Voraussetzungen für die Verwaltung von BitLocker auf Endpoints

  • Um die Anmeldemethoden TPM + PIN, TPM + Systemstartschlüssel, Systemstartschlüssel oder Kennwort verwenden zu können, muss die Gruppenrichtlinie Zusätzliche Authentifizierung beim Start anfordern entweder in Active Directory oder lokal auf Computern aktiviert werden. Im Editor für lokale Gruppenrichtlinien (gpedit.msc) finden Sie die Gruppenrichtlinie hier:

    Richtlinien für Lokaler Computer > \Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker Laufwerksverschlüsselung > \Betriebssystemlaufwerke

    Um Systemstartschlüssel zu verwenden, müssen Sie auch BitLocker ohne kompatibles TPM zulassen in den Gruppenrichtlinien aktivieren.

  • Um TPM + PIN auf Tablets verwenden zu können, aktivieren Sie zusätzlich die Gruppenrichtlinie Verwendung der BitLocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Starten auf Slates aktivieren.
    Anmerkung

    Die Gruppenrichtlinien sind bei der Installation auf dem Endpoint automatisch aktiviert. Stellen Sie sicher, dass die Einstellungen nicht von anderen Gruppenrichtlinien überschrieben werden.

  • Eine BitLocker-Geräteschutzrichtlinie, die die Konfiguration eines TPM-basierten Authentifizierungsmechanismus (zum Beispiel TPM, TPM+PIN, TPM + Systemstartschlüssel) auslöst, leitet automatisch die TPM-Aktivierung ein. Der Benutzer wird informiert, dass das TPM aktiviert werden muss, und erhält eine Nachricht, wenn das System neugestartet oder heruntergefahren werden muss (abhängig von dem verwendeten TPM).
    Anmerkung

    Wenn SafeGuard BitLocker Verwaltung auf einem Endpoint installiert ist, wird möglicherweise als Verschlüsselungsstatus eines Laufwerks Nicht vorbereitet angezeigt, siehe Registerkarte Laufwerke. Das bedeutet, dass das Laufwerk momentan nicht mit BitLocker verschlüsselt werden kann, weil notwendige Vorbereitungen noch nicht durchgeführt wurden. Das trifft nur auf verwaltetete Endpoints zu, weil nicht verwaltetete Endpoints keine Bestandsinformationen melden können.

    Mit dem Befehlszeilentool SGNState können Sie überprüfen, ob der Endpoint für BitLocker vorbereitet ist (Administratorrechte erforderlich). In manchen Fällen muss das Windows-Tool zur Laufwerkvorbereitung auf BitLocker ausgeführt werden.