Plan für die BitLocker-VerwaltungPlan for BitLocker management

Gilt für: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Ab Version 1910 können Sie die BitLocker-Laufwerkverschlüsselung (BitLocker Drive Encryption, BDE) von Configuration Manager für lokale Windows-Clients verwalten.Starting in version 1910, use Configuration Manager to manage BitLocker Drive Encryption (BDE) for on-premises Windows clients. Configuration Manager bietet eine vollständige Lebenszyklusverwaltung für BitLocker, die die Microsoft BitLocker-Verwaltung und -Überwachung (Microsoft BitLocker Administration and Monitoring, MBAM) ersetzen kann.It provides full BitLocker lifecycle management that can replace the use of Microsoft BitLocker Administration and Monitoring (MBAM).

Hinweis

Configuration Manager aktiviert dieses optionale Feature nicht automatisch.Configuration Manager doesn't enable this optional feature by default. Sie müssen dieses Feature aktivieren, bevor Sie es verwenden.You must enable this feature before using it. Weitere Informationen finden Sie unter Enable optional features from updates (Aktivieren optionaler Features von Updates).For more information, see Enable optional features from updates.

Weitere Informationen finden Sie unter BitLocker (Übersicht).For more information, see BitLocker overview.

Tipp

Stellen Sie die Endpoint Protection-Workload auf Intune um, damit Sie die Verschlüsselung auf gemeinsam verwalteten Windows 10-Geräten mit dem Clouddienst „Microsoft Endpoint Manager“ verwalten können.To manage encryption on co-managed Windows 10 devices using the Microsoft Endpoint Manager cloud service, switch the Endpoint Protection workload to Intune. Weitere Informationen zur Verwendung von Intune finden Sie unter Windows-Verschlüsselung.For more information on using Intune, see Windows Encryption.

FeaturesFeatures

Configuration Manager bietet die folgenden Verwaltungsfunktionen für die BitLocker-Laufwerkverschlüsselung:Configuration Manager provides the following management capabilities for BitLocker Drive Encryption:

ClientbereitstellungClient deployment

Stellen Sie den BitLocker-Client auf verwalteten Windows-Geräten mit Windows 10 oder Windows 8.1 bereit.Deploy the BitLocker client to managed Windows devices running Windows 10 or Windows 8.1

Verwalten von VerschlüsselungsrichtlinienManage encryption policies

  • Beispiel: Wählen Sie die Laufwerkverschlüsselung und Verschlüsselungsstärke aus, und konfigurieren Sie die Ausnahmerichtlinie für Benutzer, die Verschlüsselungseinstellungen für das Festplattenlaufwerk.For example: choose drive encryption and cipher strength, configure user exemption policy, fixed data drive encryption settings.

  • Bestimmen Sie die Algorithmen, mit denen das Gerät verschlüsselt werden soll, und die Datenträger, die verschlüsselt werden sollen.Determine the algorithms with which to encrypt the device, and the disks that you target for encryption.

  • Erzwingen Sie, dass Benutzer vor der Verwendung des Geräts die neuen Sicherheitsrichtlinien erfüllen.Force users to get compliant with new security policies before using the device.

  • Passen Sie das Sicherheitsprofil ihrer Organisation für jedes Gerät an.Customize your organization's security profile on a per device basis.

  • Wenn ein Benutzer das Betriebssystemlaufwerk entsperrt, geben Sie an, ob nur ein Betriebssystemlaufwerk oder alle angefügten Laufwerke entsperrt werden sollen.When a user unlocks the OS drive, specify whether to unlock only an OS drive or all attached drives.

KonformitätsberichteCompliance reports

Integrierte Berichte für:Built-in reports for:

  • Den Verschlüsselungsstatus pro Volume oder pro GerätEncryption status per volume or per device
  • Der primäre Benutzer des GerätsThe primary user of the device
  • KonformitätsstatusCompliance status
  • Gründe für NichtkonformitätReasons for non-compliance

Administration and Monitoring-WebsiteAdministration and monitoring website

Lassen Sie zu, dass andere Personen in Ihrer Organisation außerhalb der Configuration Manager-Konsole bei der Schlüsselwiederherstellung helfen können, z. B. durch Schlüsselrotation und anderen BitLocker-spezifischen Support.Allow other personas in your organization outside of the Configuration Manager console to help with key recovery, including key rotation and other BitLocker-related support. Helpdeskadministratoren können Benutzern z. B. bei der Schlüsselwiederherstellung behilflich sein.For example, help desk administrators can help users with key recovery.

Self-Service-Portal für BenutzerUser self-service portal

Ermöglichen Sie es Benutzern, ein mit BitLocker verschlüsseltes Gerät mit einem Single Use Key selbst zu entsperren.Let users help themselves with a single-use key for unlocking a BitLocker encrypted device. Sobald dieser Schlüssel verwendet wird, wird ein neuer Schlüssel für das Gerät generiert.Once this key is used, it generates a new key for the device.

