Verschlüsselung: Device Encryption

Device Encryption bietet die Möglichkeit, BitLocker Drive Encryption auf Windows-Computern und FileVault auf Macs zu verwalten. Durch die Verschlüsselung von Festplatten sind die Daten auch bei Diebstahl oder Verlust eines Geräts sicher.

Um die Verschlüsselung einzurichten, gehen Sie wie folgt vor:

  1. Der Device Encryption Agent wird auf Windows-Computern automatisch installiert, wenn Sie den standardmäßigen Windows Agent Installer verwenden (sofern Sie über die erforderliche Lizenz verfügen). Auf Macs müssen Sie den Device Encryption Agent manuell installieren.
  2. Bearbeiten Sie eine Device Encryption Basisrichtlinie und wenden Sie diese wie unten beschrieben auf Benutzer an.
  3. Computer werden verschlüsselt, wenn sich die betreffenden Benutzer anmelden.
    Anmerkung Die FileVault-Verschlüsselung ist benutzerbasiert; jeder Benutzer eines Endpoint muss die Verschlüsselung aktivieren.

Detaillierte Informationen zur Verschlüsselung von Computern finden Sie im Dokument Device Encryption Anleitung für Administratoren.

Anmerkung Sie können Device Encryption auf Boot- und Datenlaufwerke anwenden, aber nicht auf Wechselmedien.

So richten Sie eine Richtlinie ein:

  • Eine Device Encryption Basisrichtlinie bearbeiten
  • Öffnen Sie die Registerkarte Einstellungen der Richtlinie und konfigurieren Sie diese wie unten beschrieben.

Einstellungen

Device Encryption ist aktiviert/deaktiviert: Ein Computer wird verschlüsselt, sobald einer der Benutzer, für den die Richtlinie gilt, sich anmeldet.

Ein Windows-Endpoint bleibt verschlüsselt, auch wenn ein anderer Benutzer, für den die Richtlinie nicht gilt, sich anmeldet.

Warnung Sie müssen eine Verschlüsselungsrichtlinie auf alle Benutzer eines bestimmten macOS-Endpoints anwenden, damit dieser vollständig geschützt ist.

Nur Startvolume verschlüsseln: Mit dieser Option können Sie festlegen, dass nur das Boot-Laufwerk verschlüsselt wird. Datenlaufwerke werden ignoriert.

Erweiterte Windows-Einstellungen

Authentifizierung bei Start erforderlich: Diese Option ist standardmäßig aktiviert. Mit ihr wird die Authentifizierung über TPM+PIN, Kennwort oder USB-Stick durchgesetzt. Wenn Sie diese Einstellung deaktivieren, wird der Schutz durch TPM-only-Anmeldung auf unterstützten Computern installiert. Weitere Informationen zu den Authentifizierungsmethoden finden Sie in der Administratoranleitung für Device Encryption.

Ein neues Authentifizierungskennwort/eine neue PIN vom Benutzern anfordern: Diese Option ist standardmäßig deaktiviert. Sie erzwingt eine Änderung des BitLocker-Kennworts oder der PIN nach der angegebenen Zeitspanne. Ein Ereignis wird protokolliert, wenn Benutzer ihr Kennwort oder ihre PIN ändern.

Anmerkung Auf dem Endpoint ist diese Funktion erst ab Central Device Encryption 2.0 verfügbar.

Wenn Benutzer den Dialog schließen, ohne ein neues Kennwort oder eine neue PIN einzugeben, wird der Dialog nach 30 Sekunden erneut angezeigt, bis ein neues eingegeben wird. Nachdem Benutzer den Dialog fünfmal geschlossen haben, ohne das Kennwort oder die PIN zu ändern, wird ein Warnhinweis protokolliert.

Nur genutzte Festplattenbereiche verschlüsseln: Diese Option ist standardmäßig deaktiviert. Mit dieser Option haben Sie die Möglichkeit, anstelle der Verschlüsselung des gesamten Laufwerks lediglich genutzten Speicherplatz zu verschlüsseln. Auf diese Weise können Sie die Erstverschlüsselung (wenn die Richtlinie zum ersten Mal auf einen Computer angewendet wird) beschleunigen.

Warnung Wenn Sie lediglich genutzten Speicherplatz verschlüsseln, werden gelöschte Daten auf dem Computer unter Umständen nicht verschlüsselt, daher sollten Sie dies nur für neu eingerichtete Computer verwenden.
Anmerkung Diese Option wirkt sich nicht auf Windows 7 Endpoints aus.

Dateien für den sicheren Austausch mit Kennwort schützen (nur Windows)

Anmerkung Auf dem Endpoint ist diese Funktion erst ab Central Device Encryption 2.0 verfügbar.

Sie können Dateien bis zu 50 MB schützen.

Rechtsklick-Kontextmenü aktivieren: Wenn Sie diese Option aktivieren, wird die Option Kennwortgeschützte Datei erstellen dem Rechtsklick-Menü von Dateien hinzugefügt. Benutzer können kennwortgeschützte Dateien an E-Mails anhängen, wenn Sie vertrauliche Daten an Empfänger außerhalb des Unternehmensnetzwerks senden. Die Dateien werden in eine neue HTML-Datei mit verschlüsseltem Inhalt verpackt.

Empfänger können die Datei öffnen, indem Sie darauf doppelklicken und das Kennwort eingeben. Sie können die empfangene Datei zurücksenden und sie mit demselben oder einem neuen Kennwort schützen oder eine neue kennwortgeschützte Datei erstellen.

Outlook Add-in aktivieren: Diese Option fügt die Verschlüsselung von E-Mail-Anhängen zu Outlook hinzu. Benutzer können Anhänge schützen, indem Sie im Outlook-Menüband Anhänge schützen auswählen. Alle ungeschützten Anhänge werden in eine neue HTML-Datei mit verschlüsseltem Inhalt verpackt und die E-Mail wird versendet.

Immer fragen, wie mit angehängten Dateien umgegangen werden soll: Wenn Sie diese Option aktivieren, müssen Benutzer festlegen, wie Anhänge gesendet werden sollen, wenn die Nachricht welche enthält. Sie können die Nachricht kennwortgeschützt oder ungeschützt versenden.

Sie können ausgeschlossene Domänen eingeben, für die die Option Immer fragen, wie mit angehängten Dateien umgegangen werden soll nicht gilt. Zum Beispiel die Domäne Ihrer Organisation. Wenn Empfänger zu einer solchen Domäne gehören, werden die Absender nicht gefragt, wie sie mit Anhängen umgehen möchten.

Geben Sie nur vollständige Domänennamen ein und trennen Sie diese durch Kommas.