmenü aktivieren: Wenn Sie diese Option aktivieren, wird die Option Kennwortgeschützte Datei erstellen dem Rechtsklick-Menü von Dateien hinzugefügt. Benutzer können kennwortgeschützte Dateien an E-Mails anhängen, wenn Sie vertrauliche Daten an Empfänger außerhalb des Unternehmensnetzwerks senden. Die Dateien werden in eine neue HTML-Datei mit verschlüsseltem Inhalt verpackt.

    Empfänger können die Datei öffnen, indem Sie darauf doppelklicken und das Kennwort eingeben. Sie können die empfangene Datei zurücksenden und sie mit demselben oder einem neuen Kennwort schützen oder eine neue kennwortgeschützte Datei erstellen.

  • Outlook Add-in aktivieren: Diese Option fügt die Verschlüsselung von E-Mail-Anhängen zu Outlook hinzu. Benutzer können Anhänge schützen, indem Sie im Outlook-Menüband Anhänge schützen auswählen. Alle ungeschützten Anhänge werden in eine neue HTML-Datei mit verschlüsseltem Inhalt verpackt und die E-Mail wird versendet.

  • Immer fragen, wie mit angehängten Dateien umgegangen werden soll: Wenn Sie diese Option aktivieren, müssen Benutzer festlegen, wie Anhänge gesendet werden sollen, wenn die Nachricht welche enthält. Sie können die Nachricht kennwortgeschützt oder ungeschützt versenden.

    Sie können ausgeschlossene Domänen eingeben, für die die Option Immer fragen, wie mit angehängten Dateien umgegangen werden soll nicht gilt. Zum Beispiel die Domäne Ihrer Organisation. Wenn Empfänger zu einer solchen Domäne gehören, werden die Absender nicht gefragt, wie sie mit Anhängen umgehen möchten.

    Geben Sie nur vollständige Domänennamen ein und trennen Sie diese durch Kommas.