VoraussetzungenPrerequisites

  • Wenn Sie in Version 1910 eine BitLocker-Verwaltungsrichtlinie erstellen möchten, benötigen Sie in Configuration Manager die Rolle Hauptadministrator.In version 1910, to create a BitLocker management policy, you need the Full Administrator role in Configuration Manager.

  • Zum Integrieren des BitLocker-Wiederherstellungsdiensts in Configuration Manager ist ein HTTPS-fähiger Verwaltungspunkt erforderlich.To integrate the BitLocker recovery service in Configuration Manager requires a HTTPS-enabled management point. Die Einstellung Clientverbindungen muss in den Eigenschaften des Verwaltungspunkts HTTPS lauten.On the properties of the management point, the Client connections setting must be HTTPS.

    Hinweis

    In Version 1910 wird das erweiterte HTTP-Protokoll nicht unterstützt.In version 1910, it doesn't support Enhanced HTTP.

  • Wenn Sie BitLocker-Verwaltungsberichte verwenden möchten, installieren Sie die Standortsystemrolle „Reporting Services-Punkt“.To use the BitLocker management reports, install the reporting services point site system role. Weitere Informationen finden Sie unter Konfigurieren der Berichterstellung.For more information, see Configure reporting.

    Hinweis

    Damit der Bericht zur Wiederherstellungsüberwachung in Version 1910 über die Verwaltungs- und Überwachungswebsite funktioniert, dürfen Sie nur am primären Standort einen Reporting Services-Punkt verwenden.In version 1910, for the Recovery Audit Report to work from the administration and monitoring website, only use a reporting services point at the primary site.

  • Für das Self-Service-Portal oder die Verwaltungs- und Überwachungswebsite benötigen Sie einen Windows-Server, auf dem die Internetinformationsdienste ausgeführt werden.To use the self-service portal or the administration and monitoring website, you need a Windows server running IIS. Sie können ein Configuration Manager-Standortsystem wieder verwenden oder einen eigenständigen Webserver nutzen, der über eine Verbindung mit dem Standortdatenbankserver verfügt.You can reuse a Configuration Manager site system, or use a standalone web server that has connectivity to the site database server. Verwenden Sie eine unterstützte Betriebssystemversion für Standortsystemserver.Use a supported OS version for site system servers.

    Hinweis

    Installieren Sie in Version 1910 nur das Self-Service-Portal und die Verwaltungs- und Überwachungswebsite mit einer Datenbank des primären Standorts.In version 1910, only install the self-service portal and the administration and monitoring website with a primary site database. Installieren Sie diese Websites in einer Hierarchie für jeden primären Standort.In a hierarchy, install these websites for each primary site.

  • Installieren Sie Microsoft ASP.NET MVC 4.0 auf dem Webserver, auf dem das Self-Service-Portal gehostet wird.On the web server that will host the self-service portal, install Microsoft ASP.NET MVC 4.0.

  • Das Benutzerkonto zur Ausführung des Portalinstallationsskripts benötigt auf dem Standortdatenbankserver sysadmin-Rechte für SQL.The user account that runs the portal installer script needs SQL sysadmin rights on the site database server. Während des Setupvorgangs legt das Skript die Anmeldung, den Benutzer und die SQL-Rollenberechtigungen für das Computerkonto des Webservers fest.During the setup process, the script sets login, user, and SQL role rights for the web server machine account. Sie können dieses Benutzerkonto aus der Rolle „sysadmin“ entfernen, nachdem Sie das Setup für das Self-Service-Portal und die Verwaltungs- und Überwachungswebsite abgeschlossen haben.You can remove this user account from the sysadmin role after you complete setup of the self-service portal and the administration and monitoring website.

Tipp

Der Tasksequenzschritt BitLocker aktivieren verschlüsselt standardmäßig nur den verwendeten Speicherplatz auf dem Laufwerk.By default, the Enable BitLocker task sequence step only encrypts used space on the drive. Die BitLocker-Verwaltung verwendet die vollständige Datenträgerverschlüsselung.BitLocker management uses full disk encryption. Konfigurieren Sie diesen Tasksequenzschritt, um die Option Vollständige Datenträgerverschlüsselung verwenden zu aktivieren.Configure this task sequence step to enable the option to Use full disk encryption. Weitere Informationen finden Sie unter Tasksequenzschritte – Aktivieren von BitLocker.For more information, see Task sequence steps - Enable BitLocker.

Nächste SchritteNext steps

Verschlüsseln von Wiederherstellungsdaten (optionale Voraussetzung vor dem erstmaligen Bereitstellen der Richtlinie)Encrypt recovery data (an optional prerequisite before deploying policy for the first time)

Bereitstellen der BitLocker-VerwaltungDeploy BitLocker management client